Ανίχνευση κακόβουλης δραστηριότητας βασισμένη στα αρχεία καταγραφής των MS Windows 10 με εφαρμογή του πλαισίου MITRE ATT&CK

Ανίχνευση κακόβουλης δραστηριότητας βασισμένη στα αρχεία καταγραφής των MS Windows 10 με εφαρμογή του πλαισίου MITRE ATT&CK

Η ανίχνευση των απειλών αποτελεί ακρογωνιαίο λίθο στην έγκαιρη απόκριση σε κυβερνοπεριστατικά. Σχετικές έρευνες που διεξήχθησαν από φορείς ή οργανισμούς με αντικείμενο την κυβερνοασφάλεια (πχ Fireye, Trustwave κ.ά) έχουν δείξει ότι ο χρόνος ανίχνευσης μιας εισβολής για το 2019 ήταν 279 ημέρες, για τ...

Πλήρης περιγραφή

Αποθηκεύτηκε σε:
Λεπτομέρειες βιβλιογραφικής εγγραφής
Κύριος συγγραφέας: Μέμτσας, Δημήτριος
Άλλοι συγγραφείς: Καμπουράκης, Γεώργιος
Γλώσσα:el_GR
Δημοσίευση: 2021
Θέματα:
IoC
logfiles
threat detection
logs
incident response
indicators of compromise
ανίχνευση απειλών
αρχεία καταγραφής
απόκριση
δείκτες παραβίασης
Malware (Computer software)
Surveillance detection
Crime prevention
Computer crimes
Διαθέσιμο Online:http://hdl.handle.net/11610/21466
Ετικέτες: Προσθήκη ετικέτας
Δεν υπάρχουν, Καταχωρήστε ετικέτα πρώτοι!
Περιγραφή
Περίληψη:Η ανίχνευση των απειλών αποτελεί ακρογωνιαίο λίθο στην έγκαιρη απόκριση σε κυβερνοπεριστατικά. Σχετικές έρευνες που διεξήχθησαν από φορείς ή οργανισμούς με αντικείμενο την κυβερνοασφάλεια (πχ Fireye, Trustwave κ.ά) έχουν δείξει ότι ο χρόνος ανίχνευσης μιας εισβολής για το 2019 ήταν 279 ημέρες, για το 2018 ήταν 197 ημέρες, για το 2017 ήταν 206 ημέρες ενώ για το 2016 ανερχόταν στις 201 ημέρες [1]. Ο ανωτέρω υπολογιζόμενος χρόνος, είναι ο ελάχιστος μέχρι την ανίχνευση μιας εισβολής και είναι άμεσα εξαρτώμενος, από τις ικανότητες του προσωπικού ασφαλείας πληροφοριακών συστημάτων να ανιχνεύσουν μη φυσιολογική δραστηριότητα, η οποία μετά από διερεύνηση ενδεχομένως να αποκαλύψει παραβίαση. Εύκολα γίνεται κατανοητό πως το επίπεδο ασφαλείας ενός φορέα ή οργανισμού μπορεί να βελτιωθεί με την υιοθέτηση μιας διαδικασίας, η οποία θα εντοπίζει ευρήματα-ίχνη παραβίασης, τα οποία μετά από εστιασμένη διερεύνηση, θα οδηγούν σε πιο έγκαιρη διάγνωση της παραβίασης. Στην παρούσα διπλωματική διατριβή έγινε προσπάθεια να απεικονιστούν με ακριβή τρόπο τα ίχνη που δημιουργούνται στα αρχεία καταγραφής (logfiles) μετά την εκτέλεση δύο επιθέσεων από τη στήλη Execution σύμφωνα με την κατηγοριοποίηση του MITRE ATT&CK. Το εν λόγω σενάριο υλοποιήθηκε σε ένα δίκτυο με domain controller και εξομοιώθηκαν επιθέσεις με εκτέλεση PSexec και WMIexec. Μετά την εκτέλεση των επιθέσεων συλλέχθηκαν τα κυριότερα στοιχεία από τα logfiles τα οποία ταξινομήθηκαν σε έναν πίνακα. Η μελέτη των ιχνών που αφήνει το κάθε είδος επίθεσης στο σύστημα μπορεί να υποβοηθήσει σημαντικά το έργο των αναλυτών στον εντοπισμό μιας επίθεσης. Συγκεκριμένα, τα ίχνη αυτά μπορούν να αποτελέσουν αξιόπιστους δείκτες παραβίασης.

Παρόμοια τεκμήρια