Аннотация
Введение 5
1 Анализ системы управления событиями безопасности 7
1.1 Постановка задачи исследования 7
1.2 Основы безопасности информационных систем 8
1.3 Системы информационной безопасности 11
1.4 Существующие методы и средства управления событиями
безопасности 14
1.5 Порядок создания комплексной системы защиты информации 18
1.6 Обзор и сравнение средств управления событиями безопастности .. 20
2 Проектирование управления событиями безопастности 22
2.1 Моделирование архитектуры системы 22
2.2 Математический анализ эффективности защитных меропиятий 26
2.3 Выбор технологий и инструментов разработки 31
3 Тестирование автоматизированной системы управления событиями
безопасности 39
3.1 Смоделированная атака 39
3.2 Обнаружения вторжений 42
Заключение 45
Список используемой литературы 46
Возрастающая сложность и частота кибератак требуют от организаций внедрения эффективных систем управления событиями безопасности. Традиционных ручных подходов к выявлению и устранению инцидентов безопасности уже недостаточно, чтобы справиться с растущим объемом и сложностью угроз безопасности. Чтобы решить эту проблему, автоматизированная система управления событиями безопасности может предоставить организациям мониторинг в реальном времени, точное обнаружение и эффективное реагирование на инциденты безопасности [15].
Эта работа направлена на разработку автоматизированной системы управления событиями безопасности с использованием российских источников. Предлагаемая система будет использовать методы машинного обучения и анализа данных для выявления и приоритизации событий безопасности, уменьшения ложных срабатываний и отрицательных результатов и улучшения общего состояния безопасности организаций. Система будет предназначена для сбора данных из различных источников, включая сетевые журналы, системные журналы и журналы приложений, и обработки их в режиме реального времени для выявления подозрительных действий [13].
Система также будет включать в себя возможности реагирования на инциденты и управления, чтобы обеспечить быстрое сдерживание и разрешение инцидентов безопасности. Предлагаемая система будет протестирована в смоделированной среде, и результаты будут оцениваться на основе эффективности, действенности и точности системы при выявлении и реагировании на инциденты безопасности.
Разработка автоматизированной системы управления событиями безопасности с использованием российских источников имеет большое значение для организаций, работающих на российском рынке. Система может предоставить организациям надежный и эффективный механизм защиты их критически важных активов и конфиденциальной информации от кибератак. Результаты этого исследования могут также способствовать разработке аналогичных систем в других регионах и улучшить понимание управления событиями безопасности в сообществе кибербезопасности.
Объектом исследования является система управления событиями безопасности.
Предметом исследования является автоматизация системы управления событиями безопасности.
Цель работы: спроектировать и разработать автоматизированную систему управления событиями безопасности.
Задачи:
• Провести обзор литературы по системам управления событиями безопасности и определить их ограничения.
• Определить требования автоматизированной системы управления событиями безопасности.
• Спроектировать и разработать систему с использованием соответствующих технологий.
• Протестировать и оценить систему с использованием различных сценариев.
Бакалаврская работа состоит из введения, трех разделов, заключения, списка используемой литературы и приложения.
Бакалаврская работа включает 48 страниц текста, 24 рисунка, 2 таблицы и 30 источников.
Бакалаврская работа посвящена разработке автоматизированной системы управления событиями безопасности.
В ходе выполнения ВКР были поставлены задачи на исследования.
Были рассмотрены существующие методы и средства управления событиями безопасности. После проведения сравнительного анализа аналогов, видно, что каждая программа уступает другим программам, поэтому было принято решение делать свою программу для управления событиями безопасности.
Далее были рассмотрены методы анализа и сравнения существующих систем, где на основе проведенного анализа были выделены основные требования к разрабатываемой системе управления событиями безопасности, которые были учтены при ее разработке.
Также был проведен математический анализ эффективности защитных меропиятий.
И была описана и разработана автоматизированная система управления событиями безопасности на языке программирования Python и фреймворк Django.
В последней разделе ВКР, мы запустили и протестировали разработанную систему для анализа log-файлов и поиска в них признаков смоделированной атаки.
Для имитации атаки взяли три типа атак, где пришли к выводу, что IDS успешно обнаружила события ИБ, появившиеся в сетевом трафике, но в отличие от SIEM, IDS не смогла связать их между собой, для SIEM все эти события равнозначны.
Задачи, определённые для достижения цели работы, были выполнены в полном объёме.
1. Агрегация [Электронный ресурс]. - URL:
http s: //ru.wikipedia. org/wiki/Агрегация
2. Алгоритмы справочник / Джодрж Хайнеман, Гэри Поллис, Стэнли Селков.: Orelly, 2017. - 427с
3. APT [Электронный ресурс]. - URL:
http s: //ru.wikipedia. org/wiki/APT
4. APT-атаки на кредитно-финансовую сферу в России: обзор
тактик и техник. [Электронный ресурс]. - URL:
https://www.ptsecurity.com/ruru/research/analytics/apt-attacks-finance-2019/
5. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15.02.2008.
6. ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности от 01.07.2008.
7. ГОСТ Р 50922-2006 Защита информации. Основные термины и определения.
8. Корреляция информации в SIEM-системах на основе графа связей типов событий / Федорченко А.В., Котенко И.В. // Информационно - управляющие системы - 2018.
9. КОМРАД [Электронный ресурс]. - URL:
https://npoechelon.ru/production/65/11174
10. Корреляция SIEM - это просто. Сигнатурные методы [Электронный ресурс]. - URL: https://www.securitylab.ru/analytics/431459.php
11. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 14.02.2008.
12. Методика определения угроз безопасности информации в информационных системах, проект 2015 г.
13. Общие понятия о системах обнаружения и предотвращения
вторжений [Электронный ресурс]. - URL:
https: //habr.com/ru/company/otus/blog/479584/
14. СерчИнформ SIEM [Электронный ресурс]. - URL: https: //searchinform.ru/products/siem/
15. Системы мониторинга событий безопасности [Электронный
ресурс]. - URL: https://www.anti-malware.ru/security/security-monitoring...30