Ученые разработали метод для улучшения работы систем кибербезопасности

Специалисты Новосибирского государственного технического университета (НГТУ) создали методику количественной оценки качества событий информационной безопасности, поступающих в SIEM-системы и центры мониторинга кибербезопасности.

Об этом сообщили в пресс-службе вуза. Разработанная методика направлена на улучшение работы SIEM (Security Information and Event Management) — программных систем для централизованного сбора, анализа и корреляции событий безопасности в ИТ-инфраструктуре компании. Как отмечается, проблема имеет важное прикладное значение для центров мониторинга информационной безопасности.

Методика позволяет определить, насколько текущий поток событий пригоден для последующей нормализации, корреляции и выявления инцидентов информационной безопасности.

Автор методики Максим Киселёв пояснил, что даже при корректной настройке SIEM-системы качество поступающих данных может оказаться недостаточным для срабатывания правил корреляции — заранее заданных логических условий, которые анализируют поток событий и выявляют подозрительные цепочки действий (например, перебор паролей). Для срабатывания такого правила требуется набор обязательных данных: IP-адрес источника, временная метка, статус аутентификации и т.д. Если какое-либо поле отсутствует или содержит ошибку, атака может остаться незамеченной, сообщает ТАСС.

Разработанная модель оценивает качество данных, получаемых SIEM-системой, проверяет наличие всех необходимых полей, корректность временных меток и возможность выявления атаки на основе этих данных. Как отметили в НГТУ, разработка может быть полезна специалистам по защите информации, которым необходимо не только подключать источники событий, но и регулярно оценивать пригодность собранных данных для выявления кибератак.