В Новосибирском государственном техническом университете НЭТИ ведется разработка методики количественной оценки качества событий информационной безопасности, поступающих в SIEM-системы и центры мониторинга кибербезопасности.
Разработанная методика направлена на улучшение работы SIEM (Security Information and Event Management) — это программная система для централизованного сбора, анализа и корреляции событий безопасности в ИТ-инфраструктуре компании. По словам разработчика, проблема имеет важное прикладное значение для центров мониторинга информационной безопасности.
«Методика позволяет определить, насколько текущий поток событий пригоден для последующей нормализации, корреляции и выявления инцидентов информационной безопасности», — говорится в сообщении.
Как отмечает автор методики Максим Киселев, даже при корректной настройке SIEM-системы качество поступающих в нее данных может недостаточным для срабатывания правил корреляции. Они представляют собой заранее заданные логические условия, которые анализируют поток событий и выявляют подозрительные или аномальные цепочки действий (например, перебор паролей).
Для срабатывания такого правила требуется набор обязательных данных: IP адрес источника, временная метка, статус аутентификации
Разработанная модель оценивает качество данных, которые получает SIEM система. Он проверяет, все ли нужные поля есть в записях, нет ли ошибок во времени или других данных — и можно ли на их основе выявить атаку. «Разработка может быть полезна для специалистов по защите информации, которым необходимо не только подключать источники событий, но и регулярно оценивать, насколько собранные данные действительно пригодны для выявления кибератак», — отметили в НГТУ.
