Целью данного научного исследования является анализ возможностей повышения эффективности защиты от киберугроз путем применения экспертных систем Blue Team. В работе осуществлен обзор различных экспертных систем Blue Team, включающий системы расширенного выявления и реагирования (XDR), платформы реагирования на инциденты инфор-мационной безопасности (IRP), системы управления, автоматизации и реагирования на инциденты (SOAR), а также системы киберразведки для анализа угроз (TI). Проанализированы процессы Threat Intelligence, включающие в себя сбор, анализ и интерпретацию информации о киберугрозах. Особое внимание уделено платформе киберразведки для анализа угроз – TI MISP, в том числе проанализирована модель данных этой платформы. Приведен пример работы с уязвимостью CVE-2022–26134, демонстрирующий эффективность использования платформы TI MISP для выявления угроз и принятия мер по их предотвращению. В заключении работы были сделаны выводы о преимуществах и недостатках применения платформы киберразведки для анализа угроз. В связи с этим применение экспертных систем Blue Team, включая платформу TI, в процессе мониторинга информационных систем может значительно повысить эффективность выявления компьютерных инцидентов и обеспечить более надежную защиту информационной инфраструктуры.
Никрошкин Иван Владимирович
Огнев Игорь Александрович
Киселев Максим Алексеевич
1.??Cybersecurity incident response in organizations: an exploratory case study and process model of situation awareness / A. Ahmad, S.B. Maynard, K.C. Desouza, J. Kotsias, M.T. Whitty, R.L. Baskerville // Computers & Security. – 2021. – Vol. 101. – P. 102122.
2.??Cho S.Y., Happa J., Creese S. Capturing tacit knowledge in security operation centers // IEEE Access. – 2020. – Vol. 8. – P. 42021–42041. – DOI: 10.1109/
ACCESS.2020.2976076.
3.??Schlette D., Vielberth M., Pernul G. CTI-SOC2M2 – The quest for mature, intelligence-driven security operations and incident response capabilities // Computers & Security. – 2021. – Vol. 111. – P. 102482. – DOI: 10.1016/
j.cose.2021.102482.
4.??Security operations center: a systematic survey and open challenges / M. Vielberth, F. Böhm, I. Fichtinger, G. Pernul // IEEE Access. – 2020. – Vol. 8. – P. 227756–227779. – DOI: 10.1109/ACCESS.2020.3045514.
5.??Chamkar S.A., Maleh Y., Gherabi N. The human factor capabilities in Security Operation Centre (SOC) // EDPACS: The EDP Audit, Control, and Security Newsletter. – 2022. – Vol. 66 (1). – DOI: 10.1080/07366981.2021.1977026.
6.??Majid M.A., Ariffi K.A.Z. Success factors for cyber security operation center (SOC) // Establishment International Conference on Informatics, Engineering, Science and Technology. INCITEST 2019, Bandung, Indonesia, 2019. – EAI, 2019. – DOI: 10.4108/eai.18-7-2019.2287841.
7.??Matched and mismatched SOCs: a qualitative Study on security operations center issues / F.B. Kokulu, T. Bao, A. Doupé, Y. Shoshitaishvili, G.-J. Ahn, Z. Zhao // CCS '19: Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security. – ACM, 2019. – P. 1955–1970. – DOI: 10.1145/3319535.3354239.
8.??Smith M. The SOC is dead, long live the SOC! // ITNOW. – 2020. – Vol. 62, iss. 1. – P. 34–35. – DOI: 10.1093/itnow/bwaa015.
9.??A human capital model for mitigating security analyst burnout / S. Sundaramurthy, X. Ou, A.G. Bardas, J. Case, M. Wesch, J. Mchugh, S.R. Ra-jagopalan // Eleventh Symposium on Usable Privacy and Security (SOUPS 2015), Ottawa, Canada, 22–24 July. – USENIX Association, 2015. – P. 347.
10.??Onwubiko C., Ouazzane K. SOTER: a playbook for cyber security incident management // IEEE Transaction of Engineering and Management. – 2022. – Vol. 69, N 6. – P. 3771–3791. – DOI: 10.1109/TEM.2020.2979832.
