В данной статье освещены особенности интеграции SIEM-системы с другими средствами защиты информации, включающие в себя проблемы, которые необходимо учитывать специалисту при разработке системы защиты информации. Проанализирована статистика увеличения компьютерных атак за последние годы. Описано назначение и приведена архитектура SIEM-системы, интегрированной с другими средствами защиты информации. Проанализировано, какие средства наиболее часто выступают в роли источников событий информационной безопасности. Отражены принципы функционирования программного обеспечения, предназначенного для сбора, нормализации и корреляции событий. Описан процесс сбора событий посредством сканирования сетевых узлов в разных режимах. Рассмотрена необходимость настройки сетевых протоколов и специализированного программного обеспечения для сбора событий, а также используемые для этого методы. Приведен принцип срабатывания правил корреляции событий. Для актуализации существующих правил предложено использование матрицы MITRE ATT&CK, в которой описаны техники, используемые злоумышленниками для реализации атак. Отражен параметр для подсчета количества событий, поступающих в SIEM-систему от средств защиты информации. Также рассмотрен современный способ масштабирования системы защиты информации с помощью улучшения технической оснащенности системы хранения.
Идентификаторы и классификаторы
Введение. Тема расследования инцидентов информационной безопасности в настоящее время не теряет своей актуальности, растет количество кибератак, банк угроз пополняется новыми угрозами, находят новые уязвимости.
Для сравнения рассмотрим статистику увеличения числа атак на веб-ресурсы компаний с 2022 по 2023 год, приведённую на рис. 1. [1]
Список литературы
1. Кибербезопасность в 2023-2024 гг.: тренды и прогнозы. Часть третья (ptsecurity.com) [Электронный ресурс]. - URL: https://www.ptsecurity.com/ru-ru/research/analytics/kiberbezopasnost-v-2023-2024-gg-trendy-i-prognozy-chast-tretya/(Дата обращения: 10.04.2024).
Cybersecurity in 2023-2024 гг.: trends and forecasts. Part three (ptsecuri-ty.com) [Electronic resource]. - URL: https://www.ptsecurity.com/ru-ru/research/analytics/kiberbezopasnost-v-2023-2024-gg-trendy-i-prognozy-chast-tretya/ (Date of the operation: 10.04.2024).
2. Итоги расследований инцидентов ИБ в 2021-2023 годах (ptsecurity.com) [Электронный ресурс]. - URL: https://www.ptsecurity.com/ru-ru/research/analytics/outcomes-of-IS-incident-investigations-in-2021-2023-years/(Дата обращения: 10.04.2024).
Results of investigations of information security incidents in 2021-2023 (ptse-curity.com) [Электронный ресурс]. - URL: https://www.ptsecurity.com/ru-ru/research/analytics/outcomes-of-IS-incident-investigations-in-2021-2023-years/ (Date of the operation: 10.04.2024).
3. SIEM (ru.wikipedia.org) [Электронный ресурс]. - URL: https://ru.wikipedia.org/wiki/SIEM (Дата обращения: 10.04.2024).
SIEM (ru.wikipedia.org) [Electronic resource]. - URL: https://ru.wikipedia.org/wiki/SIEM (Date of the operation: 10.04.2024).
4. Абденов А. Ж., Трушин В. А., Сулайман К. Анализ, описание и оценка функциональных узлов SIEM-системы: учебное пособие. - Новосибирск: НГТУ, 2018. - 122 c. (Дата обращения: 10.04.2024). EDN: YDKXWX
Abdenov A. J., Trushin V. A., Sulaiman K. Analysis, description and evalua-tion of functional nodes of the SIEM system: a training manual. - Novosibirsk: NSTU, 2018. - 122 p. (Date of the operation: 10.04.2024).
5. Алгоритм работы MaxPatrol SIEM и схема взаимодействия компонентов (help.ptsecurity.com) [Электронный ресурс]. - URL: https://help.ptsecurity.com/ru-RU/projects/siem/8.0/help/2189382283 (Дата обращения: 10.04.2024).
MaxPatrol SIEM algorithm and component interaction scheme (help.ptsecurity.com) [Electronic resource]. - URL: https://help.ptsecurity.com/ru-RU/projects/siem/8.0/help/2189382283 (Date of the operation: 10.04.2024).
6. Выявление инцидентов ИБ с помощью SIEM: типичные и нестандартные задачи, 2020 (ptsecurity.com) [Электронный ресурс]. - URL: https://www.ptsecurity.com/ru-ru/research/analytics/incidents-siem-2020/(Дата обращения: 11.04.2024).
Identification of information security incidents using SIEM: typical and non-standard tasks, 2020 (ptsecurity.com) [Electronic resource]. - URL: https://www.ptsecurity.com/ru-ru/research/analytics/incidents-siem-2020/ (Date of the opera-tion: 11.04.2024).
