СИСТЕМА КОРЕЛЮВАННЯ ПОДІЙ ТА УПРАВЛІННЯ ІНЦИДЕНТАМИ КІБЕРБЕЗПЕКИ НА ОБ’ЄКТАХ КРИТИЧНОЇ ІНФРАСТРУКТУРИ

Сучасна інформаційна інфраструктура складається з великої кількості систем та компонентів, що потребують постійного моніторингу та контролю. Для виявлення аналізу та усунення можливих кіберзагроз рекомендовано використовувати єдине спільне рішення – так звані SIEM-системи. SIEM збирає дані журналів подій, визначає нетипові дії за допомогою аналізу в реальному часі, визначає загрози, генерує сповіщення та пропонує вжити відповідні сценарії заходів. Сьогодні кількість та якість SIEM систем значно виросла, а для забезпечення швидкого та ефективного виявлення загроз використовуються новітні технології штучного інтелекту, інтернету речей та хмарних технологій. Таким чином, в роботі проведено дослідження сучасних SIEM систем, їхньої функціональності, основних принципів роботи, а також представлено порівняльний аналіз їх можливостей та відмінностей, переваг та недоліків використання. Крім того, розроблена та експериментально досліджена універсальна система корелювання подій та управління інцидентами кібербезпеки на об’єктах критичної інфраструктури. Розроблено моделі функціонування гібридного сховища даних безпеки, які дозволяють сервісу індексації отримувати доступ до зовнішніх сховищ даних, провести масштабування при зростанні обсягу даних, забезпечити високу швидкість пошуку тощо. Розроблено моделі, методики та алгоритми функціонування розподіленої шини даних, які дозволяють забезпечити високу швидкість обробки великих потоків інформації, мінімальні затримки на обробку даних, високу стійкість до відмов, гнучкість і розширюваність сховища. Запропонована система призначена для вирішення низки актуальних задач кібербезпеки та відповідає основним вимогам міжнародних стандартів та найкращих світових практик щодо створення систем управління кіберінциденти.