Сотрудники Новосибирского государственного технического университета (НГТУ) создали способ повышения эффективности систем кибербезопасности. Эта методика позволяет убедиться, что все требуемые данные поступают в систему для оперативного обнаружения действий злоумышленников, о чем проинформировала пресс-служба учебного заведения.
В НГТУ НЭТИ разрабатывается подход к количественной оценке характеристик событий, связанных с информационной безопасностью, которые направляются в SIEM-решения и центры наблюдения за киберугрозами.
Новая методика ориентирована на совершенствование работы SIEM (Security Information and Event Management) — программного комплекса, предназначенного для единого сбора, обработки и согласования событий безопасности в IT-инфраструктуре организации. Как подчеркивает создатель, данная проблема имеет практическую значимость для центров, занимающихся мониторингом защиты информации.
Методика дает возможность установить, насколько текущий поток событий соответствует требованиям для последующей нормализации, корреляции и идентификации инцидентов в сфере информационной безопасности/
Автор разработки Максим Киселев указывает, что даже при правильной настройке SIEM-системы качество поступающих сведений может оказаться неудовлетворительным для активации правил корреляции. Эти правила представляют собой заранее определенные логические условия, которые обрабатывают поток событий и обнаруживают подозрительные или нестандартные последовательности действий (например, попытки подбора паролей).
Для активации подобного условия необходим набор обязательных параметров: IP-адрес отправителя, отметка времени, статус проверки подлинности и прочие. Если какое-либо поле отсутствует или содержит неточность, атака останется незамеченной.
Разработанная модель оценивает качество данных, которые получает SIEM-система. Она проверяет, присутствуют ли в записях все необходимые поля, нет ли ошибок в указании времени или других реквизитов, а также возможно ли на их основе выявить вторжение. «Эта разработка будет полезна специалистам по защите данных, которым требуется не только подключать источники событий, но и систематически анализировать, насколько собранная информация пригодна для обнаружения кибератак.
