Роль анализа данных в кибербезопасности



В статье рассматривается роль и значение анализа данных для обеспечения кибербезопасности. Отдельно в процессе исследования акцентировано внимание на преимуществах и отличиях аналитики безопасности от обычной системы управления информацией об угрозах и событиях. Также обозначены типичные варианты использования анализа данных в сфере кибербезопасности. Кроме того, конкретизированы возможности анализа данных в преодолении проблем с видимостью и агрегированием информации, которая возникает в гибридной многооблачной среде.

Ключевые слова : кибербезопасность, анализ, данные, защита, угрозы.

This article discusses the role and importance of data analytics for cybersecurity. It focuses separately on the advantages and differences between security analytics and conventional threat and event information management systems. Typical uses of data analytics in cybersecurity are also outlined. In addition, the capabilities of data analytics in overcoming visibility and aggregation problems that arise in a hybrid multi-cloud environment are concretized.

Keywords: cybersecurity, analysis, data, protection, threats.

Кибербезопасность — это область, вызывающая все большее беспокойство. За последние пару лет можно наблюдать значительное увеличение разнообразия и частоты киберугроз, а предприятия и организации сообщают о все большем количестве рисков в процессе своей деятельности, которые инициируются глобальным информационным пространством [1]. Под угрозой оказываются не только коммерческие секреты или конфиденциальные бизнес-данные, но и персональная информация обычных граждан.

По мере того, как все больше и больше людей подключаются к сети, будь то для работы или личной жизни, у киберпреступников появляется больше потенциальных возможностей для нанесения атак. Кроме этого, методы злоумышленников становятся все более продвинутыми, и мошенникам доступно все больше инструментов. Пандемия коронавируса привела к особому сдвигу в кибератаках, как объясняют аналитики Statista Outlook — кризис COVID-19 привел к тому, что многие организации столкнулись с большим количеством кибератак из-за уязвимости безопасности удаленной работы, а также перехода к виртуализированным ИТ-средам, таким как инфраструктура, данные и сеть облачных вычислений. Как свидетельствуют прогнозы, к 2025 году коллективные данные человечества достигнут 175 зеттабайт — это число 175, за которым следует 21 ноль [2]. Эти данные включают в себя все, начиная от потокового видео и приложений и заканчивая базами данных здравоохранения. Очевидно, что защита всей этой информации жизненно важна.

По данным Microsoft, почти 80 % злоумышленников, совершающих атаки, нацелены на правительственные учреждения, аналитические центры и другие коммерческие организации. Количество случаев мошенничества выросло на 70 % с 2020 года. Утечки медицинских данных обходятся в среднем в 10,1 млн долларов за инцидент по состоянию на конец 2021 года. Ориентировочная стоимость киберпреступлений растет галопирующими темпами и прогнозы относительно будущей динамики неутешительные (см. рис. 1).

Рис. 1. Ориентировочная стоимость киберпреступлений по всему миру (трлн. дол. США) [3]

Очевидно, что в контексте обозначенных выше проблем на первое место выходят задачи защиты от киберугроз, а также необходимость выработки новых подходов и методов противодействия. В данном случае особого внимания заслуживает аналитика больших данных и ее использование в сфере кибербезопасности. Связано это с тем, что благодаря ей возможен сбор огромных объемов цифровой информации, их извлечение, визуализация и оценка, что позволяет заблаговременно прогнозировать катастрофические киберугрозы и атаки.

Таким образом, более подробное изучение данной проблематики, анализ возможностей и перспектив анализа данных составляет важную научно-практическую задачу, которая и обуславливает выбор темы данной статьи.

Некоторые аспекты выявления и предупреждения инцидентов кибербезопасности рассматривают в своих трудах Русакова О. И., Головань С. А., Романов А. С., Куртукова А. В., Cherdantseva, Yulia; Reinecke, Philipp; Burnap, Pete; Marchette, D. J.; Wegman, E. J.

Анализ международного опыта и лучшие практики управления кибербезопасностью детально изложены в трудах Данилова Р. М., Рыбака А. В., Бердыева О. Ш., Чарыева Д. Г., Huang, Jingwei; LaCerte, Yves.

Однако, несмотря на большое число научных трудов и публикаций в предметной плоскости кибербезопасности еще много вопросов требуют отдельного внимания и дополнительной проработки. В частности, в уточнении нуждаются перспективы и возможности объединения различных элементов управления кибербезопасностью. Также крайне фрагментарно и несистемно рассмотрены проблемы, связанные с применением методов анализа данных к операциям кибербезопасности.

Итак, цель статьи заключается в исследовании роли анализа данных для обеспечения кибербезопасности.

Анализ данных или аналитика безопасности — это проактивный подход к кибербезопасности, который использует возможности сбора, агрегирования и оценки разнообразной информации для выполнения жизненно важных функций безопасности, которые позволяют обнаруживать, анализировать и смягчать киберугрозы. Такие инструменты аналитики безопасности, как обнаружение угроз и мониторинг безопасности, развертываются с целью выявления и расследования инцидентов безопасности или потенциальных угроз, к числу которых относится внешнее вредоносное ПО, целевые атаки и злонамеренные инсайдеры [4].

