Flerbruker-samarbeid i et interaktivt system for malware-analyse

Kodetracer setter analytikere i cybersikkerhetsteam i stand til å analysere suspekte filer og lenker, hvor resultatene fra helautomatiserte løsninger er mangelfulle, feilaktige, eller misvisende. Vi skaper en intuitiv brukeropplevelse som setter flere i stand til å benytte statiske kodeanalyseteknikker og kunstig intelligens, sammen med dynamisk analyse og sporing av programflyt, for å raskere finne og forstå informasjon som er interessant for håndtering av sikkerhetshendelser, for analyser av trusselbilde, og i forbyggende cybersikkerhetsarbeid. I dette prosjektet vil vi utføre dybdeintervjuer med personer som jobber med analyse av ondsinnet kode i cybersikkerhetsteam. Vi søker å belyse hvilke smertepunkter de har i rollene sine, hvilke samhandlingsmønstre de har i dag, og hvilke samhandlingsmønstre de kan se for seg har mest verdi for selskapene de jobber i. Basert på innsikten fra intervjuene vil vi utvikle en første prototype. Dette er enten en klikkbar mockup, eller en minimalistisk implementasjon i vår eksisterende web-applikasjon. Denne prototypen tester vi så ut på en ny gruppe brukere. Vi antar at første prototype gir oss verdifull innsikt, men at vi ikke helt treffer blink. Derfor vil vi gjøre forandringer i prototypen, og deretter teste den ut på en ny gruppe brukere. Etter to iterasjoner med dybdeintervjuer, utvikling av prototyper, og uttesting på målgruppen, vil vi implementere en fungerende minimalistisk løsning i vår eksisterende web-tjeneste.

Kodetracer er en norsk “deep tech” cybersikkerhets-startup av personer med bakgrunn fra det som opprinnelig var Norman Antivirus, og senere Symantec. Teamet har tidligere utviklet verdensledende teknologi for automatisk analyse av malware, kjent som “sandboxing”. Der våre konkurrenter utvikler helautomatiserte analyseløsninger som genererer rapporter, data, og alarmer som kan eksporteres inn i eksterne systemer, lager vi en interaktiv analyseplattform. I desember 2024 ferdigstilte vi den tredje store iterasjonen av frontend-stacken vår, og den andre store iterasjonen av backend-stacken. Systemet kjører i produksjon. Det virker, men er fortsatt svært “bareboned”, og oppfyller fortsatt ikke minimumskravene for at en kunde vil betale for løsningen. Systemet gir i dag mulighet for å interaktivt analysere ondsinnet kode via et web interface, men det støtter kun én bruker om gangen. I dette prosjektet vil vi utføre iterasjoner i både frontend- og backend-stacken vår for å legge til støtte for flerbruker-samarbeid. Dette vil gjøre at flere personer kan samarbeide om å interaktivt analysere suspekte filer og lenker, både innad i et team, og på tvers av samarbeidende organisasjoner. Iterasjonene krever grunnleggende og dyptgående endringer i hele teknologi-stacken, og vi forventer et svært krevende teknisk arbeid. Vi vil utvikle funksjonaliteten i nært samarbeid med brukere. Utviklingsprosessen vil starte med å kartlegge brukerbehov, gjennom dybdeintervjuer med cybersikkerhetsanalytikere, hvor vi søker å i størst mulig grad belyse og forstå problemstillinger rundt analysesamarbeid. Vil vil så utvikle prototyper, og teste disse ut på nye brukere, i to iterasjoner. Deretter vil vi implementere en minimalistisk, men fungerende implementasjon, i vår eksisterende løsning. Leveransen i prosjektet skal være en fungerende løsning for flerbruker-samarbeid i web-tjenesten vår, som kjører i produksjon.