Skip navigation
Please use this identifier to cite or link to this item: https://ela.kpi.ua/handle/123456789/33787
Title: Кібернетична модель APT атаки
Other Titles: Сybernetic model of the advanced persisten threat
Authors: Яковів, Ігор Богданович
Keywords: кіберзахист
операційний центр кібербезпеки
вдосконала наполеглива загроза
цільова атака
кібернетична модель
стратегія проактивного захисту
кореляція подій кіберпростору
індикатори безпеки
автоматизоване визначення атаки
cyber defense
cybersecurity operation center
advanced persistent threat
targeted attack
cybernetic model
proactive defense strategy
correlation of cyberspace events
indicators of compromise
automated attack detection
Issue Date: 2018
Publisher: Institute of Special Communication and Information Protection of National Technical University of Ukraine “Igor Sikorsky Kyiv Polytechnic Institute”
Citation: Яковів, І. Кібернетична модель APT атаки / Ігор Яковів // Information Technology and Security. – 2018. – Vol. 6, Iss. 1 (10). – Pp. 46–58. – Bibliogr.: 11 ref.
Abstract: Широкомасштабне застосування складних кібератак типу APT відносно критичної інфраструктури стало потужним стимулом для розвитку методів проактивного кіберзахисту. Характерним для APTs є складний набір взаємозв’язаних за часом і простором дій зловмисника. Окремо ці дії можуть не викликати підозр; цільова акція атаки в кіберсегменті об’єкта-жертви готується тривалий час (від декількох місяців до року і більше); сукупність дій зловмисника – це ланцюжок тактик, виконання яких дозволяє досягти мети атаки. Засоби реалізації тактики – різноманітні. Набір тактик і їх сутність залишаються постійними. Більшість відомих моделей APT атак представлені у вигляді вербального опису етапів APT і їх смислового змісту. Недолік таких моделей – неможливість прямого застосування в SIEM через відсутність загальної основи для алгоритмізації дій в рамках етапів атаки. В основі іншої групи моделей різні математичні конструкції, що дозволяють представити масштабні дії зловмисника у вигляді одного складного математичного процесу. Як правило, такі моделі складно зв’язуються з технологічними процесами моніторингу подій в реальному часі. З позицій автоматизації процесів виявлення складних кібератак в першу чергу стоїть завдання розробки моделей APT, які дозволяють алгоритмізувати процес формування індикаторів безпеки на основі аргументованої кореляції подій за часом і простором. Стаття присвячена розробці нової моделі APT на основі кібернетичного підходу. Сутність підходу – відносно комп’ютерів організації-жертви зловмисник регулярно виконує дії із циклу управління. Це дозволяє представити APT атаку у вигляді траєкторії поведінки керованої (кібернетичної) системи. В рамках моделі поведінка кібернетичної системи зловмисника представлена через математичний опис інформаційних процесів управління та ітеративний взаємозв’язок між суміжними фазами (станами) кібернетичної системи. Такий підхід дозволяє в рамках ієрархічної структури моделі: поставити у відповідність етапам відомих вербальних моделей APT атаки набір фаз кібернетичної системи зловмисника; кожній фази поставити у відповідність елементарні події у кіберсегменті організації-жертви, які можуть визначатися сенсорами безпеки. Модель дозволяє представити кожну атаку у вигляді набору взаємопов’язаних характеристик елементарних подій на вузлах мережі ІТС. Такий набір (шаблон APT) може бути застосований в рамках автоматизованого детектування атаки засобами SIEM в системах проактивного кіберзахисту.
URI: https://ela.kpi.ua/handle/123456789/33787
DOI: https://doi.org/10.20535/2411-1031.2018.6.1.153140
Appears in Collections:Information Technology and Security, Vol. 6, Iss. 1 (10)

Files in This Item:
File Description SizeFormat 
ITS2018-6-1_05.pdf1.35 MBAdobe PDFThumbnail
View/Open
Show full item record


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.