Архітектурні принципи побудови системи моніторингу подій безпеки в комп’ютерно-інтегрованих системах на базі платформи Wazuh

Abstract

Мета. Аналіз принципів побудови систем моніторингу безпеки в комп’ютерно-інтегрованих системах, визначення специфічних вимог до таких систем та обґрунтування гібридної архітектури моніторингу на базі платформи Wazuh як ефективного засобу виявлення загроз у гетерогенних середовищах. Методика. Проаналізовано актуальну проблематику забезпечення інформаційної безпеки сучасних комп’ютерно-інтегрованих систем, які характеризуються глибокою конвергенцією інформаційних та операційних технологій. Проведено детальний аналіз ландшафту загроз, що виникають внаслідок підключення раніше ізольованих промислових мереж до корпоративної інфраструктури та глобальної мережі Інтернет. Визначено, що традиційні підходи до моніторингу, орієнтовані насамперед на забезпечення конфіденційності даних, є недостатніми та подекуди небезпечними для комп’ютерно-інтегрованих систем, де пріоритетами виступають доступність сервісів, цілісність технологічного процесу та фізична безпека персоналу і обладнання. Досліджено особливості застосування систем управління інформацією про безпеку та подіями (SIEM) в умовах обмежених обчислювальних ресурсів та специфічних вимог промислових протоколів передачі даних. Виявлено, що наявні комерційні рішення часто мають надмірну вартість ліцензування, яка залежить від обсягу даних, та закриту архітектуру, що ускладнює їх адаптацію до гетерогенних середовищ промислових підприємств. Особливу увагу приділено аналізу вразливостей застарілого обладнання, яке не підлягає оновленню, та необхідності застосування компенсаційних заходів захисту. Результати. На основі проведеного порівняльного аналізу функціональних можливостей обґрунтовано доцільність використання платформи з відкритим кодом Wazuh як базового компонента системи моніторингу. Запропоновано архітектурний підхід, що поєднує агентський моніторинг критичних вузлів, таких як станції оператора та інженерні сервери, з пасивним аналізом мережевого трафіку на рівні промислових контролерів. Розроблено та описано рекомендації щодо налаштування правил кореляції подій та сценаріїв активного реагування, які враховують принцип участі людини в контурі управління (Human-in-the-Loop) для уникнення аварійного зупинення технологічних процесів через помилкові спрацьовування системи захисту. Результати дослідження підтверджують, що використання запропонованої архітектури дозволяє створити економічно ефективну, масштабовану та гнучку систему виявлення вторгнень, здатну ідентифікувати складні цільові атаки на ранніх етапах їх реалізації. Наукова новизна. У роботі набув подальшого розвитку підхід до побудови систем моніторингу для промислових середовищ, який базується на поєднанні активного моніторингу цілісності файлів (FIM) та пасивного аналізу промислових протоколів, що дозволяє усунути «сліпі зони» в захисті комп’ютерно-інтегрованих систем. Практична значимість роботи полягає у розробці типової архітектури та рекомендацій, які можуть бути імплементовані на підприємствах критичної інфраструктури з мінімальними фінансовими витратами завдяки використанню відкритого програмного забезпечення.