Кібернетична модель APT атаки

Ескіз

Файли

ITS2018-6-1_05.pdf (1.31 MB)

Дата

2018

Автори

Науковий керівник

Назва журналу

Номер ISSN

Назва тому

Видавець

Institute of Special Communication and Information Protection of National Technical University of Ukraine “Igor Sikorsky Kyiv Polytechnic Institute”

Анотація

Широкомасштабне застосування складних кібератак типу APT відносно критичної інфраструктури стало потужним стимулом для розвитку методів проактивного кіберзахисту. Характерним для APTs є складний набір взаємозв’язаних за часом і простором дій зловмисника. Окремо ці дії можуть не викликати підозр; цільова акція атаки в кіберсегменті об’єкта-жертви готується тривалий час (від декількох місяців до року і більше); сукупність дій зловмисника – це ланцюжок тактик, виконання яких дозволяє досягти мети атаки. Засоби реалізації тактики – різноманітні. Набір тактик і їх сутність залишаються постійними. Більшість відомих моделей APT атак представлені у вигляді вербального опису етапів APT і їх смислового змісту. Недолік таких моделей – неможливість прямого застосування в SIEM через відсутність загальної основи для алгоритмізації дій в рамках етапів атаки. В основі іншої групи моделей різні математичні конструкції, що дозволяють представити масштабні дії зловмисника у вигляді одного складного математичного процесу. Як правило, такі моделі складно зв’язуються з технологічними процесами моніторингу подій в реальному часі. З позицій автоматизації процесів виявлення складних кібератак в першу чергу стоїть завдання розробки моделей APT, які дозволяють алгоритмізувати процес формування індикаторів безпеки на основі аргументованої кореляції подій за часом і простором. Стаття присвячена розробці нової моделі APT на основі кібернетичного підходу. Сутність підходу – відносно комп’ютерів організації-жертви зловмисник регулярно виконує дії із циклу управління. Це дозволяє представити APT атаку у вигляді траєкторії поведінки керованої (кібернетичної) системи. В рамках моделі поведінка кібернетичної системи зловмисника представлена через математичний опис інформаційних процесів управління та ітеративний взаємозв’язок між суміжними фазами (станами) кібернетичної системи. Такий підхід дозволяє в рамках ієрархічної структури моделі: поставити у відповідність етапам відомих вербальних моделей APT атаки набір фаз кібернетичної системи зловмисника; кожній фази поставити у відповідність елементарні події у кіберсегменті організації-жертви, які можуть визначатися сенсорами безпеки. Модель дозволяє представити кожну атаку у вигляді набору взаємопов’язаних характеристик елементарних подій на вузлах мережі ІТС. Такий набір (шаблон APT) може бути застосований в рамках автоматизованого детектування атаки засобами SIEM в системах проактивного кіберзахисту.

Опис

Ключові слова

кіберзахист, операційний центр кібербезпеки, вдосконала наполеглива загроза, цільова атака, кібернетична модель, стратегія проактивного захисту, кореляція подій кіберпростору, індикатори безпеки, автоматизоване визначення атаки, cyber defense, cybersecurity operation center, advanced persistent threat, targeted attack, cybernetic model, proactive defense strategy, correlation of cyberspace events, indicators of compromise, automated attack detection

Бібліографічний опис

Яковів, І. Кібернетична модель APT атаки / Ігор Яковів // Information Technology and Security. – 2018. – Vol. 6, Iss. 1 (10). – Pp. 46–58. – Bibliogr.: 11 ref.

URI

https://ela.kpi.ua/handle/123456789/33787

DOI

https://doi.org/10.20535/2411-1031.2018.6.1.153140

Зібрання

Information Technology and Security, Vol. 6, Iss. 1 (10)