7. Настройка параметров интеграции с SIEM (support.kaspersky.com) [Электронный ресурс]. - URL: https://support.kaspersky.com/KSWS/11/ru-RU/146650.htm (Дата обращения: 10.04.2024).
Configuring the parameters of integration with SIEM (sup-port.kaspersky.com) [Electronic resource]. - URL: https://support.kaspersky.com/KSWS/11/ru-RU/146650.htm (Date of the operation: 10.04.2024).
8. И снова про SIEM (habr.com) [Электронный ресурс]. - URL: https://habr.com/ru/companies/otus/articles/773430/(Дата обращения: 11.04.2024).
And again about SIEM (habr.com) [Electronic resource]. - URL: https://habr.com/ru/companies/otus/articles/773430/ (Date of the operation: 11.04.2024).
9. Глубины SIEM: корреляции “из коробки”. Часть 3.2. Методология нормализации событий (securitylab.ru) [Электронный ресурс]. - URL: https://www.securitylab.ru/blog/company/pt/345379.php (Дата обращения: 12.04.2024).
SIEM depths: out-of-the-box correlations. Part 3.2. Event normalization methodology (securitylab.ru) [Electronic resource]. - URL: https://www.securitylab.ru/blog/company/pt/345379.php (Date of the operation: 12.04.2024).
10. SIEM - Security Information and Event Management (www.securityvision.ru) [Электронный ресурс]. - URL: https://www.securityvision.ru/blog/siem-security-information-and-event-management/(Дата обращения: 12.04.2024).
SIEM - Security Information and Event Management (www.securityvision.ru) [Electronic resource]. - URL: https://www.securityvision.ru/blog/siem-security-information-and-event-management/ (Date of the operation: 12.04.2024).
11. Корреляция SIEM - это просто. Сигнатурные методы (securitylab.ru) [Электронный ресурс]. - URL: https://www.securitylab.ru/analytics/431459.php?ysclid=luwe2xur4h87421031 (Дата обращения: 12.04.2024).
SIEM correlation is simple. Signature methods (securitylab.ru) [Electronic re-source]. - URL: https://www.securitylab.ru/analytics/431459.php?ysclid=luwe2xur4h87421031 (Date of the operation: 12.04.2024).
12. Сколько правил нужно SIEM-системе (kaspersky.ru) [Электронный ресурс]. - URL: https://www.kaspersky.ru/blog/siem-rules/35597/(Дата обращения: 12.04.2024).
How many rules does the SIEM system need (kaspersky.ru) [Electronic re-source]. - URL: https://www.kaspersky.ru/blog/siem-rules/35597/ (Date of the operation: 12.04.2024).
13. Внедрение SIEM - что нужно знать про него (habr.com) [Электронный ресурс]. - URL: https://habr.com/ru/sandbox/97147/(Дата обращения: 12.04.2024).
SIEM implementation - what you need to know about it (habr.com) [Elec-tronic resource]. - URL: https://habr.com/ru/sandbox/97147/ (Date of the operation: 12.04.2024).
14. MaxPatrol SIEM теперь обрабатывает до 60 000 событий в секунду (ptsecurity.com) [Электронный ресурс]. - URL: https://www.ptsecurity.com/ru-ru/about/news/maxpatrol-siem-teper-obrabatyvaet-do-60-000-sobytij-v-sekundu/(Дата обращения: 12.04.2024).
MaxPatrol SIEM now processes up to 60,000 events per second (ptsecuri-ty.com) [Electronic resource]. - URL: https://www.ptsecurity.com/ru-ru/about/news/maxpatrol-siem-teper-obrabatyvaet-do-60-000-sobytij-v-sekundu/ (Date of the operation: 12.04.2024).
15. Как правильно выбрать и внедрить SIEM-систему (anti-malware.ru) [Электронный ресурс]. - URL: https://www.anti-malware.ru/practice/methods/How-to-choose-and-implement-SIEM-correctly (Дата обращения: 12.04.2024).
How to choose and implement a SIEM system correctly (anti-malware.ru) [Electronic resource]. - URL: https://www.anti-malware.ru/practice/methods/How-to-choose-and-implement-SIEM-correctly (Date of the operation: 12.04.2024).
