Остання редакція: 2024-12-11
Анотація
Розглянуто проблеми управління та контролю розподіленими системами виявлення вторгнень (SIEM) у несприятливих умовах (блекаути, кібератаки, бойові дії). Показано роль SIEM у зменшенні проміжку часу між вторгненням у систему та зараженням її malware та виявленням факту вторгнення. Перераховано проблеми у існуючих SIEM, наведено класифікацію методологій виявлення вторгнень, вказано на суттєву роль, яку відіграють системні журнали (логи) для виявлення та усунення кіберзагроз. В роботі описані різні можливості контролю та верифікації системних журналів: система, заснована на зв'язаних списках, системи, засновані на деревах хешів (Merkle Tree і Verkle Tree). Поставлено завдання створення системи, що маловразлива до повного або часткового тимчасового порушення зв'язності мережної інфраструктури, яке може відбутися в результаті несприятливих впливів. Запропоновано асинхронну систему контролю та управління системою верифікації та аудиту логів, яка базується на асинхронних процедурах відправлення "квитанцій" (push/pull) вузлами різного рівня мережевої інфраструктури та зберігає працездатність в умовах часткової втрати функціональності мережевої інфраструктури. Розгортання такої системи з одного боку дозволяє зберегти і підтримувати цілісність логів за умов несприятливих впливів, з другого боку завдяки асинхронності дозволяє рівномірно розподіляти навантаження всередині мережевий інфраструктури не перевантажуючи вузли аудиту інформації великим обсягом обчислень. Впровадження та розгортання системи на запропонованих принципах вимагає менше ресурсів у порівнянні з існуючими SIEM системами і може бути здійснено, як самостійно, так і з інтеграцією у вже розгорнуту SIEM якщо вона є. Запропоновані заходи дозволять значно збільшити безпеку, оперативність реагування на інциденти та можливість відновлення існуючих інформаційних мереж.
Ключові слова
Посилання
[1] Silva, S. S. C., Silva, R. M. P., Pinto, R. C. G., and Salles, R. M. (2013). Botnets: A survey. Computer Networks, 57(2), 378–403. https://doi.org/10.1016/j.comnet.2012.07.021
[2] Barford, P., and Yegneswaran, V. (2007). An inside look at botnets. In Advances in information security (pp. 171–191). Springer US. https://doi.org/10.1007/978-0-387-44599-1_8
[3] Bi, W., MacAskill, K., and Schooling, J. (2023). Old wine in new bottles? Understanding infrastructure resilience: Foundations, assessment, and limitations. Transportation Research Part D: Transport and Environment, 120, 103–793. https://doi.org/10.1016/j.trd.2023.103793
[4] Johnson, J. (2015). Average number of days to resolve a cyber attack on companies in the united states as of august 2015, by attack type. https://www.statista.com/statistics/193463/average-days-to-resolve-a-cyber-attack-in-us-companies-by-attack/
[5] IBM. (2021, March). Cost of a data breach report 2020. https://www.ibm.com/security/digital-assets/cost-data-breach-report/#/ru
[6] Mandiant. (2020). Mandiant security effectiveness report (pp. 1–22). FireEye. https://www.fireeye.com/current-threats/annual-threat-report/security-effectiveness-report.html
[7] Cinque, M., Cotroneo, D., and Pecchia, A. (2018). Challenges and directions in security information and event management (SIEM). 2018 IEEE International Symposium on Software Reliability Engineering Workshops (ISSREW), 95–99. https://doi.org/10.1109/issrew.2018.00-24
[8] González-Granadillo, G., González-Zarzosa, S., and Diaz, R. (2021). Security information and event management (SIEM): Analysis, trends, and usage in critical infrastructures. Sensors, 21(14), 1–28. https://doi.org/10.3390/s21144759
[9] Boyko, V., Vasilenko, M., and Slatvinska, V. (2021). Survivability and sustainability of smart city information system components. Municipal Economy of Cities, 6(166), 20–27. https://doi.org/10.33042/2522-1809-2021-6-166-20-27
[10] Бойко, В., Василенко, М., Слатвінська, В. (2024). Моделюванняживучостітавідновленняінформаційно-комунікаційнихмережвумовахдіїкіберзагроз. ІнформаційніТехнологіїТаСуспільство, 1 (12), 13–19. https://doi.org/10.32689/maup.it.2024.1.2
[11] Indicator Removal on Host: Clear Linux or Mac System Logs, Sub-technique T1070.002 - Enterprise MITRE ATTandCK. (2022, May). https://attack.mitre.org/techniques/T1070/002
[12] Бойко, В., Василенко, М. (2020). Система виявлення вторгненнь з використанням технології зв’язаних списків. Матеріали XV Мiжнародної Конференцiї" Контроль i Управлiння в Складних Системах (КУСС-2020)", м. Вiнниця, 8-10 Жовтня 2020 р., 265–266.http://ir.lib.vntu.edu.ua//handle/123456789/30577
[13] Boyko, V., Vasilenko, M., and Slatvinska, V. (2022). Linked list systems for system logs protection from cyberattacks. "Information Technologies in Education, Science and Technology" (ITEST-2022) June 23-25, 2022 Cherkasy, 81–82.https://er.chdtu.edu.ua/bitstream/ChSTU/4121/1/Збірник_тез_ІТОНТ-2022_макет_23_06.pdf#page=81
[14] Boyko, V., Vasilenko, M., and Slatvinska, V. (n.d.). Linked list systems for system logs protection from cyberattacks. In E. Faure, O. Danchenko, M. Bondarenko, Y. Tryus, C. Bazilo, and G. Zaspa (Eds.), Information technology for education, science, and technics (pp. 224–234). Springer Nature Switzerland. https://doi.org/10.1007/978-3-031-35467-0_15
[15] Kuszmaul, J. (2019). Verkle trees. https://api.semanticscholar.org/CorpusID:218475793
[16] Tas, E. N., and Boneh, D. (2023). Vector commitments with efficient updates. 46. https://doi.org/10.48550/ARXIV.2307.04085
[17] Aßmuth, A., Duncan, R., Liebl, S., and Söllner, M. (2021). A secure and privacy-friendly logging scheme. In B. Duncan, Y. W. Lee, and M. Popescu (Eds.), Cloud computing 2021. https://www.iaria.org/conferences2021/CLOUDCOMPUTING21.html
[18] Hangxia, Z., Peng, Z., and Yong, Y. (2010). Web log system of automatic backup and remote analysis. 2010 International Conference on Computer Application and System Modeling (ICCASM 2010), 469–472. https://doi.org/10.1109/iccasm.2010.5620567