Модель чотирьох інформаційних середовищ кібератаки
Вантажиться...
Дата
2023
Автори
Науковий керівник
Назва журналу
Номер ISSN
Назва тому
Видавець
National Technical University of Ukraine "Igor Sikorsky Kyiv Polytechnic Institute"
Анотація
Основою функціонування сучасної інфраструктури кіберзахисту корпоративної інформаційної системи є процедура порівняння поточних подій в комп’ютерному середовищі з індикатором події безпеки. У разі збігу індикатора з відповідною подією формується інформація безпеки про цю подію. Вона передається для аналізу на засоби системи керування подіями та інформацією безпеки SIEM. За результатами аналізу приймається рішення про наявність інциденту кібербезпеки. На наступному етапі приймається та впроваджується рішення про відповідь на інцидент, що відновлює стан кібербезпеки. Обов’язковою умовою ефективної роботи інфраструктури кіберзахисту є наявність знань про можливі кіберзагрози та відповідні ознаки (індикатори) подій безпеки на технічному рівні комп’ютерних систем.
За формування ознак подій безпеки відповідає розвідка кіберзагроз (CTI). В умовах
масштабного застосування звичайних повторюваних кібератак основною функцією CTI було визначення простих технічних ознак, які мають назву індикаторів компрометації (IOCs). В якості таких IOCs використовуються бітові послідовності (сигнатури).
В умовах широкомасштабного застосування складних кібератак актуальним стає завдання розробки таких карт прогнозування APT атак, що дозволяють формувати шаблони ознак подій безпеки (security event attributes pattern, SEAP) для автоматизованого детектування комп’ютерними засобами інфраструктури кіберзахисту.
Стаття присвячена розробці моделі, яка за допомогою атрибутивно-трансфертного підходу до сутності інформації, дозволяє формалізувати процеси кіберзахисту. Модель візуально деталізує та поєднує події, що розкривають сутність підготовки та реалізації APT атаки, процеси захисту від неї та завдання розвідки кіберзагроз щодо визначення конкретних даних для засобів ефективної інфраструктури кіберзахисту. Рівень деталізації моделі дозволяє застосовувати відомі математичні конструкції для опису подій та інформації безпеки. Такий підхід спрощує формування алгоритмів для засобів автоматизації процесів кіберзахисту.
Опис
Ключові слова
природа інформації, ментальне інформаційне середовище, комп’ютерне інформаційне середовище, інфраструктура кіберзахисту, проактивна стратегія захисту, розвідка кіберзагроз, SIEM, IDS/IPS, прогнозування APT, індикатори компрометації, шаблон подій безпеки, цикл керування кібербезпекою, nature of information, mental information environment, computer information environment, cyber defense infrastructure, proactive defense strategy, cyber threat intelligence, APT prediction, indicators of compromise, security event pattern, cyber security management cycle
Бібліографічний опис
Яковів, І. Модель чотирьох інформаційних середовищ кібератаки / Яковів Ігор // Information Technology and Security. – 2023. – Vol. 11, Iss. 2 (21). – Pp. 175–192. – Bibliogr.: 23 ref.