Выпуск
Другие статьи выпуска
В данной статье рассматриваются вопросы обеспечения информационной безопасности в условиях дистанционного режима работы организации. Также, освещены причины возникновения потребности в дистанционном режиме работы организации, риски, связанные с использованием дистанционного режима работы организации, а также способы перехода на дистанционный режим работы организации с соблюдением требований информационной безопасности. Приведена аналитика атак на различные предприятия в отношении информационной безопасности, а также рассмотрены способы распространения вредоносного программного обеспечения на предприятиях. В заключение, рассмотрены основные рекомендации по соблюдению цифровой гигиены, а также обозначен основной источник угроз информационной безопасности на предприятии. Особое внимание уделено мерам защиты от различных хакерских атак, контролю доступа к защищаемой информации и использованию надежных и проверенных средств связи и средств обеспечения информационной безопасности на предприятии. Рекомендации, приведенные в данной статье, будут полезны как специалистам, работающим в области информационной безопасности, так и руководителям компаний, которые планируют переход на дистанционный режим работы или внедрение дистанционного режима работы параллельно с очным режимом работы, а также в качестве учебного пособия для использования и учебных организациях, специализирующихся на информационной безопасности
Данная работа представляет собой подробное исследование процесса разработки политики безопасности для государственного учреждения. Описывается многоэтапный процесс, начиная от подготовительного этапа и анализа текущей ситуации по безопасности, и заканчивая мониторингом и аудитом политики после ее внедрения. Представлены ключевые аспекты, такие как определение требований к политике безопасности, разработка самого документа, утверждение и внедрение, а также постоянное обновление и улучшение в процессе деятельности. Особое внимание уделяется значению политики безопасности как основы для обеспечения конфиденциальности, целостности и доступности информации, а также минимизации угроз и рисков информационной безопасности учреждения. Данная статья может быть полезна с практической точки зрения для специалистов по информационной безопасности и руководителей государственных учреждений с целью обеспечения устойчивого функционирования учреждения.
В данном исследовании авторы фокусируются на описании угроз безопасности криптовалютных платформ. Выполнен обзор уязвимостей, которые могут быть обнаружены на криптовалютных биржах, кошельках и смарт-контрактах. Задача исследования заключается в понимании механизмов, на которых эти платформы основаны, а также определения возможных проблем, связанных с ними. В фокусе исследования находятся уязвимости к атакам типа «51%», фишингу и социальной инженерии. Кроме того, исследование включает рекомендаций по улучшению безопасности системы, на основе результатов проведенных исследований. Результаты исследования будут полезны разработчикам, пользователям и регуляторам криптовалютных платформ, что особенно важно в свете участившихся случаев взломов и мошенничества в криптоиндустрии.
В статье рассматривается результаты проектирования программного обеспечения в форме веб-приложения для мониторинга опасности возможного размыва участков земляного полотна и искусственных сооружений Улан-Баторской железной дороги, с учётом возможностей современных геоинформационных технологий, а также возможность мониторинга состояния искусственных сооружений (ИССО). Веб-приложение дает возможность централизованно и оперативно информировать всех участников об изменении погодных условий и характеристиках пути. Для обеспечения безопасного и бесперебойного движения поездов железная дорога должна быть защищена от размывов. Размывы в летние месяцы являются серьезным препятствием для ритмичной работы. В настоящее время, когда планируется серьезное повышение размеров перевозок как местных, так и транзитных в направлении международного коридора Россия - Монголия - Китай, обеспечение сохранности грузов и пассажиров, безусловное выполнение графика движения поездов являются залогом повышения доходности работы дороги.
Метод простого линейного классификатора (ПЛК) предложено использовать для решения задачи различения сходных почерков. Почерк - уникальное свойство каждого человека, по которому возможна идентификация личности. Однако различить сходные почерки непросто, особенно при большом объеме данных. Результаты экспериментов, приведённые в работе, показали, что метод ПЛК позволяет достичь достаточно высокого уровня точности и надёжности при классификации графических образцов и может быть эффективным инструментом для различения сходных почерков.
Качество регрессионной модели в значительной степени определяется опытом специалистов, выполняющих сбор и исследование данных, в частности: надежными результатами наблюдений, наиболее близко определенными формами связей между переменными и верно подобранными методами оценки регрессии. Однако даже при наличии этих составляющих нельзя гарантировать оптимальный характер итоговой математической зависимости, потому как объем необходимых расчетов и проверок для поиска решения задачи оптимизации выходного уравнения часто оказывается существенно больше, чем можно выполнить вручную. В статье рассмотрены некоторые этапы подхода к процессу математического моделирования объекта методами регрессионного анализа данных, выделены проблемные места. В качестве варианта решения предлагается реализация алгоритмического программного комплекса, специализированного под описанный процесс моделирования. Проведен краткий обзор аналогов. Выводы сопровождаются графическим представлением функциональных требований к целевой программной реализации. Проектирование выполнено на концептуальном уровне.
Издательство
- Издательство
- ИРГУПС
- Регион
- Россия, Иркутск
- Почтовый адрес
- 664074, Иркутская обл, г Иркутск, Свердловский р-н, ул Чернышевского, д 15
- Юр. адрес
- 664074, Иркутская обл, г Иркутск, Свердловский р-н, ул Чернышевского, д 15
- ФИО
- Трофимов Юрий Анатольевич (РЕКТОР)
- E-mail адрес
- trofimov_y@irgups.ru
- Контактный телефон
- +7 (395) 2638301