Вас вітає Інтернет конференція!
Вітаємо на нашому сайті
АНАЛІЗ ПІДХОДІВ ДО ВИКОРИСТАННЯ СИСТЕМ ПРИМАНОК ДЛЯ РОЗВІДКИ ЗАГРОЗ
08.06.2022 14:38
[1. Інформаційні системи і технології]
Автор: Вальчук Андрій Юрійович, аспірант, Національний університет “Львівська політехніка”, м.Львів; Дудикевич Валерій Богданович, доктор технічних наук, професор, Національний університет “Львівська політехніка”, м.Львів
Розвідувальна інформація про кіберзагрози (Threat Intelligence) - це те, чим дані про кіберзагрози стають після того, як вони були зібрані, оцінені в контексті джерела та надійності, і проаналізовані. Інформація про актуальні загрози, що допомагає у виявленні потенційних загроз для організації або галузевого сектора. Це вимагає, щоб аналітики виявляли подібні ознаки у величезній кількості даних та виявляли зразки загроз для отримання точної та своєчасної інформації.
Аналіз кіберзагроз значною мірою спирається на тріаду акторів TTP (Tactics Techniques Procedures):
● намірів і можливостей з урахуванням тактики зловмисника;
● методів;
● процедур;
● мотивації та можливості доступу до визначених цілей.
Вивчаючи цю тріаду, можна дати обґрунтовані стратегічні, оперативні та тактичні оцінки різним видам загрозам.
Місце систем приманок в процесі розвідки загроз
Важливим і найбільшим джерелом даних для проведення розвідки загроз є системи приманки. Honeypot («Пастка») (англ. горщик з медом) — ресурс, що є приманкою для зловмисників. Мета Honeypot — зазнати атаки або несанкціонованого вивчення, що згодом дозволить зрозуміти стратегію зловмисника та визначити перелік засобів, для здійснення атаки. Реалізація Honeypot може бути спеціальним виділеним сервером, або мережевим сервісом, завдання якого обманним шляхом змусити зловмисника проникнути саме в цю систему, а не в реальне середовище.
Використовуючи цей підхід, адміністратори можуть дізнатися про потенційних зловмисників, їхні інструменти, методи та процедури, а також потенційні шляхи обходу заходів безпеки. Оскільки до систем приманок не повинно бути ніякого трафіку, тобто не повинно виконуватись будь-яких дій пов’язаних з ними, то будь-які дії щодо них, можуть вважатися шкідливими за замовчуванням. Це дозволяє констатувати простоту виявлення загроз на ранніх стадіях. Отриману в результаті атак на системи приманки інформацію, можна використовувати, для створення політик щодо заборони шкідливих доменів, IP-адрес і хеш файлів в потоках трафіку, використовуючи комплексний підхід до виявлення порушень безпеки та їх запобігання.
Переваги та недоліки використання систем приманок
Існує ризик того, що зловмисник успішно експлуатує приманку, з подальшим просуванням горизонтально до реальної корпоративної мережі. Важливим є те, що система приманка повинна бути ізольованою.
Ще однією проблемою є кількість необхідного часу і вартість управління системою приманкою. Система повинна бути налаштована та підтримувана. Це може зайняти деякий час, щоб структурувати і пристосувати систему до визначених операційних процесів.
До переваг можна віднести те, що розвідувальна інформація про глобальні загрози це відмінний ресурс для виявлення відомих акторів і векторів атак. Але зазвичай це інформація про глобальні загрози, які не завжди стосуються певних організацій, а то й регіонів. Ідея полягає в тому, щоб вивчати локальні шаблони стосовно конкретної організації та порівнювати їх із шаблонами, доступними в глобальній базі даних.
Результатом процесу розвідки загроз з використанням систем приманок є можливість отримувати оперативні відомості про загрози, наприклад, для блокування інфраструктури зловмисника, створення правил для системи запобігання вторгнень або виявлення сигнатур шкідливих програм та інших індикаторів компрометації.
Література
1. Banakh, R., Piskozub, A., Stefinko, Y.: Concept of secured cloud infrastructure using honeypots. Autom. Measur. Control 821, 74–78 (2015)
2. M. Valicek, G. Schramm, M. Pirker and S. Schrittwieser, "Creation and Integration of Remote High Interaction Honeypots," in International Conference on Software Security and Assurance (ICSSA), Altoona, PA, 2017.
3. Ramya. R Securing the system using honeypot in cloud computing environment International Journa l of Multidisciplinary Research and Development Volume: 2, Issue: 4, 172-176 April 2015
Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License
Знайшли помилку? Виділіть помилковий текст мишкою і натисніть Ctrl + Enter
Інші наукові праці даної секції
-
ВАЖЛИВІСТЬ ВИКОРИСТАННЯ МЕНЕДЖЕРІВ ПАРОЛІВ У СУЧАСНОМУ СВІТІ
23.05.2022 16:03 -
CHARACTERISTICS OF THE MAIN NLP MODELS
08.06.2022 13:46 -
STRUCTURE OF COMPACT STORAGE OF POLYGONAL 3D MODELS WITH SELECTIVE ACCESS
08.06.2022 13:40 -
ДОСЛІДЖЕННЯ ІНТЕГРАЦІЇ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ В СФЕРУ БУДІВНИЦТВА
08.06.2022 12:04 -
КОЛЬОРОВА ПОЛЯРИЗАЦІЙНА ДІАГРАМА
08.06.2022 11:36
Конференції
Конференції 2024
Конференції 2023
Конференції 2022
Конференції 2021
