ПІДВИЩЕННЯ ЗАХИЩЕНОСТІ ДЕРЖАВНОГО СЕКТОРУ НА ОСНОВІ SIEM-СИСТЕМ

Abstract

У статті розглядається актуальність експлуатації SIEM-систем задля організації захисту інформаційно-телекомунікаційних систем та оперативного виявлення кібератаки, своєчасне реагування на таку атаку для якісного розслідування інциденту кібератаки направленої на державні установи та оборонні підприємства держави. Наведено статистичні дані незалежних комерційних організацій та державного Держспецзв’язку, на тему найбільш вразливих категорій підприємств та найбільш ризикових векторів загроз. В статті викладено , що потреба в описаних системах обумовлена експоненційним зростанням кількості кіберзагроз, їх ускладненням і появою цілеспрямованих атак з використанням різних векторів проникнення. Цінність SIEM-системи полягає в тому, що вона збирає інформацію з різних систем та мережевих пристроїв, зберігає їх в одному місці та видає в доступному для аналізу вигляді, також система зберігає дані про всі події в мережі для розслідування інцидентів співробітниками відділу інформаційної безпеки. Тільки завдяки аналізу накопичених даних в SIEM, дозволяє визначити, стався інцидент вперше або подібні атаки були і в минулому. Проведено дослідження сучасних інструментів інформаційної безпеки, що входять до складу SIEM-систем, в розрізі моніторингу та реагування на інциденти інформаційної безпеки. Проведено огляд засобів SIEM-системи, що допомагають виявляти загрози інформаційної безпеки та оперативно реагувати на них. А саме: способи виявлення внутрішніх загроз, встановлення факту крадіжки даних, виявлення зловживання привілейованим доступом, виявлення компрометації довіреного пристрою, опис роботи та можливостей інструменту UBA, що базується на технології штучного інтелекту. Проведено огляд програмних складових (компонентів) SIEM-систем, з описом основних фунцій зазначених компонентів. Наведено рекомендації, щодо глибшого дослідження певних аспектів роботи SIEM-систем та систем наступного покоління – SOAR.