CC BY
41
В. А. Минаев,
К. М. Бондарь,
В. С. Дунин,
кандидат технических наук
доктор технических наук, кандидат технических
профессор
наук
ВОЗМОЖНОСТИ ИМИТАЦИОННОГО МОДЕЛИРОВАНИЯ ДЕЯТЕЛЬНОСТИ ЦЕНТРА ОПЕРАТИВНОГО УПРАВЛЕНИЯ И МОНИТОРИНГА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В УСЛОВИЯХ КИБЕРАТАК РАЗЛИЧНОГО МАСШТАБА
POSSIBILITIES OF SIMULATION MODELING OF THE ACTIVITIES OF THE MONITORING INFORMATION SECURITY AND OPERATIONS CENTER UNDER CONDITIONS OF VARIOUS
SCALES CYBERATTACKS
Статья посвящена проблеме моделирования работы центра мониторинга информационной безопасности (ЦМИБ) современного предприятия, включая организации силовых структур, в условиях реализации кибератак различного масштаба. Моделируется схема последовательного прохождения сообщений, в том числе — о кибератаках, через блок SIEM (Security Information and Event Management) и SOC-центр (Security Operations Center). Разработанная дискретно-событийная модель ЦМИБ решает задачи прогнозирования и анализа поведения центра при различных штатных и внештатных ситуациях, оптимального управления ресурсами обеспечения кибербезопасности, включая качественные и количественные характеристики обслуживающего персонала. Моделирование проводится в программной среде Anylogic, что обеспечивает интерпретацию результатов моделирования, управление параметрами моделей, различные виды имитационных экспериментов. Эксперименты подтвердили адекватность дискретно-событийной модели. Показано, что организация борьбы с компьютерными атаками наиболее эффективна при оптимальном распределении кадровых ресурсов между линиями SOC-центра. Эта модель устойчива к атакам различного масштаба, включая массовые. Вывод: дискретно-событийная модель ЦМИБ отражает современные тренды в области технологического обеспечения информационной безопасности предприятий и организаций. Она
учитывает наиболее существенные факторы; обеспечивает баланс между требуемой точностью результатов моделирования и сложностью модели; отличается универсальностью, адаптивностью для решения многих задач управления информационной безопасностью, гибкостью разработки моделей в современной среде имитационного моделирования.
The article is devoted to the problem of modeling the work of the information security monitoring center (ISMC) of a modern enterprise, including organizations of law enforcement agencies, in the conditions of implementing cyber attacks of various scales. The scheme of sequential passing of messages, including about cyber attacks, through the SIEM (Security Information and Event Management) block and the SOC center (Security Operations Center) is modeled. The developed discrete-event model of the ISMC solves the problems offorecasting and analyzing the behavior of the center in various regular and emergency situations, optimal management of cybersecurity resources, including qualitative and quantitative characteristics of service personnel. Modeling is carried out in the Anylogic software environment, which provides interpretation of modeling results, control of model parameters, various types of simulation experiments. Experiments have confirmed the adequacy of the discrete-event model. It is shown that the organization of the fight against computer attacks is most effective with the optimal distribution of human resources between the lines of the SOC center. This model is resistant to attacks of various scales, including mass ones. Conclusion: the discrete-event model of the CMIB reflects modern trends in the field of technological support of information security of enterprises and organizations. It takes into account the most significant factors; provides a balance between the required accuracy of modeling results and the complexity of the model; it is characterized by versatility, adaptability to solve many problems of information security management, flexibility of model development in a modern simulation environment.
Введение. Многие информационные системы в современных организациях и на предприятиях обрабатывают информацию ограниченного распространения. Это создает риск ее утечки и хищения, обусловливаемый несовершенством системы защиты информации, криминальными наклонностями и низкой компетенцией сотрудников, эксплуатирующих информационные системы. Количество и уровень опасности киберугроз постоянно возрастает, увеличивается доля уникальных киберинцидентов, связанных не только с целенаправленными атаками против отдельных организаций и структур, но и целых отраслей производства [1]. Для защиты информационных систем применяются новые подходы. Один из них — создание и развитие ЦМИБ, базирующихся на SIEM-системах и SOC-центрах [2].
Настоящая статья посвящена разработке и исследованию имитационной модели ЦМИБ, обеспечивающего кибербезопасность современного предприятия, обсуждению полученных результатов, направленных на совершенствование структуры и алгоритмов функционирования Центра.
