Яковів, Ігор БогдановичТрохименко, Андрій ОлександровичГлум, Кирило Дмитрович2023-04-112023-04-112021Яковів, І. Спосіб визначення каналу керування APT-атакою / Яковів Ігор Богданович, Трохименко Андрій Олександрович, Глум Кирило Дмитрович // Information Technology and Security. – 2021. – Vol. 9, Iss. 2 (17). – Pp. 176–188. – Bibliogr.: 12 ref.2411-1031https://ela.kpi.ua/handle/123456789/54447Широкомасштабне застосування проти національної критичної інфраструктури складних кібератак типу APT стало потужним стимулом для розвитку методів проактивного кіберзахисту. Характерними для APT-атак є наступні властивості: атака представляє складний набір взаємозв’язаних за часом і простором дій зловмисника. Окремо ці дії можуть не викликати підозр; цільова акція атаки в кіберсегменті об’єкта готується тривалий час (від декількох місяців до року і більше); сукупність дій зловмисника –це ланцюжок тактик, виконання яких дозволяє досягти мети атаки. Попри різноманітність засобів, що використовуються в АРТ-атаках, набір більшості тактик та їх сутність залишаються постійними. Основою багатьох APT-атак є використання зловмисником несанкціонованих каналів керування атакою через Інтернет, які дозволяють йому виконувати різні дії в сегменті кіберпростору системи інформаційних технологій жертви. Актуальним є завдання своєчасного визначення таких каналів ще на етапах підготовки цільової акції атаки. Такий підхід відповідає реалізації проактивної стратегії кіберзахисту. За результатами досліджень інформаційних процесів формування та використання несанкціонованого каналу, організації процесів систем проактивного кіберзахисту розроблено спосіб визначення каналу управління APT-атакою. Він може бути використаний в рамках керування інформацією та подіями безпеки SIEM для визначення атаки після її етапу проникнення в систему інформаційних технологій, але ще до реалізації етапу цільової акції. Спосіб розроблено на основі використання кібернетичної моделі APT-атаки із застосування методів формалізованого аналізу інформаційних процесів сучасних систем оперативного кіберзахисту. В рамках досліджень розроблено процедуру формування та використання багатоіндикаторного шаблону каналу керування, що застосовується для комплексного аналізу подій безпеки. Для заповнення шаблону розроблено програмний засіб, що формує інформацію про події безпеки на хостах корпоративної системи. Теоретичні та практичні результати досліджень орієнтовано на застосування у складі SOC корпоративної інформаційної системи для проактивного захисту від АРТ-атак.ukcyber defense systemproactive strategySIEMSOCAPT detectionunauthorized channelbackdoortarget attack actionсистема кіберзахиступроактивна стратегіядетектування APTнесанкціонований канал керуванняцільова акція атакиArticlePp. 176-188https://doi.org/10.20535/2411-1031.2021.9.2.249899004.056.53:621.3910000-0001-7432-898X0000-0001-8175-096X0000-0002-8658-5366