В Новосибирске разработали метод для улучшения работы систем кибербезопасности
В Новосибирском государственном техническом университете НЭТИ разработали методику количественной оценки качества событий информационной безопасности.
С её помощью можно определить полноту и корректность данных для нормализации, корреляции и выявления инцидентов. Сейчас формально правильно настроенная SIEM может не заметить атаку, если в логах нет обязательных полей, например, IP-адреса источника или статуса аутентификации. Методика НГТУ будет оценивать пригодность входящих данных для работы правил корреляции, в том числе при выявлении перебора паролей.
Важная локальная методика
Работу учёных нельзя назвать массовым пользовательским продуктом – скорее прикладной разработкой для корпоративной и государственной кибербезопасности. В перспективе пользоваться ею будут центры мониторинга (SOC), ИБ-службы крупных компаний, госсектор, операторы критической инфраструктуры, интеграторы и разработчики систем класса SIEM (управление информацией и событиями безопасности). Это значимый шаг для отечественной ИБ. Благодаря уходу зарубежных вендоров рынок российских SIEM растёт, а драйверами остаются импортозамещение и усиление киберугроз.
Методика должна снизить количество незамеченных атак на банки, госуслуги, связь, медицину, транспорт и другие повседневные сервисы. Развитие таких подходов повышает зрелость национальной системы киберзащиты. Это важно на фоне требований к защите критической инфраструктуры и работы госсистемы обнаружения и реагирования на компьютерные атаки.
А вот в глобальном контексте идея не уникальна. Качество логов и телеметрии является проблемой SOC и SIEM по всему миру. В то же время российская разработка может стать важной локальной методикой для отечественных решений – с учётом национальных регуляторных требований и особенностей инфраструктуры.
Часть функционала контроля качества
Методику можно назвать перспективной. Скорее всего, она будет применяться как вспомогательный инструмент в SOC и SIEM – при подключении новых источников логов, системной проверке полноты данных, настройке правил корреляции и поиске «слепых зон» в мониторинге. Для отечественных вендоров она может стать элементом функционала контроля качества данных и повысить ценность SIEM-платформ на фоне растущей нагрузки и числа инцидентов.
Ещё методика важна для госсектора и операторов критической информационной инфраструктуры – в качестве способа повысить уровень мониторинга и отчётности в условиях ужесточения требований и ограничений на зарубежные ИБ-сервисы. Методику вряд ли можно считать отдельным продуктом на экспорт, но она способна усилить конкурентоспособность наших SIEM/SOC-решений на дружественных рынках. Однако для этого нужны пилоты, интеграция с конкретными системами и подтверждение, что она реально уменьшает число пропущенных атак.
Интеллектуальный анализ угроз
Государственный курс на кибербезопасность начал укрепляться в России с 2022 года – благодаря указу президента Владимира Путина, который ввёл дополнительные меры защиты. Это стимулировало спрос на отечественные решения для мониторинга событий. В том же году КРОК одним из первых перевёл услуги своего центра КБ на отечественную SIEM KUMA «Лаборатории Касперского». Тем самым был обозначен переход SOC на российские национальные платформы. Рынок SIEM продолжил развитие в 2023-2024 годах. Компании массово переходили с зарубежных систем на российские. Заметную позицию среди игроков заняла MaxPatrol SIEM.
В 2024 году контроль качества источников усилили в MaxPatrol SIEM 8.2. В том же году Kaspersky KUMA 3.4 получила расширенные ИИ-возможности, улучшенную визуализацию и корреляцию. Это говорит о переходе SIEM от простого хранения логов к интеллектуальному анализу угроз. В 2025 году Solar представила решение, которое соединяет функции SIEM и SOAR. Платформа автоматизирует обработку событий, анализ инцидентов и реагирование.
В 2025–2026 годах усилились требования к КБ государственных информационных систем. Готовятся нормы об обязательном подключении ГИС к госсистеме обнаружения и предупреждения атак и уведомлении спецслужб о компьютерных инцидентах. В то же время продолжается усложнение отечественных SIEM-платформ. В 2026 году Kaspersky KUMA 4.2 получила ИИ-функции для выявления кражи учётных данных. Налицо переход к интеллектуальному анализу сложных сценариев компрометации.
Пилотирование методики в учебно-научной среде
Методика НЭТИ важна не как массовый продукт, а как инженерный инструмент для повышения надёжности кибермониторинга. Её главная идея заключается в переходе от подхода «мы собираем логи» к пониманию, пригодны ли эти данные для реального обнаружения атак.
Для отечественного ИБ-рынка это особенно злободневно на фоне роста кибератак, усиления регулирования и массового перехода на российские платформы. Вероятнее всего, методика получит развитие в виде пилотных проектов в вузах и совместных испытаний с отечественными SOC и вендорами. В будущем прогнозируется интеграция методики в инструменты аудита SIEM и контроля качества событий, в том числе как часть более «умных» платформ с автоматикой, рекомендациями и элементами ИИ.