Общая направленность процесса моделирования связана с анализом, оценкой и прогнозированием последствий кибератак различного масштабного уровня на функционирование современных предприятий и выработку эффективных решений по управлению противодействием компьютерным атакам. Полученные результаты могут быть использованы при разработке современных ЦМИБ предприятий.
Центры мониторинга информационной безопасности. Современные государственные структуры, межотраслевые и крупные отраслевые корпорации создают
мощные (ЦМИБ) [1—3]. В качестве структурных элементов такие Центры включают системы сбора и анализа инцидентов, возникающих во внешних и внутренних источниках (устройства пользователей, сетевая аппаратура, системы защиты информации, Web-сервисы и т.п.). Первичный мониторинг в ЦМИБ осуществляют БГЕМ-системы: автоматизированный анализ в реальном режиме времени событий безопасности в применяемых устройствах и приложениях. Следующим сегментом в ЦМИБ выступает SOC-центр. Он позволяет распределять обработанные SIEM-системой события безопасности для их углубленной обработки. Состав ЦМИБ приведен на рис. 1.
ИТ-
инфраструктура
Средства защиты информации
Б1ЕМ Блок сбора и нормализации
Блок агрегации
Блок фильтрации
Блок корреляции
БоС
1-линия
2-линия
3-линия
Рис. 1. Состав Центра мониторинга информационной безопасности
Математическое моделирование функционирования БГЕМ-системы и БОС-центра позволяет усовершенствовать управление информационной безопасностью предприятий и организаций [2, 3], обеспечивая необходимый научный и методический уровень решения задач управления ресурсами ЦМИБ, оценки, анализа и прогнозирования кибератак.
Поступающие сообщения сначала нормализуют и затем помещают в базу данных SIEM (блок сбора и нормализации). Далее в блоке агрегации уменьшают их количество, объединяя однотипные сообщения из различных источников, что дает возможность применительно к однородным группам определять варианты реагирования. Затем в блоке фильтрации их разделяют на несущие и не несущие полезную информацию сообщения. Завершает процесс блок корреляции, где осуществляется обнаружение, идентификация и регистрация инцидентов. Эти процедуры выполняются в соответствии с директивам корреляции (предустановленными или пользовательскими).
Основное условие для ЦМИБ — интенсивность сообщений на соответствующих этапах не должна превышать производительность каждого из указанных четырех блоков.
Результаты имитационных экспериментов
Для модели функционирования ЦМИБ авторы использовали систему моделирования AnyLogic, поддерживающую три подхода к созданию имитационных моделей: процессно-ориентированный (дискретно-событийный), системно-динамический и агентный, а также любую их комбинацию [4]. Метод используется для решения широкого круга задач, в частности использован авторами в сфере информационной безопасности [5—7].
На рис. 1 показана последовательность движения сообщений о событиях. После обработки в БГЕМ-системе имеются сообщения о событиях с непринятыми в автоматизированном режиме решениями — относятся ли они к деструктивным
компьютерным инцидентам или нет. Такие сообщения направляются в SOC-центр для анализа экспертами, затрачивающими на это достаточно большое время (часы и даже дни). Приведем некоторые оценки.
В [8, 9] отмечается: один источник в рабочее время в среднем генерирует 3 события в секунду. Ночью и в выходные сообщений практически нет. Подозрения на инцидент (после обработки в блоках SIEM) вызывают 0,00015% от всех входящих событий. Именно их и направляют аналитикам SOC. Согласно [9], время на обработку в SIEM составляет не более 10 сек.
Проанализируем результаты имитационных экспериментов, проведенных на дискретно-событийной модели ЦМИБ (рис. 1).
Эксперимент 1. Параметры: предприятие среднего размера (до 250 человек); серверы — 10 единиц; сетевое оборудование — 10; компьютеры — 100; средства защиты информации — 100; Web-сервисы — 10. Анализ нагрузки на ЦМИБ в рабочие часы.
Эксперимент 2. Те же параметры, но на 30 компьютерах обновлено программное обеспечение. Количество сообщений о событиях с них возрастет в 3 раза. Сравнение показателей нагрузки на ЦМИБ в рабочие часы в экспериментах 1 и 2.
Эксперимент 3. Те же параметры, но количество оборудования в 2 раза больше, чем в эксперименте 1. Сравним показатели нагрузки на ЦМИБ в экспериментах 3 и 1.
