References

moitvivt

Моделирование, оптимизация и информационные технологии

Modeling, Optimization and Information Technology

2310-6018

Издательство

10.26102/2310-6018/2021.32.1.020

925

Система управления данными киберразведки

Cyber Threat Intelligence Data Management System

0000-0001-5857-2413

Вульфин

Алексей Михайлович

Vulfin

Alexey Mikhailovich

vulfin.alexey@gmail.com aff-1

ФГБОУ ВО «Уфимский государственный авиационный технический университет» Ufa State Aviation Technical University

01 01 2026

1 1

10.26102/2310-6018/2021.32.1.020

2026

This work is licensed under a Creative Commons Attribution 4.0 International License

В данной статье рассматривается проблема повышения оперативности распространения информации о новых угрозах. Традиционные методы обмена информацией об инцидентах информационной безопасности практически не масштабируемы и с ростом числа инцидентов перестают справляться со своей задачей. Существенно возрастает нагрузка на специалистов, занимающихся мониторингом состояния информационной системы, а эффективность их работы снижается. Целью исследования является повышение эффективности центра мониторинга и реагирования на инциденты информационной безопасности за счет развертывания программной платформы управления данными киберразведки. Объект исследования – центр мониторинга и реагирования на инциденты ИБ, предмет исследования – система управления данными киберразведки. Проанализированы подходы к реализации киберразведки в составе центра мониторинга и реагирования на инциденты ИБ, выполнен обзор функциональных возможностей существующих решений, разработан план развертывания платформы киберразведки в составе центра мониторинга и реагирования на инциденты ИБ организации. Основные этапы развертывания включают подготовительную работу, установку, настройку и тестирование платформы. Эффективность функционирования центра мониторинга и реагирования на инциденты ИБ после внедрения платформы выросла на 41,7 %, а уровень зрелости повысился с «начального» до «базового».

The problem of increasing the efficiency of information dissemination about new threats is considered. Traditional methods of information security incident information exchange are practically not scalable and, as the number of incidents increases, they no longer cope with their task. The workload on the specialists involved in monitoring the state of the information system increases significantly, and the efficiency of their work decreases. The aim of the study is to increase the efficiency of the center for monitoring and responding to information security incidents by deploying a software platform for managing cyber intelligence data. The object of research is a center for monitoring and responding to information security incidents, the subject of research is a cyber-intelligence data management system. The approaches to the implementation of cyber intelligence as part of the center for monitoring and responding to information security incidents have been analyzed, an overview of the functionality of existing solutions has been made, and a plan for deploying a cyber-intelligence platform as part of the center for monitoring and responding to information security incidents has been developed. The main stages of deployment include preparatory work, installation, configuration and testing of the platform. The efficiency of the center for monitoring and responding to information security incidents after the implementation of the platform increased by 41.7%, and the maturity level increased from “initial” to “basic”

киберразведка центр мониторинга и реагирования на инциденты ИБ платформа киберразведки система управления данными киберразведки

cyber intelligence information security incident monitoring and response center cyber intelligence platform cyber-intelligence data management system

Исследование выполнено без спонсорской поддержки.

The study was performed without external funding.

References 1

Петренко С.А., Петренко А.С. Концепция раннего распознавания предупреждения компьютерного нападения. Материалы Всероссийской научно-практической конференции «Информационные системы и технологии в моделировании и управлении». 2016:82-86.

Какие задачи должен решать корпоративный центр мониторинга и реагирования на инциденты информационной безопасности (SOC). [Электронный ресурс]. URL: https://rvision.pro/en/blog-posts/kakie-zadachi-dolzhen-reshat-korporativnyj-tsentr-monitoringa-i-reagirovaniya-na-intsidenty-informatsionnoj-bezopasnosti-soc/ (дата обращения: 17.12.2020).

Аксененко Ю.И., Василенко В.В., Сидак А.А. Методологический подход к построению комплексных систем мониторинга и реагирования на инциденты информационной безопасности. Стратегическая стабильность. 2018;1:64-67.

