Курсовая с практикой на тему Меры обнаружения и предотвращения кибератак: управление и контроль (command and control) (из mitre attack)
-
Оформление работы
-
Список литературы по ГОСТу
-
Соответствие методическим рекомендациям
-
И еще 16 требований ГОСТа,которые мы проверили
Введи почту и скачай архив со всеми файлами
Ссылку для скачивания пришлем
на указанный адрес электронной почты
Содержание:
Введение. 3
Глава
1. Сущность техник «управление и контроль», актуальных для информационной
системы коммерческого предприятия. 5
1.1.
Основные понятия информационной системы коммерческого предприятия 5
1.2.
Основные характеристики техник «управление и контроль». 7
Глава
2. Методики по обнаружению кибератак на стадии «управление и контроль» 13
2.1.
Техника закрепления (persistence), повышения привилегий (privilege escalation)
и предотвращения обнаружения (defense evasion) 13
2.2. Техника
управления и контроля (command and control), эксфильтрации данных
(exfiltration) и воздействия (impact) 16
Глава
3. Рекомендации по предотвращению кибератак на стадии «управление и контроль». 21
3.1.
Рекомендации по предотвращению кибератак при анализе трафика по MITRE
ATT&CK.. 21
3.2.
Оценка эффективности предложенных рекомендаций. 21
Заключение. 22
Список
литературы.. 24
Введение:
Мы живем в эпоху процветания информационных технологий, на
данный момент во всем мире существует огромное разнообразие организаций, имеющих
большое количество конфиденциальной информации, которая обязана хранится в
тайне. Также в наше время существует большое количество злоумышленников,
которые имеют цель, разными способами добыть тайную информацию и использовать
ее в своих неблагоприятных намерениях.
Конфиденциальная информация представляет большую ценность и поэтому
организации стремятся обеспечить надежную защиту от любого типа атаки на неё.
Кибератаки, безусловно, являются одной из актуальных тем
нашего времени, поэтому важно знать техники и тактики злоумышленника, дабы
обеспечить структурированную и надежную защиту своих информационных ресурсов.
Очень важно уметь защищаться, ведь злоумышленник может
получить всю необходимую информацию о информационной системе, что поможет ему
на дальнейших стадиях безболезненно провести атаку и остаться незамеченным.
Поэтому необходимо знать, как действует атакующий, а еще важнее уметь
предотвращать атаку.
Для того, чтобы правильно обеспечить защиту информационных
ресурсов, специалист в сфере информационной безопасности должен быть ознакомлен
с потенциальными методами злоумышленника. Существует общедоступная база знаний
под названием «Mitre Attack», она представляет собой структурированный набор
тактик и техник, используемых злоумышленниками. В данной базе выделяют
двенадцать тактик, но в данной курсовой работе будет рассмотрена более детально
одна из тактик, под названием «Управление и контроль (Сommand and control)».
Цель работы: разработать рекомендации по обнаружению и
предотвращения кибератак на стадии «управление и контроль в соответствии с
Mitre Attack.
Задачи: Структура работы представлена введением, тремя разделами,
заключением и списком литературы.
Заключение:
Mitre Att&ck (Adversarial Tactics, Techniques &
Common Knowledge — «тактики, техники и общеизвестные факты о злоумышленниках»)
— основанная на реальных наблюдениях база знаний компании Mitre, содержащая
описание тактик, приемов и методов, используемых киберпреступниками.
Базу Mitre Att&ck компания Mitre создала в 2013 году.
Цель проекта — составление структурированной матрицы используемых
киберпреступниками приемов, чтобы упростить задачу реагирования на киберинциденты.
Моделирование угроз на основе сценариев позволяет
одновременно решить сразу несколько задач обеспечения информационной
безопасности:
— охватить максимально возможный спектр угроз, актуальных
для данной информационной системы;
— разработать детальные требования к мерам безопасности,
препятствующим каждому возможному действию нарушителя;
— определить индикаторы компрометации, которые позволят
обнаружить применение сценария реализации угрозы;
— заблаговременно разработать меры оперативного реагирования
на каждый сценарий;
— в ходе реагирования на атаку – прогнозировать возможные
следующие действия нарушителя и оперативно противодействовать им.
При этом каждой технике из базы знаний ATT&CK
соответствует некоторая угроза из БДУ ФСТЭК, что позволяет использовать БДУ как
классификатор действий нарушителя и формализовывать сценарии в соответствии с
требованиями нормативных документов ФСТЭК.
