Безопасность информационных технологий

Предлагаемая расширенная модель зрелости центра мониторинга безопасности (Security Operations Center – SOC), разработанная на основе модели компании Cybereason, формирует системный подход к оценке уровня зрелости и совершенствованию SOC за счет эволюционного перехода от более низкого уровня к более высокому. Целью данного исследования является расширение модели зрелости SOC компании Cybereason за счет формулирования дополняющих ее основных критериев, характеризующих эффективность SOC, включая показатели среднего времени обнаружения инцидентов информационной безопасности (ИБ) MTTD, среднего времени реагирования ни инциденты ИБ MTTR и процента ложноположительных срабатываний FPR, а также степени автоматизации АС основных процессов SOC. При оценке уровня зрелости SOC необходимо также учитывать комплексный подход к применению в центре передовых технологических решений (SIEM-, SOAR-, XDR-, UEBA-систем), международных стандартов (NIST CSF 2.0, ISO/IEC 27001), принципов долговременного хранения данных, а также общепризнанных подходов (MITRE ATT&CK, Threat Intelligence), искусственного интеллекта, машинного обучения и больших языковых моделей (LLM). Результаты исследования демонстрируют, как внедрение унифицированных подходов к обработке инцидентов ИБ, автоматизация рутинных задач, выполняемых в SOC, и организация единого озера данных повышают качество аналитики и сокращают время отклика на компьютерные атаки. Предлагаемая в статье расширенная модель зрелости SOC применима в различных секторах деятельности, где важна киберустойчивость, и служит инструментом для планирования развития SOC с учётом динамики угроз ИБ. Выводы указывают на необходимость комплексного внедрения технологических и организационных мер, позволяющих переходить к более высоким уровням зрелости SOC и обеспечивать эффективную кибербезопасность активов организаций.

1. Толстой, Александр И. Таксономия понятий в области кибербезопасности. Безопасность информационных технологий, [S.l.], т. 31, № 1, с. 158–175, 2024. ISSN 2074-7136.
DOI: http://dx.doi.org/10.26583/bit.2024.1.10. – EDN: NECFQX.

2. Месенгисер, Якоб Я.; Малахов, Марк А.; Милославская, Наталья Г. Центры управления сетевой безопасностью как силы госсопка. Безопасность информационных технологий, [S.l.], т. 29, № 1,
с. 94–107, 2022. ISSN 2074-7136.
DOI: http://dx.doi.org/10.26583/bit.2022.1.09. – EDN: BVUFKT.

3. Построение центра мониторинга и управления безопасностью Cisco. Архитектура, процессы и результаты. 2006. URL: https://www.justogroup.ru/dokumentacija/cisco/informacionnaja-bezopasnost/postroenie_centra_monitoringa_i_upravleniya_bezopasnostiyu_cisco.pdf (дата обращения: 03.11.2024).

4. Linkov I., Kott A. (2019). Fundamental Concepts of Cyber Resilience: Introduction and Overview. In: Kott, A., Linkov, I. (eds) Cyber Resilience of Systems and Networks. Risk, Systems and Decisions. Springer, Cham.
DOI: http://dx.doi.org/10.1007/978-3-319-77492-3_1.

5. Кузнецов А.В. Эволюция реагирования на инциденты информационной безопасности. Защита информации. Инсайд. 2024, № 5(119), с. 14–20. – EDN: BHTBVA.

6. SOC Modernization: Where are you on the Evolutionary Journey? URL: https://www.cybereason.com/blog/soc-modernization-where-are-you-on-the-evolutionary-journey (дата обращения: 03.11.2024).

7. SOC Modernization: Measures and Metrics for Success. URL: https://www.cybereason.com/blog/soc-modernization-measures-and-metrics-for-success (дата обращения: 03.11.2024).

8. Miloslavskaya N. (2018). Analysis of SIEM Systems and Their Usage in Security Operations and Security Intelligence Centers. In: Samsonovich A., Klimov V. (eds) Biologically Inspired Cognitive Architectures (BICA) for Young Scientists. BICA 2017. Advances in Intelligent Systems and Computing, Springer, Cham. V. 636, p. 282–288. DOI: http://dx.doi.org/10.1007/978-3-319-63940-6_40. – EDN: YCCYSL.

9. Сергеев В.Г. Способ применения больших языковых моделей при реагировании на инциденты информационной безопасности. Патент на изобретение RU 2825972 C1 , 2024. – EDN: PEQVZG.

10. Ахрамеева К.А., Михайлова А.В., Потемкин П.А. Модель машинного обучения для обеспечения информационной безопасности. XVII Санкт-Петербургская международная конференция Региональная Информатика (РИ-2020). Материалы конференции. Часть 2. С. 271–273. – EDN: VZLTTB.

11. SOC KPIs: Measuring the Effectiveness of Your Security Operations. 2024. URL: https://www.cadosecurity.com/wiki/soc-kpis-measuring-the-effectiveness-of-your-security-operations (accessed: 03.11.2024).

12. Uddin S.R. Understanding metrics to measure SOC effectiveness.
URL: https://www.ijcybersecurity.com/articles/evaluating-soc-effectiveness.pdf (дата обращения: 03.11.2024).

13. Велигодский С.С., Милославская Н.Г. Методика оценки уровня зрелости центров управления сетевой безопасностью. Доклады Томского Государственного Университета Систем Управления и Радиоэлектроники. 2023, т. 26, № 2, с. 31–41.
DOI: http://dx.doi.org/10.21293/1818-0442-2023-26-2-31-41. – EDN: KFNVTO.

14. Miloslavskaya N., Tolstoy A. Big Data, Fast Data and Data Lake Concepts. 7th Annual International Conference on Biologically Inspired Cognitive Architectures (BICA 2016). July 2016, NY, USA. Procedia Computer Science. Elsevier. 2016, v. 88, p. 300–305.
DOI: http://dx.doi.org/10.1016/j.procs.2016.07.439. – EDN: YUVFYF.

15. Щербина К.А., Копашенко М.А., Поздняк И.С. Возможности применения матрицы MITRE ATT&CK. Материалы XXIX Российской научно-технической конференции. Самара: Поволжский государственный университет телекоммуникаций и информатики. 2022, c. 56–57. – EDN: LKKQNC.

16. The NIST Cybersecurity Framework (CSF) 2.0. February 26, 2024. URL: https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf (accessed: 03.11.2024).

17. Comparing Proactive vs. Reactive Cybersecurity in 2023. Sangfor Technologies. April 20, 2023.
URL: https://www.sangfor.com/blog/cybersecurity/proactive-vs-reactive-cybersecurity-2023 (accessed: 03.11.2024).

18. Файзулин Р.Ф., Игумнов О.В. Анализ сетевой телеметрии для оценки безопасности сети. Сборник материалов VI Международной научно-практической конференции. Под общей редакцией
Ю.Ю. Логинова. Красноярск. 2020, т. 2, с. 263–265. – EDN: HXFFIC.

19. Толстой А.И. Системотехника обеспечения безопасности объектов и информационной сфере. Вопросы кибербезопасности. 2024, № 5(63), c. 47–57.
DOI: http://dx.doi.org/10.21681/2311-3456-2024-5-47-57. – EDN: NLAGBE.