В новосибирском техническом университете учат системы кибербезопасности отличать хорошие данные от плохих
Ученые НГТУ НЭТИ разрабатывают методику, которая поможет специалистам по кибербезопасности понять, насколько данные, поступающие в системы мониторинга, реально пригодны для выявления хакерских атак.
Системы класса SIEM собирают события из корпоративной инфраструктуры и автоматически ищут в них признаки угроз. Однако даже правильно настроенная система может не замечать атаки – не потому что данных нет, а потому что они некачественные. Аспирант Максим Киселев под руководством доцента Андрея Иванова создает инструмент, который позволяет это обнаружить.
В основе методики – показатель дефицита логирования. Он оценивает полноту данных, наличие обязательных полей и временную корректность. Сценарии атак описываются через международную базу MITRE ATT&CK. Разработка будет полезна для SOC-центров и администраторов систем кибербезопасности.
