АНАЛІЗ ПІДХОДІВ ДО ВИКОРИСТАННЯ СИСТЕМ ПРИМАНОК ДЛЯ РОЗВІДКИ ЗАГРОЗ - Наукові конференції

Вас вітає Інтернет конференція!

Вітаємо на нашому сайті

Рік заснування видання - 2011

АНАЛІЗ ПІДХОДІВ ДО ВИКОРИСТАННЯ СИСТЕМ ПРИМАНОК ДЛЯ РОЗВІДКИ ЗАГРОЗ

08.06.2022 14:38

[1. Інформаційні системи і технології]

Автор: Вальчук Андрій Юрійович, аспірант, Національний університет “Львівська політехніка”, м.Львів; Дудикевич Валерій Богданович, доктор технічних наук, професор, Національний університет “Львівська політехніка”, м.Львів


Розвідувальна інформація про кіберзагрози (Threat Intelligence) - це те, чим дані про кіберзагрози стають після того, як вони були зібрані, оцінені в контексті  джерела та надійності, і проаналізовані. Інформація про актуальні загрози, що допомагає у виявленні потенційних загроз для організації або галузевого сектора. Це вимагає, щоб аналітики виявляли подібні ознаки у величезній кількості даних та виявляли зразки загроз для отримання точної та своєчасної інформації.

Аналіз кіберзагроз значною мірою спирається на тріаду акторів TTP (Tactics Techniques Procedures):

●  намірів і можливостей з урахуванням тактики зловмисника;

● методів; 

● процедур; 

● мотивації та можливості доступу до визначених цілей. 

Вивчаючи цю тріаду, можна дати обґрунтовані стратегічні, оперативні та тактичні оцінки різним видам загрозам.

Місце систем приманок в процесі розвідки загроз

Важливим і найбільшим джерелом даних для проведення розвідки загроз є системи приманки. Honeypot («Пастка») (англ. горщик з медом) — ресурс, що є приманкою для зловмисників. Мета Honeypot — зазнати атаки або несанкціонованого вивчення, що згодом дозволить зрозуміти стратегію зловмисника та визначити перелік засобів, для здійснення атаки. Реалізація Honeypot може бути спеціальним виділеним сервером, або мережевим сервісом, завдання якого обманним шляхом змусити зловмисника проникнути саме в цю систему, а не в реальне середовище. 

Використовуючи цей підхід, адміністратори можуть дізнатися про потенційних зловмисників, їхні інструменти, методи та процедури, а також потенційні шляхи обходу заходів безпеки. Оскільки до систем приманок не повинно бути ніякого трафіку, тобто не повинно виконуватись будь-яких дій пов’язаних з ними, то будь-які дії щодо них, можуть вважатися шкідливими за замовчуванням. Це дозволяє констатувати простоту виявлення загроз на ранніх стадіях. Отриману в результаті атак на системи приманки інформацію, можна використовувати, для створення політик щодо заборони шкідливих доменів, IP-адрес і хеш файлів в потоках трафіку, використовуючи комплексний підхід до виявлення порушень безпеки та їх запобігання.

Переваги та недоліки використання систем приманок

Існує ризик того, що зловмисник успішно експлуатує приманку, з подальшим просуванням горизонтально до реальної корпоративної мережі. Важливим є те, що система приманка повинна бути ізольованою. 

Ще однією проблемою є кількість необхідного часу і вартість управління системою приманкою. Система повинна бути налаштована та підтримувана. Це може зайняти деякий час, щоб структурувати і пристосувати систему до визначених операційних процесів.

До переваг можна віднести те, що розвідувальна інформація про глобальні загрози це відмінний ресурс для виявлення відомих акторів і векторів атак. Але зазвичай це інформація про глобальні загрози, які не завжди стосуються певних організацій, а то й регіонів. Ідея полягає в тому, щоб вивчати локальні шаблони стосовно конкретної організації та порівнювати їх із шаблонами, доступними в глобальній базі даних. 

Результатом процесу розвідки загроз з використанням систем приманок є можливість отримувати оперативні відомості про загрози, наприклад, для блокування інфраструктури зловмисника, створення правил для системи запобігання вторгнень або виявлення сигнатур шкідливих програм та інших індикаторів компрометації.

Література

1. Banakh, R., Piskozub, A., Stefinko, Y.: Concept of secured cloud infrastructure using honeypots. Autom. Measur. Control 821, 74–78 (2015)

2. M. Valicek, G. Schramm, M. Pirker and S. Schrittwieser, "Creation and Integration of Remote High Interaction Honeypots," in International Conference on Software Security and Assurance (ICSSA), Altoona, PA, 2017.

3. Ramya. R Securing the system using honeypot in cloud computing environment International Journa l of Multidisciplinary Research and Development Volume: 2, Issue: 4, 172-176 April 2015



Creative Commons Attribution Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License
допомога Знайшли помилку? Виділіть помилковий текст мишкою і натисніть Ctrl + Enter
Конференції

Конференції 2022

Конференції 2021



Міжнародна інтернет-конференція з економіки, інформаційних систем і технологій, психології та педагогіки

Наукова спільнота - інтернет конференції

:: LEX-LINE :: Юридична лінія

Інформаційне суспільство: технологічні, економічні та технічні аспекти становлення