Начнем с устоявшихся режимов работы блоков SIEM-системы и SOC-Центра, оперируя средними значениями характеристик процессов, протекающих в ЦМИБ.
Результаты эксперимента 1. Средняя очередь событий: в блоках сбора и нормализации, фильтрации и корреляции — 1,26; в блоке агрегации — 0,57, в блоке корреляции — 1,14. При данной нагрузке во всех рассмотренных блоках очередей нет. Максимальная очередь: в блоке сбора и нормализации — 30 событий (гораздо меньше его вместимости); блоке фильтрации и блоке корреляции — 19 (также меньше их вместимости). Статистика по блоку агрегации (накопление событий за 0,5 с): среднее — 1149 событий; максимальное — 1314. При этом средний коэффициент использования: 1-линия SOC — 0,16; 2-линия — 0,38; 3-линия не задействуется совсем. То есть, SOC со своими задачами справляется успешно. До стадии обработки аналитиками 3-линии SOC-центра доходит 1 случай из 20 со временем обработки 1 сутки. С учетом того, что ее аналитик занимается инцидентом в среднем 5 рабочих дней, и 3 -линия также работает штатно.
Общий вывод: все составляющие ЦМИБ успешно выполняют свои функции. Тогда моделирование устойчивого режима обработки сообщений о событиях в блоках SIEM-системы показывает, что позволяет эффективно контролировать идущие процессы, упреждающе принимая решения о корректировке системы управления кибербезопасностью предприятия.
Нестационарные режимы. На рис. 2 представлено изменение времени обработки сообщений о событиях в блоке их сбора и нормализации. В блоке фильтрации также наблюдается существенная нестационарность. Изначально время обработки установлено 0,0004 с. Но за счет образования очереди происходит его заметное увеличение.
Обусловленное различными факторами, определяющими динамику обработки сообщений о событиях в каждом блоке, общее время обработки в SIEM-системе, показанное на рис. 4, также существенно нестационарно, не превышая 0,66 с.
Рис. 2. Динамика обработки событий в блоке сбора и нормализации Рис. 3 отражает время обработки событий в блоке корреляции. Как и в предыдущих блоках, оно существенно выше, чем изначально заданное.
Рис. 3. Динамика обработки событий в блоке корреляции
Рассмотрение функционирования БГЕМ-системы с помощью имитационной модели в нерабочее время привело к очевидным результатам: все события, которые произошли в рабочее время, обработаны; средняя и максимальная очереди событий в блоках сбора и нормализации, фильтрации, корреляции существенно снижаются.
Рис. 4. Общая динамика обработки событий в БГЕМ-системе
Количество событий, которые успевает накапливать блок агрегации за 0,5 сек для обработки, в среднем — 51; максимум — 86.
Количество сообщений для обработки настолько мало, что они практически не доходят до SOC-центра. Его вторая и третья линии не используются совсем. В целом нагрузка на ЦМИБ в нерабочее время снижается в десятки раз.
Результаты эксперимента 2. Выделим 30 компьютеров предприятия с обновленным программным обеспечением в отдельную подгруппу и зададим для них свое расписание активности в рабочее время. Воздействие указанных изменений на загруженность линий SOC, как показал эксперимент, минимально, поэтому рассмотрим только SIEM-систему.
Средняя длина очереди событий в блоках сбора и нормализации, фильтрации, корреляции SIEM-системы по сравнению с экспериментом 1 возросла в 8—10 раз. Хотя суммарное количество событий от источников увеличилось всего в 1,3 раза. Это связано с тем, что события проводят в очереди на обработку больше времени, чем в самих блоках обработки. По сравнению с экспериментом 1 максимальное количество событий в очереди в каждом блоке возросло в 4-5 раз. Количество событий, которые успевают накапливаться для обработки в блоке агрегации за 0,5 сек, увеличивается примерно на 20—30%.
Оценим время обработки событий в блоках SIEM-системы в рамках эксперимента 2. Так, в блоке сбора и нормализации время обработки увеличивается, его максимальное значение прирастает в 2 раза. То же наблюдается в блоке фильтрации, а максимальное значение времени обработки увеличивается в 5 раз. В блоке корреляции максимальное увеличение — в 6 раз. Отметим, что общее время обработки увеличилось не настолько, как в отдельных блоках, а его максимальное значение составило 2 раза.