Мишурин А.О. Перспективные направления развития технологий для центров мониторинга и реагирования на инциденты информационной безопасности. Сборник II Межвузовской научно-практической конференции «Информационная безопасность: современная теория и практика». 2019:89-93.

Бармин С.В. и др. Автоматизация и визуализация деятельности центров мониторинга и реагирования на ИБ-инциденты. Защита информации. Инсайд. 2019;4:44-51.

Королёв В.И. Процессная модель мониторинга и реагирования на инциденты информационной безопасности. Сборник статей по материалам III Международной научно-практической конференции «Информационная безопасность: вчера, сегодня, завтра». 2020:18-25.

Ададуров С.Е. и др. Реагирование на инциденты информационной безопасности в микропроцессорных системах железнодорожной автоматики и телемеханики. Двойные технологии. 2018;2:76-81.

ГОСТ Р ИСО/МЭК 27001 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.

Security Threat Intelligence Products and Services Reviews and Ratings. [Электронный ресурс]. URL: https://www.gartner.com/reviews/market/security-threat-intelligence-services/vendors (дата обращения: 17.12.2020).

Threat Intelligence: What is it, How Can it Protect You from Today’s Advanced Cyber-Attacks? [Электронный ресурс]. URL: https://www.gartner.com/imagesrv/media-products/pdf/webroot/issue1_webroot.pdf (дата обращения: 17.12.2020).

Туманов Д., Абрамов Е. Разработка системы анализа и верификации индикаторов компрометации (IoC). Безопасность информации и компьютерных сетей (SIN 2019). 2019:54-57.

Мельников И. Краткий анализ рынка Threat Intelligence Platforms. [Электронный ресурс]. URL: https://www.volgablob.ru/blog/?p=1842 (дата обращения: 17.12.2020).

Ефремов Р. Автоматизация процессов киберразведки на основе решений класса Threat Intelligence Platform (TIP) [Электронный ресурс]. URL: https://www.anti-malware.ru/practice/methods/threat-intelligence-platform (дата обращения: 17.12.2020).

Ahmed F. et al. Centralized Log Management Using Elasticsearch, Logstash and Kibana. 2020 International Conference on Information Science and Communication Technology (ICISCT). IEEE. 2020:1-7.

Malhotra A., Rawat L., Kumar L. MINI SECURITY OPERATIONS CENTER USING ELK. International Research Journal of Modernization in Engineering Technology and Science. 2020;02(11):461-466.

Srivastava A., Miller D. Elasticsearch 7 Quick Start Guide: Get up and running with the distributed search and analytics capabilities of Elasticsearch. Packt Publishing Ltd, 2019.

Фетисов А.А. и др. Сбор и обработка лог файлов в макете комплекса поведенческого анализа трафика сети. Состояние и перспективы развития современной науки по направлению «Информационная безопасность». 2020:54-58.

Wagner C. et al. Misp: The design and implementation of a collaborative threat intelligence sharing platform. Proceedings of the 2016 ACM on Workshop on Information Sharing and Collaborative Security. 2016:49-56.

MISP Hardware Sizer (calculator). [Электронный ресурс]. URL: https://www.misp-project.org/MISP-sizer/ (дата обращения: 17.12.2020).

White G.B. The community cyber security maturity model. 2011 IEEE international conference on technologies for homeland security (HST). IEEE. 2011:173-178.

Caralli R.A., Allen J.H., White D.W. CERT Resilience Management Model-CERT-RMM: A Maturity Model for Managing Operational Resilience. Addison-Wesley Educational Publishers Inc. 2016.

Team C.P. CMMI for Development, version 1.2. 2006.

Денис М. Ахен, Арон Клауз, Ричард Тернер CMMI: Комплексный подход к совершенствованию процессов. Практическое введение в модель. М: «МФК». 2005.

The authors declare that there are no conflicts of interest present.