В данной статье рассматривается проблема повышения оперативности распространения информации о новых угрозах. Традиционные методы обмена информацией об инцидентах информационной безопасности практически не масштабируемы и с ростом числа инцидентов перестают справляться со своей задачей. Существенно возрастает нагрузка на специалистов, занимающихся мониторингом состояния информационной системы, а эффективность их работы снижается. Целью исследования является повышение эффективности центра мониторинга и реагирования на инциденты информационной безопасности за счет развертывания программной платформы управления данными киберразведки. Объект исследования – центр мониторинга и реагирования на инциденты ИБ, предмет исследования – система управления данными киберразведки. Проанализированы подходы к реализации киберразведки в составе центра мониторинга и реагирования на инциденты ИБ, выполнен обзор функциональных возможностей существующих решений, разработан план развертывания платформы киберразведки в составе центра мониторинга и реагирования на инциденты ИБ организации. Основные этапы развертывания включают подготовительную работу, установку, настройку и тестирование платформы. Эффективность функционирования центра мониторинга и реагирования на инциденты ИБ после внедрения платформы выросла на 41,7 %, а уровень зрелости повысился с «начального» до «базового».
1. Петренко С.А., Петренко А.С. Концепция раннего распознавания предупреждения компьютерного нападения. Материалы Всероссийской научно-практической конференции «Информационные системы и технологии в моделировании и управлении». 2016:82-86.
2. Какие задачи должен решать корпоративный центр мониторинга и реагирования на инциденты информационной безопасности (SOC). [Электронный ресурс]. URL: https://rvision.pro/en/blog-posts/kakie-zadachi-dolzhen-reshat-korporativnyj-tsentr-monitoringa-i-reagirovaniya-na-intsidenty-informatsionnoj-bezopasnosti-soc/ (дата обращения: 17.12.2020).
3. Аксененко Ю.И., Василенко В.В., Сидак А.А. Методологический подход к построению комплексных систем мониторинга и реагирования на инциденты информационной безопасности. Стратегическая стабильность. 2018;1:64-67.
4. Мишурин А.О. Перспективные направления развития технологий для центров мониторинга и реагирования на инциденты информационной безопасности. Сборник II Межвузовской научно-практической конференции «Информационная безопасность: современная теория и практика». 2019:89-93.
5. Бармин С.В. и др. Автоматизация и визуализация деятельности центров мониторинга и реагирования на ИБ-инциденты. Защита информации. Инсайд. 2019;4:44-51.
6. Королёв В.И. Процессная модель мониторинга и реагирования на инциденты информационной безопасности. Сборник статей по материалам III Международной научно-практической конференции «Информационная безопасность: вчера, сегодня, завтра». 2020:18-25.
7. Ададуров С.Е. и др. Реагирование на инциденты информационной безопасности в микропроцессорных системах железнодорожной автоматики и телемеханики. Двойные технологии. 2018;2:76-81.
8. ГОСТ Р ИСО/МЭК 27001 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
9. Security Threat Intelligence Products and Services Reviews and Ratings. [Электронный ресурс]. URL: https://www.gartner.com/reviews/market/security-threat-intelligence-services/vendors (дата обращения: 17.12.2020).
10. Threat Intelligence: What is it, How Can it Protect You from Today’s Advanced Cyber-Attacks? [Электронный ресурс]. URL: https://www.gartner.com/imagesrv/media-products/pdf/webroot/issue1_webroot.pdf (дата обращения: 17.12.2020).
11. Туманов Д., Абрамов Е. Разработка системы анализа и верификации индикаторов компрометации (IoC). Безопасность информации и компьютерных сетей (SIN 2019). 2019:54-57.
12. Мельников И. Краткий анализ рынка Threat Intelligence Platforms. [Электронный ресурс]. URL: https://www.volgablob.ru/blog/?p=1842 (дата обращения: 17.12.2020).
13. Ефремов Р. Автоматизация процессов киберразведки на основе решений класса Threat Intelligence Platform (TIP) [Электронный ресурс]. URL: https://www.anti-malware.ru/practice/methods/threat-intelligence-platform (дата обращения: 17.12.2020).
14. Ahmed F. et al. Centralized Log Management Using Elasticsearch, Logstash and Kibana. 2020 International Conference on Information Science and Communication Technology (ICISCT). IEEE. 2020:1-7.
15. Malhotra A., Rawat L., Kumar L. MINI SECURITY OPERATIONS CENTER USING ELK. International Research Journal of Modernization in Engineering Technology and Science. 2020;02(11):461-466.
16. Srivastava A., Miller D. Elasticsearch 7 Quick Start Guide: Get up and running with the distributed search and analytics capabilities of Elasticsearch. Packt Publishing Ltd, 2019.
17. Фетисов А.А. и др. Сбор и обработка лог файлов в макете комплекса поведенческого анализа трафика сети. Состояние и перспективы развития современной науки по направлению «Информационная безопасность». 2020:54-58.
18. Wagner C. et al. Misp: The design and implementation of a collaborative threat intelligence sharing platform. Proceedings of the 2016 ACM on Workshop on Information Sharing and Collaborative Security. 2016:49-56.
19. MISP Hardware Sizer (calculator). [Электронный ресурс]. URL: https://www.misp-project.org/MISP-sizer/ (дата обращения: 17.12.2020).
20. White G.B. The community cyber security maturity model. 2011 IEEE international conference on technologies for homeland security (HST). IEEE. 2011:173-178.
21. Caralli R.A., Allen J.H., White D.W. CERT Resilience Management Model-CERT-RMM: A Maturity Model for Managing Operational Resilience. Addison-Wesley Educational Publishers Inc. 2016.
22. Team C.P. CMMI for Development, version 1.2. 2006.
23. Денис М. Ахен, Арон Клауз, Ричард Тернер CMMI: Комплексный подход к совершенствованию процессов. Практическое введение в модель. М: «МФК». 2005.
Вульфин Алексей Михайлович
кандидат технических наук
Scopus | ORCID | РИНЦ |
ФГБОУ ВО «Уфимский государственный авиационный технический университет»
Уфа, Российская Федерация
