Кібернетична модель APT атаки

Скорочена інформація про документ
dc.contributor.authorЯковів, Ігор Богданович
dc.date.accessioned2020-05-27T13:00:27Z
dc.date.available2020-05-27T13:00:27Z
dc.date.issued2018
dc.description.abstractШирокомасштабне застосування складних кібератак типу APT відносно критичної інфраструктури стало потужним стимулом для розвитку методів проактивного кіберзахисту. Характерним для APTs є складний набір взаємозв’язаних за часом і простором дій зловмисника. Окремо ці дії можуть не викликати підозр; цільова акція атаки в кіберсегменті об’єкта-жертви готується тривалий час (від декількох місяців до року і більше); сукупність дій зловмисника – це ланцюжок тактик, виконання яких дозволяє досягти мети атаки. Засоби реалізації тактики – різноманітні. Набір тактик і їх сутність залишаються постійними. Більшість відомих моделей APT атак представлені у вигляді вербального опису етапів APT і їх смислового змісту. Недолік таких моделей – неможливість прямого застосування в SIEM через відсутність загальної основи для алгоритмізації дій в рамках етапів атаки. В основі іншої групи моделей різні математичні конструкції, що дозволяють представити масштабні дії зловмисника у вигляді одного складного математичного процесу. Як правило, такі моделі складно зв’язуються з технологічними процесами моніторингу подій в реальному часі. З позицій автоматизації процесів виявлення складних кібератак в першу чергу стоїть завдання розробки моделей APT, які дозволяють алгоритмізувати процес формування індикаторів безпеки на основі аргументованої кореляції подій за часом і простором. Стаття присвячена розробці нової моделі APT на основі кібернетичного підходу. Сутність підходу – відносно комп’ютерів організації-жертви зловмисник регулярно виконує дії із циклу управління. Це дозволяє представити APT атаку у вигляді траєкторії поведінки керованої (кібернетичної) системи. В рамках моделі поведінка кібернетичної системи зловмисника представлена через математичний опис інформаційних процесів управління та ітеративний взаємозв’язок між суміжними фазами (станами) кібернетичної системи. Такий підхід дозволяє в рамках ієрархічної структури моделі: поставити у відповідність етапам відомих вербальних моделей APT атаки набір фаз кібернетичної системи зловмисника; кожній фази поставити у відповідність елементарні події у кіберсегменті організації-жертви, які можуть визначатися сенсорами безпеки. Модель дозволяє представити кожну атаку у вигляді набору взаємопов’язаних характеристик елементарних подій на вузлах мережі ІТС. Такий набір (шаблон APT) може бути застосований в рамках автоматизованого детектування атаки засобами SIEM в системах проактивного кіберзахисту.uk
dc.description.abstractenThe widespread use of sophisticated cyberattacks such as Advanced Persisten Threat with regard to critical infrastructure has become a powerful incentive for the development of proactive cyber defense techniques. Typical for APTs are a complex action set of malicious actor that are related time and space. Separately, these actions may not cause suspicion; targeted attack actions on the cyber segment of the victim object is being prepared for a long time (from a few months to a year or more); a set of actions of the intruder are a chain of tactics, the execution of which allows to achieve the purpose of the attack. Means of implementing tactics are varied. The set of tactics and their essence remain constant. Most of the known models of APT attacks are presented in the form of a verbal description of the stages of the APT and their semantic content. The disadvantage of such models is the impossibility of direct application in the SIEM due to the lack of a common basis for the algorithmization of actions during the attack stages. At the base of another group of models are different mathematical constructions that allow one to represent large-scale actions of an attacker in the form of one complex mathematical process. As a rule, such models are difficult to associate with technological processes for monitoring events in real time. From the standpoint of automating the detection of attacks, the first task is to develop such APT models that allow you to algorithmize the process of generating compromise indicators based on a reasoned correlation of events over time and space. The article is devoted to the development of a new model of APT based on a cybernetic approach. This allows you to imagine an attack in the form of a behavior trajectory of a controlled (cybernetic) system. Within the framework of the model, the behavior of the attacker cybernetic system was presented through a mathematical description of information management processes and the iterative relationship between adjacent phases (states) of the cybernetic system. This approach allows the attack to be presented in the form of a hierarchical structure: the upper level is a sequence of verbal stages of an attack; the middle level is a sequence of phases of the cybernetic system; lower level is a sequence of control loop procedures. Procedures are elementary events (transmitted data and computational processes) that are detected by security sensors at the nodes of a computer network. The model allows us to represent each attack as a set of interrelated characteristics of elementary events at the nodes of a computer network. Such a set (APT pattern) can be applied within the framework of automated attack detection using SIEM tools in proactive cyber defense systems.en
dc.format.extentС. 46-58uk
dc.identifier.citationЯковів, І. Кібернетична модель APT атаки / Ігор Яковів // Information Technology and Security. – 2018. – Vol. 6, Iss. 1 (10). – Pp. 46–58. – Bibliogr.: 11 ref.uk
dc.identifier.doihttps://doi.org/10.20535/2411-1031.2018.6.1.153140
dc.identifier.urihttps://ela.kpi.ua/handle/123456789/33787
dc.language.isouken
dc.publisherInstitute of Special Communication and Information Protection of National Technical University of Ukraine “Igor Sikorsky Kyiv Polytechnic Institute”en
dc.publisher.placeKyiven
dc.relation.ispartofInformation Technology and Security : Ukrainian research papers collection, 2018, Vol. 6, Iss. 1 (10)en
dc.subjectкіберзахистuk
dc.subjectопераційний центр кібербезпекиuk
dc.subjectвдосконала наполеглива загрозаuk
dc.subjectцільова атакаuk
dc.subjectкібернетична модельuk
dc.subjectстратегія проактивного захистуuk
dc.subjectкореляція подій кіберпросторуuk
dc.subjectіндикатори безпекиuk
dc.subjectавтоматизоване визначення атакиuk
dc.subjectcyber defenseen
dc.subjectcybersecurity operation centeren
dc.subjectadvanced persistent threaten
dc.subjecttargeted attacken
dc.subjectcybernetic modelen
dc.subjectproactive defense strategyen
dc.subjectcorrelation of cyberspace eventsen
dc.subjectindicators of compromiseen
dc.subjectautomated attack detectionen
dc.subject.udc004.056.53::621.391en
dc.titleКібернетична модель APT атакиuk
dc.title.alternativeСybernetic model of the advanced persisten threaten
dc.typeArticleen

Файли

Контейнер файлів
Зараз показуємо 1 - 1 з 1
Ескіз
Назва:
ITS2018-6-1_05.pdf
Розмір:
1.31 MB
Формат:
Adobe Portable Document Format
Опис:
Завантажити
Ліцензійна угода
Зараз показуємо 1 - 1 з 1
Ескіз недоступний
Назва:
license.txt
Розмір:
9.06 KB
Формат:
Item-specific license agreed upon to submission
Опис:
Завантажити

Зібрання

Information Technology and Security, Vol. 6, Iss. 1 (10)