СПОСОБ ИНТЕГРАЦИИ ВСПОМОГАТЕЛЬНОГО МОДУЛЯ С SIEM-СИСТЕМАМИ

DOI: 10.47026/1810-1909-2024-4-60-74

УДК 519.876.5:004.056

ББК В182:А68

М.М. МУНТЯН, И.Г. СИДОРКИНА

Ключевые слова: информационная безопасность, SIEM, промежуточное программное обеспечение, мониторинг событий, разработка программного обеспечения, микросервисы.

На сегодняшний день одним из популярных способов обеспечения безопасности информации является использование систем типа SIEM, позволяющих собирать и обрабатывать большой объем данных о защищаемой инфраструктуре посредством определения зависимостей между возникающими событиями безопасности. В связи с этим актуальными являются исследования способов повышения эффективности использования систем такого типа, которые связаны с модернизацией инфраструктуры и разработкой новых алгоритмов осуществления ее мониторинга.

Цели исследования – повышение уровня автоматизации принятия решения SIEM и эффективности критичных параметров информационной безопасности: скорости анализа поступающих событий и принятия решений, нагрузки на ресурсы обеспечения информационной безопасности в защищаемой инфраструктуре, качества системы защиты при эшелонировании функционала SIEM в небольшие локально-сетевые «представительства».

Материалы и методы. В качестве объекта исследования рассмотрен процесс функционирования SIEM, эффективность которого не достигает оптимального для решения поставленного перед системами такого типа значения. Использованы методы классического анализа для определения важных аспектов и этапов процесса функционирования SIEM, методы математического моделирования для проведения аналитических расчетов увеличения эффективности построения взаимодействия «SIEM – защищаемая инфраструктура», методы сравнительного анализа при определении преимуществ и недостатков использования актуальных на сегодняшний день архитектур по разработке программного обеспечения, методы синтеза для определения применимости методов интеллектуального анализа как средства расширения получаемой для вычисления корреляции событий безопасности информации.

Результаты. По результатам исследования была предложена новая архитектура защищаемой инфраструктуры для реализации взаимодействия «SIEM – инфраструктура», основанного на децентрализации процессов сбора и предобработки информации за счет делегирования функциональных возможностей SIEM программной платформе. Были определены структурные особенности при реализации программной платформы, а также состав ее базового функционала. Также по результатам сравнительного анализа монолитного, сервис-ориентированного и микросервисного подхода был определен наиболее предпочтительный способ реализации предлагаемой программной платформы, а также представлен перечень расширенного функционала с учетом необходимости использования методов интеллектуального анализа информации для повышения функционирования SIEM.

Выводы. Использование предлагаемого решения повышает производительность SIEM-систем при реализации таких этапов, как сбор и предобработка информации, расширяет возможности специалистов по информационной безопасности благодаря получению новых коррелируемых данных за счет использования интеллектуальных методов анализа, а также позволяет перейти от централизованной реализации процесса защиты к децентрализованному. Реализация программной платформы на основе сервис-ориентированного подхода дает возможность повысить уровень интеграции системы и ее отказоустойчивость. Помимо этого, использование предлагаемой платформы совместно с SIEM-системами второго поколения позволяет получить альтернативную оценку о состоянии инфраструктуры, что свидетельствует о возможности повышения точности принятия решений.

Литература

1. Мельников Е.А. Типовые схемы взаимодействия в системах сбора и анализа событий информационной безопасности SIEM // Электронный научный журнал. 2020. № 3(32). С. 21–24.
2. Сизов В.А., Киров А.Д. Проблемы внедрения SIEM-систем в практику управления информационной безопасностью субъектов экономической деятельности // Открытое образование. 2020. Т. 1, № 24. С. 69–79.
3. Мунтян М.М., Сидоркина И.Г. Метод интеграции вспомогательного модуля в существующие SIEM-системы // Инженерные кадры – будущее инновационной экономики России: материалы IX Всерос. студ. конф., Йошкар-Ола, 7–10 ноября 2023 г. Йошкар-Ола, 2023. С. 567–572.
4. Чернядьев И.С., Хамидуллин М.Р. Способы интеграции программного обеспечения: API, Веб-сервисы и промежуточное программное обеспечение // Школа молодых новаторов: сб. науч. ст. 5-й Междунар. науч. конф. перспективных разработок молодых ученых: в 3 т. Курск: Университетская книга, 2024. С. 266–270.
5. Просто о микросервисах [Электронный ресурс]. URL: https://habr.com/ru/companies/raiffeisenbank/articles/346380/ (дата обращения 17.09.2024).
6. В чем разница между SOA и микросервисами [Электронный ресурс]. URL: https://aws.amazon.com/ru/compare/the-difference-between-soa-microservices/ (дата обращения 17.09.2024).
7. Основные протоколы интеграции приложений [Электронный ресурс]. URL: https://dynamicsun.ru/blog/protokoli-inteegrasii-prilozheniy.html (дата обращения 17.09.2024).
8. Интеграция программного обеспечения. Описание процесса от бизнес-консультанта. [Электронный ресурс]. URL: https://habr.com/ru/companies/trinion/articles/245615/ (дата обращения 17.09.2024).
9. Цветкова О.Л., Исак Д.А. Применение методов интеллектуального анализа данных при тестировании систем информационной безопасности // Новости науки 2024: Гуманитарные и точные науки: сб. материалов XLIII Междунар. очно-заоч. науч.-практ. конф. М.: Империя, 2023. С. 30–31.
10. Вульфин А.М. Модели и методы комплексной оценки рисков безопасности объектов критической информационной инфраструктуры на основе интеллектуального анализа данных // Системная инженерия и информационные технологии. 2023. Т. 5, № 4(13). C. 50–76.
11. Security Vision. SIEM системы (Security information and Event Management) – что это изачем нужно? [Электронный ресурс]. URL: https://www.securityvision.ru/blog/siem-chto-eto-i-zachem-nuzhno/ (дата обращения 15.09.2024);
12. AWS. Что такое промежуточное ПО [Электронный ресурс]. URL: https://aws.amazon.com/ru/what-is/middleware/ (дата обращения 15.09.2024);

Сведения об авторах

Мунтян Михаил Михайлович – аспирант кафедры математического и аппаратного обеспечения информационных систем, Чувашский государственный университет, Россия, Чебоксары (muntyanmickhail@gmail.com; ORCID: https://orcid.org/0009-0009-6836-8921).

Сидоркина Ирина Геннадьевна – доктор технических наук, профессор кафедры математического и аппаратного обеспечения информационных систем, Чувашский государственный университет, Россия, Чебоксары; заведующая кафедрой информационной безопасности, Поволжский государственный технологический университет, Россия, Йошкар-Ола (igs592000@mail.ru; ORCID: https://orcid.org/0009-0000-2869-0419).

Формат цитирования

Мунтян М.М., Сидоркина И.Г. Способ интеграции вспомогательного модуля с SIEM-системами // Вестник Чувашского университета. 2024. № 4. С. 60–74. DOI: 10.47026/1810-1909-2024-4-60-74.

Загрузить полный текст статьи