The Study of the Possibilities of Using SOC Based on Free and Open Source Software

Yefimenko, A.A.; Honcharov, M.V.; Єфіменко, А.А.; Гончаров, М.В.

dc.contributor.author	Yefimenko, A.A.
dc.contributor.author	Honcharov, M.V.
dc.contributor.author	Єфіменко, А.А.
dc.contributor.author	Гончаров, М.В.
dc.date.accessioned	2024-08-22T09:48:03Z
dc.date.available	2024-08-22T09:48:03Z
dc.date.issued	2024
dc.identifier.uri	http://eztuir.ztu.edu.ua/123456789/8590
dc.description.abstract	У статті розглядається особлива комбінація рішень операційного центру безпеки, що використовують безкоштовне програмне забезпечення з відкритим вихідним кодом, як альтернатива таким центрам на базі високовартісного пропрієтарного ПЗ. У дослідженні визначено компоненти такого операційного центру безпеки, описано їх місце та взаємодію в процесі виявлення, аналізу та пом'якшення наслідків кібератак. Також проаналізовано конкурентоспроможність та визначено переваги, недоліки та перспективи розвитку запропонованого рішення. У дослідженні проаналізовано конкретну комбінацію безкоштовних інструментів з відкритим вихідним кодом, детально описано роль та взаємодію кожного компонента у виявленні, аналізі та пом'якшенні наслідків кіберзагроз. Запропонований безкоштовний операційний центр безпеки з відкритим вихідним кодом складається з системи управління інформацією та подіями безпеки (Elastic Stack), платформи оркестрування, автоматизації та реагування безпеки (TheHive і Cortex), системи запобігання вторгненням/виявлення вторгнень (Snort), системи виявлення та реагування на вторгнення на кінцеві точки/розширеного виявлення та реагування на вторгнення (Wazuh), платформи розвідки загроз (MISP), сканера вразливостей (OpenVAS), інструменту для аналізу шкідливого програмного забезпечення (YARA), рішень Honey, а також системи для перевірки на наявність шкідливого програмного забезпечення (Atomic Red Team). У дослідженні проілюстровано приклади використання, що демонструють реакцію операційного центру безпеки на інфікування вірусами-здирниками, використання вразливостей і спрацьовування honeypot, з акцентом на синергетичну взаємодію між компонентами. Переваги безкоштовного операційного центру безпеки з відкритим вихідним кодом включають економічну ефективність, можливість налаштування, гнучкість, надійність, відмовостійкість та підтримку з боку фахової спільноти. Серед недоліків центру визначено загальну складність, проблеми з інтеграцією, недостатність документації, відсутність підтримки з боку постачальників, потенційні ризики для безпеки та обмежені можливості порівняно з корпоративними рішеннями. У дослідженні зроблено висновок, що хоча розгортання та управління безкоштовними інструментами з відкритим вихідним кодом може бути складним, переваги безкоштовного операційного центру безпеки з відкритим вихідним кодом переважають недоліки, що робить його життєздатним варіантом для організацій з особливими потребами в безпеці, особливо для тих, які мають бюджетні обмеження.	uk_UA
dc.language.iso	en	uk_UA
dc.publisher	Державний університет "Житомирська політехніка"	uk_UA
dc.relation.ispartofseries	Технічна інженерія;1(93)
dc.subject	SOC (Security Operations Center)	uk_UA
dc.subject	FOSS (Free Open-source Software)	uk_UA
dc.subject	IS (Information Security)	uk_UA
dc.subject	threat detection	uk_UA
dc.subject	incident response	uk_UA
dc.subject	threat intelligence	uk_UA
dc.subject	операційний центр безпеки безкоштовне програмне забезпечення з відкритим кодом	uk_UA
dc.subject	ІБ (інформаційна безпека)	uk_UA
dc.subject	виявлення загроз	uk_UA
dc.subject	реагування на інциденти	uk_UA
dc.subject	розвідка загроз	uk_UA
dc.title	The Study of the Possibilities of Using SOC Based on Free and Open Source Software	uk_UA
dc.title.alternative	Дослідження можливостей використання SOC на основі безкоштовного та відкритого програмного забезпечення	uk_UA
dc.type	Article	uk_UA
dc.description.abstracten	The article considers a specific combination of Security Operations Center solutions that use free open source software as an alternative to Security Operations Center based on expensive proprietary ones. The study identifies each of the components of such a Security Operations Center, describes their place and interaction in the process of detecting, analyzing and mitigating the consequences of cyber attacks. The competitiveness of such an Security Operations Center is analyzed, its advantages, disadvantages and development prospects are determined. The research analyzes a specific combination of free open-source tools, detailing each component's role and interaction in detecting, analyzing, and mitigating cyber threats. The proposed free open-source Security Operations Center comprises a Security Information and Event Management system (Elastic Stack), Security Orchestration, Automation and Response platform (TheHive and Cortex), Intrusion Prevention/Intrusion Detection System (Snort), Endpoint Detection and Response/Extended Detection and Response (Wazuh), threat intelligence platform (MISP), vulnerability scanner (OpenVAS), malware analysis tool (YARA), honeypot solution (Honeyd), and detection testing framework (Atomic Red Team). The study illustrates use cases demonstrating the Security Operations Center's response to ransomware infections, vulnerability exploits, and honeypot triggers, highlighting the synergistic interplay between components. Advantages of the free open-source Security Operations Center include cost-effectiveness, customizability, agility, reliability, community support, and resilience. Drawbacks encompass complexity, integration challenges, limited documentation, lack of vendor support, potential security risks, and restricted features compared to enterprise solutions. The research concludes that while deploying and managing free open-source tools can be complex, the advantages of a free open-source Security Operations Center outweigh the disadvantages, making it a viable option for organizations with specific security needs, especially those with budgetary constraints.	uk_UA