Онтология

Онтология в информационных системах — это структура, состоящая из множества понятий и категорий, относящихся к определенной области знаний, а также информации об их свойствах и связях между ними. В контексте информационной безопасности имеет смысл говорить о киберонтологиях (cyber-ontology) или онтологиях кибербезопасности (cybersecurity ontology).

Онтологии не стоит путать с базами знаний и таксономиями. Отличие онтологии от базы знаний в том, что онтология той или иной области знаний должна включать исчерпывающую общую информацию об этой области, в то время как база знаний может содержать неполные данные и информацию о частных случаях. Также онтологии предполагают структурирование данных, в то время как в базах знаний могут храниться неструктурированные факты.

В свою очередь, таксономия — это классификация объектов и выстраивание их иерархии, в то время как онтология описывает их свойства и связи.

Для работы с онтологиями чаще всего используются языки онтологий. В зависимости от типа онтологии могут применяться разные языки. Наиболее распространенный язык онтологий — OWL (Web Ontology Language).

Использование онтологий в информационной безопасности

Онтологии имеют несколько применений в сфере кибербезопасности.

  • Создание единой общей классификации зловредов, векторов атак и уязвимостей. Это позволяет специалистам в области информационной безопасности говорить друг с другом на одном языке и обмениваться данными о киберугрозах, улучшая уровень защиты от них.
  • Оценка защищенности инфраструктуры организации от конкретной угрозы или APT и оценка рисков. Онтология содержит информацию о том, какие векторы атаки и какие уязвимости используют конкретные группировки, и какие зловреды характерны для их атак. В свою очередь, для каждой уязвимости в онтологии указано, какие средства защиты и патчи нужны для ее закрытия. Применение такой онтологии позволяет быстро проанализировать инфраструктуру организации и выяснить, насколько она защищена от той или иной APT и какие меры следует принять, чтобы улучшить ее защиту.
  • Ускорение и упрощение работы моделей машинного обучения, которые, в частности, используются в антивирусных движках.

Публикации на схожие темы

  • Как хакеры могут читать ваши чаты с ChatGPT или Microsoft Copilot

  • Домашние прокси: в чем риски для организаций?

  • Сейчас вылетит (верифицированная) птичка, или как распознать фейк

  • Анализ результатов эксплуатации сервиса MDR, H1 2019

  • Современный гипервизор как основа для «песочницы»

  • Ложные срабатывания: почему с ними надо бороться и как мы добились лучших показателей