Дослідження можливостей використання SOC на основі безкоштовного та відкритого програмного забезпечення
DOI:
https://doi.org/10.26642/ten-2024-1(93)-170-175Ключові слова:
розвідка загроз, реагування на інциденти, виявлення загроз, ІБ (інформаційна безпека), операційний центр безпеки безкоштовне програмне забезпечення з відкритим кодомАнотація
У статті розглядається особлива комбінація рішень операційного центру безпеки, що використовують безкоштовне програмне забезпечення з відкритим вихідним кодом, як альтернатива таким центрам на базі високовартісного пропрієтарного ПЗ. У дослідженні визначено компоненти такого операційного центру безпеки, описано їх місце та взаємодію в процесі виявлення, аналізу та пом'якшення наслідків кібератак. Також проаналізовано конкурентоспроможність та визначено переваги, недоліки та перспективи розвитку запропонованого рішення.
У дослідженні проаналізовано конкретну комбінацію безкоштовних інструментів з відкритим вихідним кодом, детально описано роль та взаємодію кожного компонента у виявленні, аналізі та пом'якшенні наслідків кіберзагроз. Запропонований безкоштовний операційний центр безпеки з відкритим вихідним кодом складається з системи управління інформацією та подіями безпеки (Elastic Stack), платформи оркестрування, автоматизації та реагування безпеки (TheHive і Cortex), системи запобігання вторгненням/виявлення вторгнень (Snort), системи виявлення та реагування на вторгнення на кінцеві точки/розширеного виявлення та реагування на вторгнення (Wazuh), платформи розвідки загроз (MISP), сканера вразливостей (OpenVAS), інструменту для аналізу шкідливого програмного забезпечення (YARA), рішень Honey, а також системи для перевірки на наявність шкідливого програмного забезпечення (Atomic Red Team).
У дослідженні проілюстровано приклади використання, що демонструють реакцію операційного центру безпеки на інфікування вірусами-здирниками, використання вразливостей і спрацьовування honeypot, з акцентом на синергетичну взаємодію між компонентами. Переваги безкоштовного операційного центру безпеки з відкритим вихідним кодом включають економічну ефективність, можливість налаштування, гнучкість, надійність, відмовостійкість та підтримку з боку фахової спільноти. Серед недоліків центру визначено загальну складність, проблеми з інтеграцією, недостатність документації, відсутність підтримки з боку постачальників, потенційні ризики для безпеки та обмежені можливості порівняно з корпоративними рішеннями.
У дослідженні зроблено висновок, що хоча розгортання та управління безкоштовними інструментами з відкритим вихідним кодом може бути складним, переваги безкоштовного операційного центру безпеки з відкритим вихідним кодом переважають недоліки, що робить його життєздатним варіантом для організацій з особливими потребами в безпеці, особливо для тих, які мають бюджетні обмеження.
Посилання
CISA (2023), Free Cybersecurity Services and Tools, [Online], available at: https://www.cisa.gov/resources-tools/resources/free-cybersecurity-services-and-tools
Elastic, The ELK Stack: From the Creators of Elasticsearch, [Online], available at: https://www.elastic.co/what-is/elk-stack
TheHive Project, [Online], available at: https://thehive-project.org/
Snort, Network Intrusion Detection & Prevention System, [Online], available at: https://www.snort.org/
Wazuh (2023), The Open Source Security Platform, [Online], available at: https://wazuh.com/
MISP, Open Source Threat Intelligence Platform & Open Standards for Threat Information Sharing, [Online], available at: https://www.misp-project.org/
OpenVAS, [Online], available at: https://openvas.org/
GitHub, «The pattern matching swiss knife», VirusTotal/yara, [Online], available at: https://github.com/virustotal/yara
«Developments of the Honeyd Virtual Honeypot», [Online], available at: https://www.honeyd.org/
Atomic Red Team, Canary R. Explore Atomic Red Team, [Online], available at: https://atomicredteam.io/
##submission.downloads##
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2024 А.А. Єфіменко , М.В. Гончаров
Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial 4.0 International License.
Автор, який подає матеріали до друку, зберігає за собою всі авторські права та надає відповідному виданню право першої публікації, дозволяючи розповсюджувати даний матеріал із зазначенням авторства та джерела первинної публікації, а також погоджується на розміщення її електронної версії на сайті Національної бібліотеки ім. В.І. Вернадського.