Большие данные, собранные из сетей, компьютеров, датчиков и облачных систем, позволяют системным администраторам и аналитикам точно узнавать подробности об уязвимостях и рисках. Кроме того, они позволяют спланировать лучшую основу для разработки решений по безопасности, чтобы справиться с нештатными ситуациями. Благодаря способности обнаруживать угрозы на ранних стадиях у специалистов появляется возможность остановить их до того, как они проникнут в сетевую инфраструктуру, скомпрометируют ценные данные и активы или нанесут иной ущерб организации.

При использовании обычной системы управления информацией о безопасности и событиях (SIEM) аналитики полагаются на проверку того, что существует в конкретный момент времени в сети. В тоже время анализ данных применяется к сети в целом, включая общие тенденции, которые могут быть неочевидны в конкретном снимке. При этом аналитические процедуры опираются на машинное обучение и поведенческую информацию для мониторинга сети, выявления изменений в использовании ресурсов или трафика.

На основании вышеизложенного, можно четко формализовать факторы, которые предопределяют важность анализа данных в сфере обеспечения кибербезопасности.

Переход от защиты к обнаружению . Традиционная система SIEM хорошо справляется с угрозами по мере их появления. С помощью аналитики кибербезопасности сетевая защита может обнаружить угрозы до того, как они повлияют на ресурсы. Это происходит потому, что система наблюдает за поведением сети и потоками данных, постоянно анализируя потенциальные угрозы.

Единый взгляд на информационную систему. С помощью анализа данных эксперты получают возможность увидеть сетевую активность всей системы в комплексе. Это дает возможность обнаружить устройства в сети, а также просмотреть их конфигурацию и данные о событиях. Также благодаря анализу данных можно отслеживать, когда новые устройства подключаются к сети, и следить за их поведением.

Оценка результатов и окупаемости инвестиций в кибербезопасность. Результаты, полученные на основе анализа данных, отражают целостную информацию об эффективности работы системы в режиме реального времени, показывая потенциальные угрозы, которые были смягчены, и общее состояние сети. Это позволяет увидеть влияние системы на общую безопасность сети.

Таким образом, решения для аналитики безопасности собирают данные из многочисленных источников, включая данные о конечных точках и поведении пользователей, бизнес-приложения, журналы событий операционной системы, брандмауэры, маршрутизаторы, антивирусные сканеры, внешние данные об угрозах и контекстные данные, среди прочего. Объединение и сопоставление этих данных дает организациям один основной набор данных для работы, что позволяет специалистам по безопасности применять соответствующие алгоритмы и создавать быстрые поиски для выявления ранних признаков атаки. Кроме того, технологии машинного обучения также дают возможность проводить анализ угроз и данных практически в режиме реального времени.

Некоторые из типичных вариантов использования анализа данных в сфере кибербезопасности включают в себя:

1. Анализ трафика для выявления шаблонов, которые могут указывать на атаки.
2. Мониторинг поведения пользователей.
3. Обнаружение угроз.
4. Выявление попыток кражи данных.
5. Мониторинг активности удаленных и внутренних сотрудников.
6. Выявление внутренних угроз.
7. Обнаружение взломанных учетных записей.
8. Демонстрация соответствия разным стандартам, например, Стандарт безопасности данных в индустрии платежных карт (PCI DSS).
9. Расследование инцидентов.
10. Обнаружение неправомерного использования учетных записей.

В условиях, когда данные распределены по гибридной мультиоблачной среде, аналитикам необходимо получать значимые сведения о безопасности, которые помогут им обнаружить и расставить приоритеты угроз — как внутренних, так и внешних — и определить уровень риска. Однако высокораспределенная среда и разрозненные наборы данных затрудняют восприятие общей картины среды безопасности и соответственно получение нужных сведений для создания адекватной защиты.

Анализ данных в данной ситуации позволяет преодолеть проблемы с видимостью и информацией, которая возникает в гибридной многооблачной среде, следующими способами: соединение хранилищ данных, автоматизация реагирования на инциденты, предоставление унифицированного интерфейса.

Таким образом, подводя итоги, отметим, что анализ данных играет значимую роль в обеспечении кибербезопасности, т. к. инструменты его реализации могут помочь в более быстром обнаружении и реагировании благодаря их способности анализировать широкий спектр данных из многочисленных распределенных источников, что дает возможность аналитикам легко связывать различные аномалии предупреждений и инциденты безопасности для распознавания действий злоумышленников.

Литература:

1. Русакова О. И., Головань С. А. Анализ кибербезопасности в контексте современных угроз // Управленческий учет. 2022. № 10–2. С. 496–504.
2. Miranda-Calle, Julián Darío Exploratory data analysis for cybersecurity // World journal of engineering. Volume 18: Number 5. 2021; pp 734–749.
3. Agyepong, Enoch A systematic method for measuring the performance of a cyber security operations centre analyst // Computers & security. 2023. Issue 124; рр 98–102.
4. Скребунов В. Г. Новые подходы и технологии, влияющие на сферу кибербезопасности // Проблемы научной мысли. 2023. № 10. С. 101–110.
5. Huang, Jingwei Big Data Analysis with LDA for Cybersecurity in Organizations // NATO security through science series D. information and communication security. 2017. Volume 48; pp 169–179.