В статье рассмотрены современные классы технических средств реагирования на инциденты информационной безопасности. Предложена концептуальная модель организации и взаимодействия технических средств реагирования на инциденты информационной безопасности, которая, в отличие от прочих, разделяет все используемые средства на три логических уровня, принимает во внимание направления потоков обрабатываемых и формируемых данных, а также выделяет контур хранения данных. Дополнительно рассмотрена система обнаружения инцидентов информационной безопасности и реагирования на них как система с автономным объектом управления, для которой одной из целей является накопление знаний (данных). Предложен алгоритм принятия решений при реагировании на инциденты информационной безопасности, в отличие от известных, учитывающий и реализующий подход data-driven.
< ... >
The article considers modern classes of technical information security incident response tools. The conceptual model of organization and interaction of technical information security incident response tools is proposed, which unlike the known ones divides all used tools into three logical levels, takes into account the directions of processed and formed data flows, and also allocates the data storage loop. Additionally, the information security incident detection and response system is considered as a system with an autonomous control object, for which one of the goals is the accumulation of knowledge (data). The decision-making algorithm for information security incidents responding is proposed, which, unlike the known ones, realizes a data-driven approach.
Keywords:
data-driven, advanced persistent threat (APT), security event data, cyber intelligence data, big data, incident localization, intelligent response mode
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»
