Исхаков Андрей Юнусович, Исхаков Сергей Юнусович

Институт проблем управления РАН, ПАО Промсвязьбанк

В статье рассмотрены основные принципы построения системы категоризации событий безопасности, сформулированы требования к ней и предложена методика ее применения, обеспечивающая возможность избегать необходимость корректировки наборов правил детектирования при добавлении новых источников событий или обновления подсистемы регистрации событий. При этом рассмотренные варианты категоризации применяются только для событий безопасности и не затрагивают события общесистемного программного обеспечения. Приведены примеры вариантов категоризации событий для различных средств защиты информации. Определены возможности масштабирования системы категоризации и методы ее адаптации для применения в промышленных системах автоматизации и управления. Также представлены результаты эксперимента по применению методики для повышения эффективности защиты автоматизированных систем на примере виртуального киберполигона, подтверждающие эффективность подобной методики и возможность ее применения для защиты промышленных систем.

корреляция, категоризация данных, нормализация, таксономия, система управления событиями безопасности, сценарии атак, инцидент