Архив статей журнала
Целью исследования является разработка подхода к выявлению и обработке недопустимых событий на объектах критической информационной инфраструктуры (КИИ) на основе концепции таксономии и категоризации. Подход направлен на решение задачи повышения эффективности идентификации, классификации и управления инцидентами информационной безопасности (ИБ). В статье рассматриваются актуальные задачи обеспечения требуемого уровня защищенности КИИ и минимизации негативных последствий от инцидентов информационной безопасности, являющихся следствием недопустимых событий, идентификация которых связана со сложностью их выявления, необходимостью обработки больших объемов данных, недостаточной оперативностью обнаружения событий ИБ, а также ограничениями технологического характера. Актуальность выявления и классификации недопустимых событий в области информационной безопасности, особенно для объектов КИИ обусловлена необходимостью своевременного выявления и реагирования на инциденты, которые могут привести к негативным последствиям. Понимание природы и характеристик таких событий позволяет эффективно обеспечить защиту систем и предотвратить существенный ущерб. С целью повышения эффективности обеспечения результативной безопасности требуется выявлять класс недопустимых событий среди множества событий информационной безопасности с учетом признаков, которыми характеризуются недопустимые события. Новизна предлагаемого подхода заключается в решении задачи выявления класса недопустимых событий информационной безопасности на основе методов таксономии, предусматривающих использование инструментов категоризации событий с использованием атрибутов недопустимых событий. Материалы и методы исследования. Для решения поставленной задачи использован подход к выявлению недопустимых событий на объектах КИИ, основанный на принципах таксономии событий информационной безопасности. Показано, что выявление недопустимых событий информационной безопасности напрямую связано с решением задачи поиска и анализа их атрибутов, которые представляют собой характеристики или параметры, используемые для описания и классификации инцидентов безопасности. На основе ключевых принципов таксономии разработана модель структуры множества недопустимых событий для определения признаков, которые могут положены в основу классификации недопустимых событий. Процесс выявления недопустимых событий информационной безопасности включает цепочку этапов: таксономию, категорирование и классификация, на каждом из которых реализуются соответствующие методы и инструменты. Результаты: Проанализированы подходы к выявлению недопустимых событий на объектах КИИ. Рассмотрены проблемы, связанные с большим объемом данных, сложностью обработки событий, достаточно длительным временем их обнаружения и ограничениями технологических решений. Показано, что концепция таксономии и категоризации позволяет эффективно идентифицировать и классифицировать инциденты информационной безопасности, обеспечивая эффективные процессы обработки и реагирования на них. Обоснована целесообразность применения таксономии для описания и идентификации атрибутов недопустимых событий, что способствует разработке эффективных стратегий защиты и обеспечивает повышение уровня безопасности. Предложена обобщенная схема обработки недопустимых событий, включающая совокупность взаимосвязанных этапов идентификации, категоризации, оценки влияния, реагирования, документирования и анализа. Разработан алгоритм структурированного описания и классификации инцидентов, что позволяет более точно и оперативно реагировать на угрозы информационной безопасности. Заключение: Полученные результаты позволяют повысить эффективность решения задачи классификации инцидентов информационной безопасности за счет идентификации недопустимых событий, что позволяет снизить уровень негативных последствий инцидентов и повысить безопасность объектов КИИ.
Целью исследования является разработка усовершенствованного подхода к решению задачи детектирования недопустимых событий в области информационной безопасности для повышения точности обнаружения инцидентов и снижения числа ложных срабатываний. Недопустимым событием является событие в результате кибератаки, делающее невозможным достижение стратегических целей организации или приводящее к значительному нарушению ее основной деятельности. В основе предложенного решения задачи детектирования недопустимых событий лежит нейросетевой классификатор, обученный на данных о недопустимых событиях, таких как атрибуты, прекурсоры и индикаторы компрометации недопустимых событий. Данное решение обеспечивает всесторонний анализ событий и снижение вероятности пропуска недопустимых событий, что делает его актуальным для защиты критической информационной инфраструктуры. Актуальность данного исследования обусловлена быстрым ростом количества и сложности кибератак, а также необходимостью внедрения автоматизированных методов детектирования угроз, сопровождающимися недопустимыми событиями, которые приводят к негативным последствиям. В условиях увеличивающейся сложности киберугроз и многообразия атак традиционные методы обнаружения становятся недостаточно эффективными, что требует совершенствование существующих технологий для защиты информационных систем. Новизна разработанных предложений заключается в повышении точности детектирования недопустимых событий за счет использования методов машинного обучения и нейросетевого классификатора, а также сокращении времени реагирования с использованием инструмента сбора, обработки, агрегирования и визуализации Elastic Stack.
Материалы и методы исследования. Для решения задачи детектирования недопустимых событий использован инструмент Elastic Stack, обеспечивающий сбор, агрегацию и визуализацию данных о событиях. Основным инструментом анализа является нейросетевой классификатор, обученный на наборе атрибутов, прекурсоров и индикаторов компрометации недопустимых событий. Методы исследования включают применение механизмов корреляции событий, анализа аномалий и машинного обучения, которые интегрируются в единую систему. Результаты: предложено решение задачи детектирования недопустимых событий, основанное на применении выявленных атрибутов, прекурсоров и индикаторов компрометации недопустимых событий информационной безопасности.
Заключение: выявленные атрибуты, прекурсоры и индикаторы компрометации недопустимых событий обеспечивают решение задачи детектирования недопустимых событий. Применение предложенного решения способствует совершенствованию защиты информационных систем и снижению рисков, связанных с кибератаками, что особенно важно для обеспечения безопасности критической информационной инфраструктуры.