https://ela.kpi.ua/handle/123456789/33787| Назва: | Кібернетична модель APT атаки |
| Інші назви: | Сybernetic model of the advanced persisten threat |
| Автори: | Яковів, Ігор Богданович |
| Ключові слова: | кіберзахист операційний центр кібербезпеки вдосконала наполеглива загроза цільова атака кібернетична модель стратегія проактивного захисту кореляція подій кіберпростору індикатори безпеки автоматизоване визначення атаки cyber defense cybersecurity operation center advanced persistent threat targeted attack cybernetic model proactive defense strategy correlation of cyberspace events indicators of compromise automated attack detection |
| Дата публікації: | 2018 |
| Видавництво: | Institute of Special Communication and Information Protection of National Technical University of Ukraine “Igor Sikorsky Kyiv Polytechnic Institute” |
| Бібліографічний опис: | Яковів, І. Кібернетична модель APT атаки / Ігор Яковів // Information Technology and Security. – 2018. – Vol. 6, Iss. 1 (10). – Pp. 46–58. – Bibliogr.: 11 ref. |
| Короткий огляд (реферат): | Широкомасштабне застосування складних кібератак типу APT відносно критичної інфраструктури стало потужним стимулом для розвитку методів проактивного кіберзахисту. Характерним для APTs є складний набір взаємозв’язаних за часом і простором дій зловмисника. Окремо ці дії можуть не викликати підозр; цільова акція атаки в кіберсегменті об’єкта-жертви готується тривалий час (від декількох місяців до року і більше); сукупність дій зловмисника – це ланцюжок тактик, виконання яких дозволяє досягти мети атаки. Засоби реалізації тактики – різноманітні. Набір тактик і їх сутність залишаються постійними. Більшість відомих моделей APT атак представлені у вигляді вербального опису етапів APT і їх смислового змісту. Недолік таких моделей – неможливість прямого застосування в SIEM через відсутність загальної основи для алгоритмізації дій в рамках етапів атаки. В основі іншої групи моделей різні математичні конструкції, що дозволяють представити масштабні дії зловмисника у вигляді одного складного математичного процесу. Як правило, такі моделі складно зв’язуються з технологічними процесами моніторингу подій в реальному часі. З позицій автоматизації процесів виявлення складних кібератак в першу чергу стоїть завдання розробки моделей APT, які дозволяють алгоритмізувати процес формування індикаторів безпеки на основі аргументованої кореляції подій за часом і простором. Стаття присвячена розробці нової моделі APT на основі кібернетичного підходу. Сутність підходу – відносно комп’ютерів організації-жертви зловмисник регулярно виконує дії із циклу управління. Це дозволяє представити APT атаку у вигляді траєкторії поведінки керованої (кібернетичної) системи. В рамках моделі поведінка кібернетичної системи зловмисника представлена через математичний опис інформаційних процесів управління та ітеративний взаємозв’язок між суміжними фазами (станами) кібернетичної системи. Такий підхід дозволяє в рамках ієрархічної структури моделі: поставити у відповідність етапам відомих вербальних моделей APT атаки набір фаз кібернетичної системи зловмисника; кожній фази поставити у відповідність елементарні події у кіберсегменті організації-жертви, які можуть визначатися сенсорами безпеки. Модель дозволяє представити кожну атаку у вигляді набору взаємопов’язаних характеристик елементарних подій на вузлах мережі ІТС. Такий набір (шаблон APT) може бути застосований в рамках автоматизованого детектування атаки засобами SIEM в системах проактивного кіберзахисту. |
| URI (Уніфікований ідентифікатор ресурсу): | https://ela.kpi.ua/handle/123456789/33787 |
| DOI: | https://doi.org/10.20535/2411-1031.2018.6.1.153140 |
| Розташовується у зібраннях: | Information Technology and Security, Vol. 6, Iss. 1 (10) |
| Файл | Опис | Розмір | Формат | |
|---|---|---|---|---|
| ITS2018-6-1_05.pdf | 1.35 MB | Adobe PDF |  Переглянути/відкрити |
Усі матеріали в архіві електронних ресурсів захищені авторським правом, всі права збережені.