Information Technology and Security, Vol. 6, Iss. 1 (10)

Постійне посилання зібрання

https://ela.kpi.ua/handle/123456789/33723

Переглянути

Перегляд Information Technology and Security, Vol. 6, Iss. 1 (10) за Ключові слова "automated attack detection"

Зараз показуємо 1 - 1 з 1
  • Ескіз
    ДокументВідкритий доступ
    Кібернетична модель APT атаки
    (Institute of Special Communication and Information Protection of National Technical University of Ukraine “Igor Sikorsky Kyiv Polytechnic Institute”, 2018) Яковів, Ігор Богданович
    Широкомасштабне застосування складних кібератак типу APT відносно критичної інфраструктури стало потужним стимулом для розвитку методів проактивного кіберзахисту. Характерним для APTs є складний набір взаємозв’язаних за часом і простором дій зловмисника. Окремо ці дії можуть не викликати підозр; цільова акція атаки в кіберсегменті об’єкта-жертви готується тривалий час (від декількох місяців до року і більше); сукупність дій зловмисника – це ланцюжок тактик, виконання яких дозволяє досягти мети атаки. Засоби реалізації тактики – різноманітні. Набір тактик і їх сутність залишаються постійними. Більшість відомих моделей APT атак представлені у вигляді вербального опису етапів APT і їх смислового змісту. Недолік таких моделей – неможливість прямого застосування в SIEM через відсутність загальної основи для алгоритмізації дій в рамках етапів атаки. В основі іншої групи моделей різні математичні конструкції, що дозволяють представити масштабні дії зловмисника у вигляді одного складного математичного процесу. Як правило, такі моделі складно зв’язуються з технологічними процесами моніторингу подій в реальному часі. З позицій автоматизації процесів виявлення складних кібератак в першу чергу стоїть завдання розробки моделей APT, які дозволяють алгоритмізувати процес формування індикаторів безпеки на основі аргументованої кореляції подій за часом і простором. Стаття присвячена розробці нової моделі APT на основі кібернетичного підходу. Сутність підходу – відносно комп’ютерів організації-жертви зловмисник регулярно виконує дії із циклу управління. Це дозволяє представити APT атаку у вигляді траєкторії поведінки керованої (кібернетичної) системи. В рамках моделі поведінка кібернетичної системи зловмисника представлена через математичний опис інформаційних процесів управління та ітеративний взаємозв’язок між суміжними фазами (станами) кібернетичної системи. Такий підхід дозволяє в рамках ієрархічної структури моделі: поставити у відповідність етапам відомих вербальних моделей APT атаки набір фаз кібернетичної системи зловмисника; кожній фази поставити у відповідність елементарні події у кіберсегменті організації-жертви, які можуть визначатися сенсорами безпеки. Модель дозволяє представити кожну атаку у вигляді набору взаємопов’язаних характеристик елементарних подій на вузлах мережі ІТС. Такий набір (шаблон APT) може бути застосований в рамках автоматизованого детектування атаки засобами SIEM в системах проактивного кіберзахисту.