При этом следует учитывать, что база знаний ATT&CK имеет
свои ограничения. Так, она содержит только примеры действий нарушителя,
возможность выполнения которых подтверждена практикой или лабораторными
исследованиями, и на ее основе невозможно в полном объеме смоделировать
некоторые теоретически возможные угрозы, предусмотренные БДУ ФСТЭК. Таким
образом, моделирование угроз на основе сценариев требует не только
заимствования готовых знаний, но и самостоятельной оценки возможностей
реализации перспективных угроз, особенно когда речь идет о применении мобильной
связи, облачных технологий, Интернета вещей и т.п.
Фрагмент текста работы:
Глава 1. Сущность техник «управление и контроль»,
актуальных для информационной системы коммерческого предприятия 1.1. Основные понятия информационной системы
коммерческого предприятия Информационная система коммерческого предприятия — это любая
информационная система, которая улучшает функции бизнес-процессов предприятия
путем интеграции. Это означает, как правило, предлагая высокое качество
обслуживания, имея дело с большими объемами данных и способны поддерживать
некоторые крупные и, возможно, сложные организации или предприятия. ЭИС должна
быть способна использоваться всеми частями и всеми уровнями предприятия [1].
Информационные системы обеспечивают технологическую
платформу, которая позволяет организациям интегрировать и координировать свои
бизнес-процессы на прочной основе. В настоящее время информационные системы
используются в сочетании с управлением взаимоотношениями с клиентами и
управлением цепочками поставок для автоматизации бизнес-процессов [1]. Информационная
система обеспечивает единую систему, которая является центральной для
организации и обеспечивает обмен информацией между всеми функциональными
уровнями и иерархиями управления.
Информационную систему можно использовать для повышения
производительности бизнеса и сокращения циклов обслуживания, разработки
продукта и жизненного цикла маркетинга [4]. Он может быть использован для
объединения существующих приложений. Другие результаты включают более высокую
операционную эффективность и экономию средств [4].
В 2013 году корпорация MITRE анонсировала базу знаний
ATT&CK (Adversarial Tactics, Techniques & Common Knowledge — Тактики,
техники и общеизвестные знания о злоумышленниках) как способ описания и
категоризации поведения злоумышленников, основанный на анализе реальных атак.
MITRE ATT&CK — это структурированный список известных
поведений злоумышленников, разделенный на тактики и методы, и выраженный в виде
таблиц (матриц) [3]. Матрицы для различных ситуаций и типов злоумышленников
публикуются на сайте MITRE. Также классификация доступна в машиночитаемых
форматах STIX / TAXII. Поскольку этот список дает комплексное представление о
поведении злоумышленников при взломе сетей, он крайне полезен для различных
защитных мероприятий, мониторинга, обучения и других применений [2].
В частности, ATT&CK может быть полезен в киберразведке,
поскольку он позволяет стандартизированно описывать поведение злоумышленников.
Злоумышленники («акторы») могут отслеживаться с помощью ассоциации наблюдаемых
в сети событий с методами и тактиками в ATT&CK, которые используют те или
иные группировки. Специалистам по ИБ это позволяет оценивать свой уровень
защищенности, анализируя способности имеющихся средств защиты выявлять или
блокировать те или иные методы и тактики, что дает представление о сильных и
слабых сторонах против определенных злоумышленников.
Хорошим способом визуализации сильных и слабых сторон
средств защиты по отношению к определенным группам или акторам является,
например, создание тепловых карт покрытия техник в Excel или с помощью MITRE
ATT&CK Navigator. База знаний ATT&CK также доступна в виде фида STIX /
TAXII 2.0, который позволяет легко интегрировать ее в любые инструменты, поддерживающие
эту технологию [7].
Корпорация MITRE внесла значительный вклад в сообщество
безопасности, предоставив нам ATT&CK и связанные с ней инструменты и
ресурсы. Причем сделано это было в удачный момент. Поскольку злоумышленники
находят способы быть более скрытными и избегают обнаружения традиционными
инструментами безопасности, специалисты по ИБ вынуждены менять подходы к
обнаружению и защите от атак. База знаний ATT&CK меняет восприятие, абстрагируясь
от индикаторов низкого уровня, таких как IP-адреса и доменные имена, и
заставляет видеть злоумышленников и защиту через линзу поведения.
Таким образом, стратегия обнаружения и предотвращения на
основе поведения злоумышленников — это гораздо более сложный путь, чем
инструменты прошлого, работающие по принципу «настроил и забыл». Кроме того, по
мере появления новых способов защиты злоумышленники, безусловно, будут
адаптироваться. ATT&CK позволяет описывать любые новые методы, которые
будут использовать злоумышленники.
