SIMULATION OF ENTERPRISE SOC-CENTER FUNCTIONING АТ THE LARGE-SCALE COMPUTER ATTACKS

Обсуждаются структура современных центров мониторинга информационной безопасности (ЦМИБ) и схема прохождения сообщений через блок SIEM (Security Information and Event Management). Дано ограничение на время обработки сообщения о событиях в SIEM. Изучены результаты некоторых имитационных экспериментов c управлением кадровыми ресурсами SOC-Центра. Показано, что для оптимизации управления ресурсами центров обеспечения информационной безопасности современных предприятий эффективно применимы методы дискретно-событийного моделирования. Разработанная авторами дискретно-событийная модель SOC-центра позволяет решать задачи управления и оптимизации кадрового ресурса, прогнозирования и анализа поведения центра при различных штатных и внештатных ситуациях. Выбранное в качестве среды имитационного моделирования программное обеспечение Anylogic позволяет воспроизводить различные сценарии с помощью дискретно-событийных моделей, производить интерпретацию результатов моделирования и управлять факторным комплексом моделей во время их работы, проводить различные виды имитационных экспериментов, в том числе - по вариации параметров моделей, оптимизации и многое другое. Эксперименты подтвердили устойчивость и адекватность математической модели оптимизации управления кадровыми ресурсами. При проведении исследований дискретно-событийной модели SOC-центра показано, что организация борьбы с компьютерными атаками осуществляется эффективнее при оптимальном распределении кадровых ресурсов. В ходе эксперимента по организации целенаправленной компьютерной атаки выявлено, что модель с оптимальным распределением кадрового ресурса устойчива к атакам различного масштаба, включая массовые. The structure of modern Information Security Monitoring Centers (ISMC) and the scheme of passing messages through the SIEM (Security Information and Event Management) block are discussed. The time limit for processing the event message in SIEM is given. The results of some simulation experiments with the human resources of the SOC-center are investigated. It is shown that the methods of discrete-event modeling are effectively applied to optimize the resource management of information security centers of modern enterprises. The discrete-event model of the SOC-center developed by the authors allows solving the problems of managing and optimizing the human resource, predicting and analyzing the behavior of the center in various regular and emergency situations. The Anylogic software chosen as the simulation environment allows you to reproduce various scenarios using discrete-event models, interpret the simulation results and manage the factor complex of models during their operation, conduct various types of simulation experiments, including model parameter variations, optimization, and much more. The experiments confirmed the stability and adequacy of the mathematical model for optimizing human resource management. When conducting studies of the discrete-event model of the SOC-center, it is shown that the organization of the fight against computer attacks is carried out more efficiently with an optimal distribution of human resources. During the experiment on the organization of a targeted computer attack, it was revealed that the model with the optimal distribution of human resources is resistant to attacks of various scales, including mass ones.