Priložnosti zlivanja tehnologij SIEM, SOAR in strojnega učenja v procesih inteligence tveganj in samodejnega odzivanja na kibernetske incidente

Andrej Bregar; Sašo Gjergjek; Miran Novak; Damir Orlić

doi:10.31449/upinf.155

Authors

Andrej Bregar
Sašo Gjergjek Informatika d.o.o.
Miran Novak Informatika d.o.o.
Damir Orlić Informatika d.o.o.

DOI:

https://doi.org/10.31449/upinf.155

Keywords:

incident response automation, cyber threat intelligence, cybersecurity, SIEM, SOAR, machine learning

Abstract

Because contemporary information systems are moving to the cloud, utilise IoT (Internet of Things) and aim to automate business processes in the context of Industry 4.0, we have to deal with big data and heavy network traffic among interconnected devices. Such amounts of data require an automated approach to the identification of anomalies, cybersecurity risks and potential cybersecurity incidents on the basis of artificial intelligence and machine learning. In this regard, especially SIEM (Security Information and Event Management) and SOAR (Security Orchestration, Automation and Response) technologies play a key role. In the paper, we explain the benefits of procedures and technologies for the automation of responses to cybersecurity incidents. We place these processes and technologies into the broader incident response approach as well as into the context of the cyber threat intelligence life cycle and use cases. We analyse the possibilities to apply, integrate and consolidate SIEM and SOAR technologies, and discuss how to use artificial intelligence and machine learning for the purpose of automated identification and orchestration of cybersecurity incidents. We review synergistic effects resulting from the integration and consolidation of SIEM, SOAR and machine learning, while we also address several organisational and technological issues, challenges and opportunities. Finally, we describe certain good practices and approaches which are being introduced within the scope of our security operations centre for the energy utilities domain.

Author Biographies

Andrej Bregar

Andrej Bregar je doktoriral na Fakulteti za elektrotehniko, računalništvo in informatiko v Mariboru. Področja njegovega strokovnega in raziskovalnega dela obsegajo operacijske raziskave, večkriterijske odločitvene metode, inteligentne in odločitvene sisteme, upravljanje s poslovnimi procesi, procesno in storitveno usmerjene arhitekture, razvoj informacijskih rešitev, podatkovne in programirne tehnologije, projektno vodenje, informatizacijo v energetiki ter kibernetsko varnost. Redno predava v domačem in mednarodnem okolju ter je avtor več znanstvenih in strokovnih člankov.

Sašo Gjergjek, Informatika d.o.o.

Sašo Gjergjek je diplomiral na Fakulteti za varnostne vede s področja informacijske varnosti. Svojo študijsko pot je nadaljeval na isti fakulteti, kjer je magistriral s področja varstvoslovja. Trenutno se ukvarja s kibernetsko varnostjo v varnostno operativnem centru za področje energetike. Vpet je tudi v raziskovalno dejavnost s področja kibernetske varnosti.

Miran Novak, Informatika d.o.o.

Miran Novak je s svojo več kot 30 letno vpetostjo v IKT stroko v slovenskih elektrodistribucijah izvrsten poznavalec razmer in organizacije informatike v energetiki. Univerzitetno diplomo in znanstveni magisterij je dosegel na ljubljanski Univerzi, na Fakulteti za računalništvo in informatiko. Poleg organizacije informatike v energetiki so njegovo področje raziskovanja odnosi med procesi in pa informacijska varnost. Objavljal je članke na domačih in mednarodnih konferencah ter strokovnih revijah. Več kot desetletje je član organizacijskega odbora Posvetovanja informatikov v energetiki (PIES). Na področju standardizacije se ukvarja s sistemi vodenja, aktivno vzdržuje certifikat CIS – Information Security Manager. Vključen je v več formalnih in neformalnih organizacij za proučevanje kibernetske varnosti.

Damir Orlić, Informatika d.o.o.

Damir Orlić je raziskovalec na področju matematike in področju kibernetske varnosti. Zaposlen je v podjetju Informatika d.o.o., kjer se ukvarja s kibernetsko varnostjo.