Результаты эксперимента 3. При проведении эксперимента необходимо было игнорировать «лишние» события в блоке сбора и нормализации, так как его вместимость всего 3 тыс. событий. Потери за час работы составляют более 5,5 млн событий. Определить, являются они инцидентами или нет, на данном этапе невозможно. Из-за таких больших потерь можно пропустить серьезную кибератаку на предприятие.
В этом смысле эксперимент 3 — демонстрационный. Он показывает, как не нужно проектировать SIEM-систему, чтобы исключить неоправданные очереди в обслуживании сообщений о событиях и не пропустить серьезные кибератаки. В эксперименте загрузка блоков фильтрации и корреляции увеличилась по сравнению с загрузкой в рабочее время в эксперименте 1. При этом время обработки событий в блоке фильтрации увеличилось в 12,5 раза, а в блоке корреляции — в 17,5 раза. Загрузка блока сбора и нормализации в связи с введенными ограничениями достигла 3 тыс. событий. Общее время обработки событий в SIEM-системе увеличилось в 8,3 раза по сравнению с результатами эксперимента 1, и при максимальной нагрузке самое большое время обработки событий составляет 5,5 с. Обобщенные результаты экспериментов приведены в табл. 1.
В SOC-центре основной акцент делается не на автоматизированную обработку сообщений о событиях, в том числе содержащих информацию о кибератаках, а на профессионализм и глубокие знания экспертов-аналитиков в области кибербезопасности.
Таблица 1
Результаты исследования характеристик блоков SIEM-системы
Нагрузка Эксперимент 1 (рабочее время) Эксперимент 1 (нерабочее время) Экспери мент 2 Экспер имент 3
Очередь в блоке сбора и нормализации
Средняя 1,26 0,0006 11,24 2998
Максимальная 30 3 146 3000
Очередь в блоке фильтрации
Средняя 0,57 0,0003 4,43 21,6
Максимальная 19 2 67 286
Очередь в блоке корреляции
Средняя 1,14 0,0006 8,72 100,1
Максимальная 19 2 74 299
Загрузка блока агрегации
Средняя 1149 50,7 1450 1514,9
Максимальная 1314 86 1543 1559
Рассмотрим результаты работы дискретно-событийной модели SOC-центра для трех случаев распределения кадрового ресурса между его линиями.
Первый — равномерное распределение кадрового ресурса между линиями; второй — оптимальное распределение кадровых ресурсов, направленное на минимизацию необработанных сообщений о киберинцидентах [10], третий — оптимальное распределение кадровых ресурсов в случае DDOS атак. Эти варианты отображены на рис. 5—7.
Как видно из графиков на рис. 5, загруженность каждой линии динамически изменяется. В начале загруженность 1-линии во много раз превышает загруженность второй и третьей. Затем скачок загруженности снижается на 1-й линии, а на второй и третьей повышается. С течением времени наблюдается плавное изменение кривой при неизменном начальном потоке сообщений.
На рис. 6 показана работа SOC-центра при оптимальном распределении кадровых ресурсов, когда пропуск киберинцидентов минимален, со временем начинает наблюдаться равномерная загруженность его линий. Скачок загрузки 1 -й линии, наблюдающийся, как и в предыдущем эксперименте, существенно меньше. При оптимальном распределении кадровых ресурсов SOC-центр отражает максимальную отдачу персонала при организации борьбы с кибератаками.
Наконец, в эксперименте, отражающем устойчивость SOC-центра к целенаправленным кибератакам, проведена имитация DDoS-атаки с увеличением интенсивности сообщений о событиях в 6 раз. Результаты работы модели отображены на рис. 7.
Рис. 5. Загруженность линий обслуживания SOC-Центра при равномерном распределении кадрового ресурса между ними
Рис. 6. Загруженность линий обслуживания SOC-центра при оптимальном распределении кадровых ресурсов
Рис. 7. Загруженность линий обслуживания при оптимальном распределении кадровых ресурсов применительно к DDOS-атаке
Выводы:
1. Дискретно-событийная модель ЦМИБ позволяет решать задачи управления временем обработки сообщений об киберинцидентах, оптимизации ресурсного обеспечения кибербезопасности предприятия (распределение кадров, отбор специалистов, их компетенций), ее прогнозирования.
2. Модель удовлетворяет основным современным требованиям технологического обеспечения кибербезопасности; учета наиболее существенных факторов; обеспечения баланса между требуемой точностью результатов моделирования и сложностью модели; универсальности и гибкости разработки.
