Задача детектирования недопустимых событий информационной безопасности в информационной инфраструктуре

Целью исследования является разработка усовершенствованного подхода к решению задачи детектирования недопустимых событий в области информационной безопасности для повышения точности обнаружения инцидентов и снижения числа ложных срабатываний. Недопустимым событием является событие в результате кибератаки, делающее невозможным достижение стратегических целей организации или приводящее к значительному нарушению ее основной деятельности. В основе предложенного решения задачи детектирования недопустимых событий лежит нейросетевой классификатор, обученный на данных о недопустимых событиях, таких как атрибуты, прекурсоры и индикаторы компрометации недопустимых событий. Данное решение обеспечивает всесторонний анализ событий и снижение вероятности пропуска недопустимых событий, что делает его актуальным для защиты критической информационной инфраструктуры.

Актуальность данного исследования обусловлена быстрым ростом количества и сложности кибератак, а также необходимостью внедрения автоматизированных методов детектирования угроз, сопровождающимися недопустимыми событиями, которые приводят к негативным последствиям. В условиях увеличивающейся сложности киберугроз и многообразия атак традиционные методы обнаружения становятся недостаточно эффективными, что требует совершенствование существующих технологий для защиты информационных систем.

Новизна разработанных предложений заключается в повышении точности детектирования недопустимых событий за счет использования методов машинного обучения и нейросетевого классификатора, а также сокращении времени реагирования с использованием инструмента сбора, обработки, агрегирования и визуализации Elastic Stack.

Материалы и методы исследования. Для решения задачи детектирования недопустимых событий использован инструмент Elastic Stack, обеспечивающий сбор, агрегацию и визуализацию данных о событиях. Основным инструментом анализа является нейросетевой классификатор, обученный на наборе атрибутов, прекурсоров и индикаторов компрометации недопустимых событий. Методы исследования включают применение механизмов корреляции событий, анализа аномалий и машинного обучения, которые интегрируются в единую систему.

Результаты: предложено решение задачи детектирования недопустимых событий, основанное на применении выявленных атрибутов, прекурсоров и индикаторов компрометации недопустимых событий информационной безопасности.

Заключение: выявленные атрибуты, прекурсоры и индикаторы компрометации недопустимых событий обеспечивают решение задачи детектирования недопустимых событий. Применение предложенного решения способствует совершенствованию защиты информационных систем и снижению рисков, связанных с кибератаками, что особенно важно для обеспечения безопасности критической информационной инфраструктуры.

1. Евдокимова Д.А., Микрюков А.А. Актуальные задачи выявления недопустимых событий на объектах критической информационной инфраструктуры. // Журнал «Открытое образование», Том 28, № 4 (2024).

2. ООО «ЛианМедиа». Что такое реестр недопустимых событий в информационной безопасности // Новости LianMedia.ru. – URL: https://lianmedia.ru/ (дата обращения: 20.12.2024).

3. Котенко И.В., Саенко И.Б., Юсупов Р.М. Новое поколение систем мониторинга и управления инцидентами безопасности // Труды СПИИРАН. 2017. Т. 6. №1. С. 45-59.

4. Котенко И.В., Кулешов А.А., Ушаков И.А. Система сбора, хранения и обработки информации и событий безопасности на основе средств Elastic Stack // СПИИРАН. 2021. Т. 65. №2. С. 5-27.

5. Жаксыбай С.М. Управление событиями информационной безопасности с помощью SIEM-системы. // Intellectud Technologies on Transport. 2023. № S1. Special Issue. MMIS-2023.

6. Токарев М.Н. SIEM-система как инструмент обеспечения информационной безопасности в организации. // Актуальные исследования № 2 (184), январь 2024 г.

7. Как работают системы обнаружения и предотвращения вторжений (IDS и IPS). URL: https://habr.com/ru/articles/710378/ (дата обращения: 23.12.2024).

8. ГОСТ Р 59547—2021. Защита информации. Мониторинг информационной безопасности. Общие положения. – Москва: Стандартинформ, 2022.

9. Kaspersky. Индикаторы компрометации в Kaspersky Endpoint Security для Windows 12.0. URL: https://support.kaspersky.com/KESWin/12.0/ru-RU/213408.htm (дата обращения: 13.01.2025).

10. Батюк А. Использование ИИ в средствах обнаружения компьютерных атак и реагирования на инциденты ИБ. Презентация Positive Technologies. URL: https://www.ptsecurity.com/ (дата обращения: 20.12.2024).

11. Positive Technologies. "Жизненный цикл атак: этапы, методы, и защита". URL: https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2022-q2/ (дата обращения: 20.12.2024).

12. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена заместителем директора ФСТЭК России 14 февраля 2008 г.

13. Федорченко А.В., Левшун Д.С., Чечулин А.А., Котенко И.В. Анализ методов корреляции событий безопасности в SIEM-системах. Часть 1. // Труды СПИИРАН. – 2016. – Вып. 4(47). – С. 5–27.

14. Elastic Stack [Электронный ресурс] URL: https://www.elastic.co/ (дата обращения: 02.10.2024).

15. Positive Technologies. MaxPatrol O2 — автопилот для результативной кибербезопасности. 2023. [Электронный ресурс] URL: https://www.ptsecurity.com/upload/corporate/ru-ru/products/o2/maxpatrol-o2-pb.pdf (дата обращения: 02.10.2024).

16. ГОСТ ISO/IEC 27001-2013. Информационная технология. Методы и средства обеспечения безопасности. Системы управления информационной безопасностью. Требования (ISO/IEC 27001:2013, IDT). – Москва: Стандартинформ, 2014.

17. ГОСТ ISO/IEC 27002-2013. Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью (ISO/IEC 27002:2013, IDT). – Москва: Стандартинформ, 2014.