Спосіб визначення каналу керування APT-атакою
Вантажиться...
Дата
2021
Науковий керівник
Назва журналу
Номер ISSN
Назва тому
Видавець
Institute of Special Communication and Information Protection of National Technical University of Ukraine “Igor Sikorsky Kyiv Polytechnic Institute”
Анотація
Широкомасштабне застосування проти національної критичної інфраструктури складних кібератак типу APT стало потужним стимулом для розвитку методів проактивного кіберзахисту. Характерними для APT-атак є наступні властивості: атака представляє складний набір взаємозв’язаних за часом і простором дій зловмисника. Окремо ці дії можуть не викликати підозр; цільова акція атаки в кіберсегменті об’єкта готується тривалий час (від декількох місяців до року і більше); сукупність дій зловмисника –це ланцюжок тактик, виконання яких дозволяє досягти мети атаки. Попри різноманітність засобів, що використовуються в АРТ-атаках, набір більшості тактик та їх сутність залишаються постійними. Основою багатьох APT-атак є використання зловмисником несанкціонованих каналів керування атакою через Інтернет, які дозволяють йому виконувати різні дії в сегменті кіберпростору системи інформаційних технологій жертви. Актуальним є завдання своєчасного визначення таких каналів ще на етапах підготовки цільової акції атаки. Такий підхід відповідає реалізації проактивної стратегії кіберзахисту. За результатами досліджень інформаційних процесів формування та використання несанкціонованого каналу, організації процесів систем проактивного кіберзахисту розроблено спосіб визначення каналу управління APT-атакою. Він може бути використаний в рамках керування інформацією та подіями безпеки SIEM для визначення атаки після її етапу проникнення в систему інформаційних технологій, але ще до реалізації етапу цільової акції. Спосіб розроблено на основі використання кібернетичної моделі APT-атаки із застосування методів формалізованого аналізу інформаційних процесів сучасних систем оперативного кіберзахисту. В рамках досліджень розроблено процедуру формування та використання багатоіндикаторного шаблону каналу керування, що застосовується для комплексного аналізу подій безпеки. Для заповнення шаблону розроблено програмний засіб, що формує інформацію про події безпеки на хостах корпоративної системи. Теоретичні та практичні результати досліджень орієнтовано на застосування у складі SOC корпоративної інформаційної системи для проактивного захисту від АРТ-атак.
Опис
Ключові слова
cyber defense system, proactive strategy, SIEM, SOC, APT detection, unauthorized channel, backdoor, target attack action, система кіберзахисту, проактивна стратегія, детектування APT, несанкціонований канал керування, цільова акція атаки
Бібліографічний опис
Яковів, І. Спосіб визначення каналу керування APT-атакою / Яковів Ігор Богданович, Трохименко Андрій Олександрович, Глум Кирило Дмитрович // Information Technology and Security. – 2021. – Vol. 9, Iss. 2 (17). – Pp. 176–188. – Bibliogr.: 12 ref.