3. Отечественная программная среда Anylogic позволяет проигрывать различные сценарии кибератак на ЦМИБ, с высоким качеством интерпретировать результаты реализации моделей, проводить различные виды имитационных экспериментов и вариации параметров моделей (чувствительности, оптимизации ресурсов и т.д.).
4. Модель способна обосновывать различные решения. Это: возможность установки на предприятии SIEM-системы того или иного класса; нагрузка на такую систему; необходимость установки дополнительных SIEM-систем или замена их на более производительные; комплектование штата специалистов SOC-центров.
5. Дальнейшим развитием является уточнение и детализация модели, параметров блоков и сообщений об инцидентах, а также проведение дополнительной серии имитационных экспериментов с различными комбинациями факторов. А именно: углубленное исследование факторов киберпреступности, дополнительных блоков SIEM-системы (более эффективных методов фильтрации, агрегации и корреляции), а также комплексное изучение совместной работы SIEM-систем и SOC-центров.
6. При проведении исследований дискретно-событийной модели SOC-центра показано, что организация борьбы с компьютерными атаками осуществляется эффективнее в модели с оптимальным распределением кадровых ресурсов. В ходе эксперимента при организации целенаправленной компьютерной атаки выявлено, что модель с оптимальным распределением кадрового ресурса имеет значительную устойчивость к атакам различного масштаба, включая массовые, а также к их длительности.
ЛИТЕРАТУРА
1. Кибермишени 2019 как тренды 2020 — статистика Solar JSOC. — URL: https://www.securitylab.ru/blog/company/solarsecurity/348031.php. (дата обращения: 28.06.2021).
2. Шабуров А. С., Борисов В. И. Разработка модели защиты информации корпоративной сети на основе внедрения SIEM-системы // Вестник ПНИПУ. — 2016. — № 19. — С.111—124.
3. Минаев В. А., Бондарь К. М., Вайц Е. В., Беляков И. А. Дискретно-событийное моделирование процессов мониторинга и управления информационной безопасностью // Вестник Российского нового университета. — 2019. — № 3. — С. 32—39.
4. Боев В. Д. Исследование адекватности GPSS World и AnyLogic при моделировании дискретно-событийных процессов: монография. — СПб. : ВАС, 2011. — 404 с.
5. Андреев А. А. , Бондарь К. М. , Минаев В. А. Терроризм и экстремизм: моделирование информационного противодействия: монография. — Хабаровск :
Дальневосточный юридический институт МВД России, 2020. — 248 с.
6. Киракосян А. Э., Минаев В. А., Сычев М. П. Моделирование информационного противоборства в социальных медиа. — М. : Наука, 2020. — 154 с.
7. Минаев В. А. Информационное противоборство в социальных сетях: модели и методы исследования // Информация и безопасность. — 2020. — Т. 23. — Вып. 4. — С. 477—496.
8. Современные системы имитационного моделирования. — URL: https://studme.org/191020/ekonomika/sovremennye_sistemy_imitatsionnogo_modelirovaniya (дата обращения: 28.06.2021).
9. Блог компании Ростелеком-Солар. SOC for Beginners. Как организовать мониторинг инцидентов и реагирование на атаки в режиме 24х7. URL: https:// habr.com/ru/company/solarsecurity/blog/344632/. (Дата обращения 21.06.2021).
10. Минаев В. А. Оптимальное распределение кадровых ресурсов в многоуровневой системе противодействия компьютерным атакам // Информация и безопасность. —2020. — Т. 23. — № 2 (4). — Вып. 4. — С. 269—276.
REFERENCES
1. Kibermisheni 2019 kak trendy' 2020 — statistika Solar JSOC. — URL: https://www.securitylab.ru/blog/company/solarsecurity/348031.php. (data obrashheniya: 28.06.2021).
2. Shaburov A. S., Borisov V. I. Razrabotka modeli zashhity' informacii korporativnoj seti na osnove vnedreniya SIEM-sistemy' // Vestnik PNIPU. — 2016. — № 19. — S.111—124.
3. Minaev V. A., Bondar' K. M., Vajcz E. V., Belyakov I. A. Diskretno-soby'tijnoe modelirovanie processov monitoringa i upravleniya informacionnoj bezopasnost'yu // Vestnik Rossijskogo novogo universiteta. — 2019. — № 3. — S. 32—39.
