Моделювання роботи групи реагування на інциденти інформаційної безпеки в умовах зростання інтенсивності кібератак

Abstract

Моделювання функціонування групи реагування на інциденти інформаційної безпеки (ГРІІБ) та прийняття в них рішень саме в процесі протидії кібератакам вимагає одночасного використання параметрів та характеристик, які, з одного боку, характеризують безпосередньо кібератаки та їх розгортання у часі, а, з іншого — вимагають врахування параметрів та показників, які характеризують діяльність спеціалістів в умовах стресової ситуації. Діяльність ГРІІБ полягає у протидії кібератакам, метою яких є дестабілізація соціального стану суспільства шляхом розповсюдження шкідливої інформації. В роботі побудована модель для опису особливостей функціонування ГРІІБ з урахуванням впливу параметра підвищення інтенсивності потоку інцидентів інформаційної безпеки на якість аналізу функціонування цієї системи в реальному часі, використовуючи функції реагування на порушення інформаційної безпеки. Особливістю побудованої моделі є те, що вперше враховано режим перевантаження, тобто враховано вплив введеного параметра підвищення інтенсивності ідентифікації подій інформаційної безпеки. Виявлено умови, за яких здійснюється перехід ГРІІБ до режиму, який не відповідає достатньому критерію ергодичності, коли група не здатна буде ефективно справлятися з розгортанням кібератак у часі. Проведено імітаційне моделювання діяльності ГРІІБ та показано наявність переходу до режиму, породженого відсутністю ергодичної властивості функціонування системи, за зміни параметра підвищення інтенсивності ідентифікації подій інформаційної безпеки. Отримані результати дозволяють прогнозувати появу режиму перевантаження, породженого відсутністю ергодичної властивості функціонування системи, в умовах якого діяльність такої ГРІІБ перестає бути ефективною. Це дозволяє задавати певні порогові величини для часу ефективної діяльності цієї ГРІІБ під час кібератаки. В результаті наявну сукупність ГРІІБ можна характеризувати певними кількісними показниками, які характеризують час ефективної діяльності ГРІІБ в залежності від ідентифікованих характеристик кібератаки. На основі розробленої моделі можуть бути розроблені нові методи протидії кібератакам, які будуть базуватись на ідентифікації потрібних характеристик часового розгортання інциденту кібербезпеки та на їх основі перенаправлення управління від однієї ГРІІБ до іншої в процесі розвитку інциденту. Для цього потрібно буде створити базу даних з потрібними характеристиками для тих ГРІІБ, які можуть бути залучені до процесу протидії кібератакам.

Modeling of the Information Security Incident Response Team (ISIRT) functioning and decision-making in the process cyberattacks requires the simultaneous use of parameters and characteristics at, on the one hand, directly characterize cyberattacks and their deployment over time, and, on the other hand, require taking into account the parameters and indica-tors that characterize the activities of specialists in a stressful situation. ISIRT’s activities are to counter cyberattacks aimed at destabilizing the social state of society by disseminating harmful information. The paper builds a model to describe the features of the ISIRT, taking into account the impact of the parameter of increasing the intensity of information security incidents on the quality of analysis of the system in real time, using the functions of responding to information security viola-tions. The peculiarity of the constructed model is that for the first time the overload mode is taken into account, i.e. the influ-ence of the introduced parameter of increasing the intensity of information security event identification is taken into account. The conditions under which the ISIRT is transitioning to a regime that does not meet the sufficient criterion of ergodicity, when the group will not be able to effectively cope with the deployment of cyber attacks in time. Simulation modeling of ISIRT activity is carried out and the presence of transition to the mode, which is caused by the lack of ergodic property of the system functioning, when changing the parameter of increasing the intensity of information security event identification, is shown. The obtained results allow predicting the appearance of the overload mode caused by the lack of ergodic properties of the system operation, in the conditions of which the activity of this ISIRT ceases to be effective. This allows you to set certain thresholds for the time of effective operation of this ISIRT during a cyber attack. As a result, the existing set of ISIRT can be characterized by certain quantitative indicators that characterize the time of effective operation of this ISIRT, depend-ing on the identified characteristics of the cyber attack. Based on the developed model, new methods of countering cyberattacks can be developed, which will be based on identifying the required characteristics of the temporal deployment of cybersecurity incidents and on their basis redirecting control from one ISIRT to another during the incident. This will require the creation of a database with the necessary characteristics for those ISIRTs that may be involved in the process of coun-tering cyberattacks.