11.??Onwubiko C. Cyber security operations centre: security monitoring for protecting business and supporting cyber defense strategy // 2015 International Conference on Cyber Situational Awareness, Data Analytics and Assessment (CyberSA).?– London, 2015. – DOI: 10.1109/CyberSA.2015.7166125.
12.??A tale of three security operation centers / S.C. Sundaramurthy, J. Case, T. Truong, L. Zomlot, M. Hoffmann // SIW '14: Proceedings of the 2014 ACM Workshop on Security Information Workers. – ACM, 2014. – P. 43–50. – DOI: 10.1145/2663887.2663904.
13.??Andrade R.O., Yoo S.G. Cognitive security: a comprehensive study of cognitive science in cybersecurity // Journal of Information Security and Applica-tions.?– 2019. – Vol. 48. – P. 102352.
14.??Ahmed R.K.A. Overview of security metrics // Software Engineering. – 2016. – Vol. 4, iss. 4. – P. 59–64.
15.??Houngbo P.J., Hounsou J.T. Measuring information security: understanding and selecting appropriate metrics // International Journal of Computer Science and Security (IJCSS). – 2015. – Vol. 9 (2). – P. 108–120.
16.??What is XDR? // Microsoft Security: website. – URL: https://www.microsoft.com/en-us/security/business/security-101/what-is-xdr (accessed: 01.06.2023).
17.??What is XDR? // Palo Alto Networks: website. – URL: https://www.paloaltonetworks.com/cyberpedia/what-is-xdr (accessed: 01.06.2023).
18.??What Is Extended Detection and Response (XDR)? // Cisco: website. – URL: https://www.cisco.com/c/en/us/products/security/what-is-xdr.html (accessed: 01.06.2023).
19.??XDR & XDR Security. – URL: https://www.kaspersky.com/resource-center/definitions/what-is-xdr (accessed: 01.06.2023).
20.??Что такое IRP (Incident Response Platform) // Энциклопедия «Касперского»: web-сайт. – URL: https://encyclopedia.kaspersky.ru/glossary/irp/ (дата обращения: 01.06.2023).
21.??Shea Sh. SOAR (security orchestration, automation and response). – URL: https://www.techtarget.com/searchsecurity/definition/SOAR (accessed: 01.06.2023).
22.??What Is SOAR? // Palo Alto Networks: website. – URL: https://www.paloaltonetworks.com/cyberpedia/what-is-soar (accessed: 01.06.2023).
23.??SOAR (security orchestration, automation and response) // Энциклопедия «Касперского»: web-сайт. – URL: https://encyclopedia.kaspersky.ru/glossary/
security-orchestration-automation-and-response-soar/ (accessed: 01.06.2023).
24.??What is Cyber Threat Intelligence? [Beginner's guide] // CrowdStrike: website. – URL: https://www.crowdstrike.com/cybersecurity-101/threat-intelligence/ (accessed: 09.04.2023).
25.??What is Threat Intelligence? – Definition, Types & Tools // VMware: website. – URL: https://www.vmware.com/topics/glossary/content/threat-intelligence.html (accessed: 01.06.2023).
26.??What is Cyber Threat Intelligence? // Cisco: website. – URL: https://www.cisco.com/c/en/us/products/security/what-is-cyber-threat-intelligence.html (accessed: 01.06.2023).
Применение средств экспертизы Blue Team в процессе мониторинга информационных систем на примере платформы TI (Threat Intelligence) / А.В. Иванов, И.В.?Никрошкин, И.А. Огнев, М.А. Киселев // Безопасность цифровых технологий. – 2023. – № 2 (109). – С. 34–51. – DOI: 10.17212/2782-2230-2023-2-34-51.
Ivanov A.V., Nikroshkin I.V., Ognev I.A., Kiselev M.A. Primenenie sredstv ekspertizy Blue Team v protsesse monitoringa informatsionnykh sistem na primere platformy TI (threat intelligence) [Application of the Blue Team expertise tools in the process of monitoring information systems on the example of the TI platform (Threat Intelligence)]. Bezopasnost' tsifrovykh tekhnologii?= Digital Technology Security, 2023, no. 2 (109), pp. 34–51. DOI: 10.17212/2782-2230-2023-2-34-51.