4. Boev V. D. Issledovanie adekvatnosti GPSS World i AnyLogic pri modelirovanii diskretno-soby'tijny'x processov: monografiya. — SPb. : VAS, 2011. — 404 s.
5. Andreev A. A., Bondar' K. M., Minaev V. A. Terrorizm i e'kstremizm: modelirovanie informacionnogo protivodejstviya: monografiya. — Xabarovsk : Dal'nevostochny'j yuridicheskij institut MVD Rossii, 2020. — 248 s.
6. Kirakosyan A. E\, Minaev V. A., Sy'chev M. P. Modelirovanie informacionnogo protivoborstva v social'ny'x media. — M. : Nauka, 2020. — 154 s.
7. Minaev V. A. Informacionnoe protivoborstvo v social'ny'x setyax: modeli i metody' issledovaniya // Informaciya i bezopasnost'. — 2020. — T. 23. — Vy'p. 4. — S. 477—496.
8. Sovremenny'e sistemy' imitacionnogo modelirovaniya. — URL: https://studme.org/191020/ekonomika/sovremennye_sistemy_imitatsionnogo_modelirovaniya (data obrashheniya: 28.06.2021).
9. Blog kompanii Rostelekom-Solar. SOC for Beginners. Kak organizovat' monitoring incidentov i reagirovanie na ataki v rezhime 24x7. URL: https:// habr.com/ru/company/solarsecurity/blog/344632/. (Data obrashheniya 21.06.2021).
10. Minaev V. A. Optimal'noe raspredelenie kadrovy'x resursov v mnogourovne-voj sisteme protivodejstviya komp'yuterny'm atakam // Informaciya i bezopasnost'. —2020. — T. 23. — № 2 (4). — Vy'p. 4. — S. 269—276.
СВЕДЕНИЯ ОБ АВТОРАХ
Минаев Владимир Александрович. Профессор кафедры специальных информационных технологий учебно-научного комплекса информационных технологий. Доктор технических наук, профессор.
Московский университет МВД России им. В.Я. Кикотя.
Е-mail: m1va@yandex.ru
Россия, 117997, г. Москва, ул. Академика Волгина, д. 12. Тел. (499) 745-91-71.
Бондарь Константин Михайлович. Профессор кафедры информационного и технического обеспечения органов внутренних дел. Кандидат технических наук, доцент.
Дальневосточный юридический институт МВД России.
Е-mail: bondar_km@mail.ru
Россия, 680020, г. Хабаровск, пер. Казарменный, 15. Тел. (4212) 46-54-21.
Дунин Вадим Сергеевич. Заместитель начальника кафедры информационного и технического обеспечения органов внутренних дел. Кандидат технических наук.
Дальневосточный юридический институт МВД России.
Е-mail: vdunin2@mvd.ru
Россия, 680020, г. Хабаровск, пер. Казарменный, 15. Тел. (4212) 465-231.
Minaev Vladimir Aleksandrovich. Professor of the chair of Special Information Technologies of the educational and scientific complex of information technologies. Doctor of technical Sciences, Professor.
Е-mail: m1va@yandex.ru
Moscow University of the Ministry of the Interior of Russianamedafter V. Ya. Kikot.
Work address: Russia, 117997, Moscow, Academician Volgin Str., 12. Tel. (499)7459-171.
Bondar Konstantin Mikhailovich. Professor of the chair of Information and Technical Support of Internal Affairs Bodies. Candidate of technical Sciences, Assistant Professor.
Far Eastern Law Institute of the Ministry of the Interior of Russia.
Е-mail: bondar_km@mail.ru
Work address: Russia, 680020, Khabarovsk, Kazarmenniy Lane, 15. Tel. (4212) 465-421.
Dunin Vadim Sergeevich. Deputy Head of the chair of Information and Technical Support of Internal Affairs Bodies. Candidate of technical Sciences.
Far Eastern Law Institute of the Ministry of the Interior of Russia.
Е-mail: vdunin2@mvd.ru
Work address: Russia, 680020, Khabarovsk, Kazarmenniy Lane, 15. Tel. (4212) 465-230.
Ключевые слова: кибератака; предприятие; информационная безопасность; дискретно-событийное моделирование; SIEM-система, SOC-центр; имитация.
Key words: cyber-attack; enterprise; information security; discrete event modeling; SIEM system; SOC center; simulation.
УДК 004.056.53
