Спосіб визначення каналу керування APT-атакою

Яковів, Ігор Богданович; Трохименко, Андрій Олександрович; Глум, Кирило Дмитрович

Спосіб визначення каналу керування APT-атакою

dc.contributor.author	Яковів, Ігор Богданович
dc.contributor.author	Трохименко, Андрій Олександрович
dc.contributor.author	Глум, Кирило Дмитрович
dc.date.accessioned	2023-04-11T04:44:13Z
dc.date.available	2023-04-11T04:44:13Z
dc.date.issued	2021
dc.description.abstract	Широкомасштабне застосування проти національної критичної інфраструктури складних кібератак типу APT стало потужним стимулом для розвитку методів проактивного кіберзахисту. Характерними для APT-атак є наступні властивості: атака представляє складний набір взаємозв’язаних за часом і простором дій зловмисника. Окремо ці дії можуть не викликати підозр; цільова акція атаки в кіберсегменті об’єкта готується тривалий час (від декількох місяців до року і більше); сукупність дій зловмисника –це ланцюжок тактик, виконання яких дозволяє досягти мети атаки. Попри різноманітність засобів, що використовуються в АРТ-атаках, набір більшості тактик та їх сутність залишаються постійними. Основою багатьох APT-атак є використання зловмисником несанкціонованих каналів керування атакою через Інтернет, які дозволяють йому виконувати різні дії в сегменті кіберпростору системи інформаційних технологій жертви. Актуальним є завдання своєчасного визначення таких каналів ще на етапах підготовки цільової акції атаки. Такий підхід відповідає реалізації проактивної стратегії кіберзахисту. За результатами досліджень інформаційних процесів формування та використання несанкціонованого каналу, організації процесів систем проактивного кіберзахисту розроблено спосіб визначення каналу управління APT-атакою. Він може бути використаний в рамках керування інформацією та подіями безпеки SIEM для визначення атаки після її етапу проникнення в систему інформаційних технологій, але ще до реалізації етапу цільової акції. Спосіб розроблено на основі використання кібернетичної моделі APT-атаки із застосування методів формалізованого аналізу інформаційних процесів сучасних систем оперативного кіберзахисту. В рамках досліджень розроблено процедуру формування та використання багатоіндикаторного шаблону каналу керування, що застосовується для комплексного аналізу подій безпеки. Для заповнення шаблону розроблено програмний засіб, що формує інформацію про події безпеки на хостах корпоративної системи. Теоретичні та практичні результати досліджень орієнтовано на застосування у складі SOC корпоративної інформаційної системи для проактивного захисту від АРТ-атак.	uk
dc.description.abstractother	The widespread use of sophisticated cyber attacks against the national critical infrastructure of the APT type has been a powerful stimulus for the development of proactive cyber defense techniques. APTs are characterized by the following features: an attack is acomplex set of time and space-related actions of an attacker. Separately, these actions may not arouse suspicion; the target attack action in the cyber segment of the object is prepared for a long time (from several months to a year or more); the set of actions of the attacker is a chain of tactics, the implementation of which allows to achieve the goal of the attack. Despite the variety of tools used in ARTs, the set of most tactics and their nature remain constant. The basis of many APTs is that the attacker uses unauthorized channels to control the attack via the Internet, which allows him to perform various actions in the cyberspace segment of the victim's information technology system. The task of timely identification of such channels at the stages ofpreparation of the target action of attack is urgent. This approach is in line with the implementation of a proactive cybersecurity strategy. Based on the results of research of information processes of formation and use of unauthorized channel, organization of processes of proactive cyber defense systems, a method of determining the control channel of APT has been developed. It can be used in the management of information and security events SIEM to determine the attack after its stage of penetration intothe information technology system, but before the implementation of the stage of the target action. The method is developed on the basis of using the cybernetic model of APT using the methods of formalized analysis of information processes of modern operational cyber defense systems. As part of the research, a procedure for the formation and use of a multi-indicator template of the control channel, which is used for a comprehensive analysis of security events, was developed. To fill in the template, a software has been developed that generates information about security events on the hosts of the corporate system. Theoretical and practical results of research are focused on the use of corporate information system for proactive protection against APTs.	uk
dc.format.pagerange	Pp. 176-188	uk
dc.identifier.citation	Яковів, І. Спосіб визначення каналу керування APT-атакою / Яковів Ігор Богданович, Трохименко Андрій Олександрович, Глум Кирило Дмитрович // Information Technology and Security. – 2021. – Vol. 9, Iss. 2 (17). – Pp. 176–188. – Bibliogr.: 12 ref.	uk
dc.identifier.doi	https://doi.org/10.20535/2411-1031.2021.9.2.249899
dc.identifier.issn	2411-1031
dc.identifier.orcid	0000-0001-7432-898X	uk
dc.identifier.orcid	0000-0001-8175-096X	uk
dc.identifier.orcid	0000-0002-8658-5366	uk
dc.identifier.uri	https://ela.kpi.ua/handle/123456789/54447
dc.language.iso	uk	uk
dc.publisher	Institute of Special Communication and Information Protection of National Technical University of Ukraine “Igor Sikorsky Kyiv Polytechnic Institute”	uk
dc.publisher.place	Kyiv	uk
dc.relation.ispartof	Information Technology and Security : Ukrainian research papers collection, 2021, Vol. 9, Iss. 2 (17)	uk
dc.rights.uri	https://creativecommons.org/licenses/by/4.0/
dc.subject	cyber defense system	uk
dc.subject	proactive strategy	uk
dc.subject	SIEM	uk
dc.subject	SOC	uk
dc.subject	APT detection	uk
dc.subject	unauthorized channel	uk
dc.subject	backdoor	uk
dc.subject	target attack action	uk
dc.subject	система кіберзахисту	uk
dc.subject	проактивна стратегія	uk
dc.subject	детектування APT	uk
dc.subject	несанкціонований канал керування	uk
dc.subject	цільова акція атаки	uk
dc.subject.udc	004.056.53:621.391	uk
dc.title	Спосіб визначення каналу керування APT-атакою	uk
dc.title.alternative	Way of determining APT control channel	uk
dc.type	Article	uk

Файли

Контейнер файлів

Зараз показуємо 1 - 1 з 1

Назва:: 249899-583933-1-10-20220321.pdf
Розмір:: 651.29 KB
Формат:: Adobe Portable Document Format
Опис:

Завантажити

Ліцензійна угода

Зараз показуємо 1 - 1 з 1

Назва:: license.txt
Розмір:: 9.1 KB
Формат:: Item-specific license agreed upon to submission
Опис:

Завантажити

Зібрання

Information Technology and Security, Vol. 9, Iss. 2 (17)