Организация процесса создания безопасной среды удалённой работы сотрудников

Размещено на http://www.allbest.ru

МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ

РОССИЙСКОЙ ФЕДЕРАЦИИ

ФГБОУ ВО «НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ «МЭИ»

Факультет/институт Инженерно-экономический институт

Кафедра Безопасности и информационных технологий

Курсовая работа (проект)

Дисциплина: Технологии защиты информационных систем от кибератак

Тема: Организация процесса создания безопасной среды удалённой работы сотрудников

Москва, 2023г.

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

ГЛАВА I. АТАКИ ТИПА «DEFENSE EVASION»

1.1 Задачи и реализации подобных кибератак

1.2 Методы и виды осуществления подобных кибератак

1.3 Техники злоумышленников от MITRE

1.4 Выводы первой главы

Глава II. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ДЛЯ ПРЕДОТВРАЩЕНИЯ АТАК ТИПА «DEFENSE EVASION». ФОРМИРОВАНИЕ И ИСПОЛЬЗОВАНИЕ ЗАЩИТЫ НА ОСНОВЕ РАССМОТРЕННЫХ ПРОГРАММ

2.1 Описание и классификация подобного ПО

2.2 Принципы работы соответствующего ПО

2.3 Оценка программного обеспечения для защиты

2.4 Сравнительный анализ различных ПО для обнаружения и предотвращения атак

1.5 Создание и составление концепции защиты

1.6 Использование программ Snort и McAfee в защите

1.7 Выводы ко второй главе

ЗАКЛЮЧЕНИЕ

СПИСОК ЛИТЕРАТУРЫ

кибератака программа безопасная

ВВЕДЕНИЕ

На сегодняшний день в 2023 году, киберпреступления как никогда остро стоят в Российской Федерации, а так же и в других странах. Данная проблема обладает довольно быстрой динамикой развития[1]. Количество киберпреступлений, как и количество пострадавших от таких преступлений постоянно увеличивается. Кроме всего этого хакеры выполняют работы на заказ, поэтому сформировался довольно устойчивый спрос на их услуги. Самая частая услуга в данной сфере -- это предоставление неправомерного доступа к личной информации.

По статистическим данных специалистов из Positive Tech., в IV квартале 2022 года количество инцидентов кибератак уменьшилось на 5% по сравнению с предыдущим кварталом, однако все еще остается достаточно высоким -- на 15% больше, чем за аналогичный период 2021 года[2]. Продолжается увеличение доли массовых атак: в IV квартале она выросла на 2 процентных пункта.

Чаще всего успешные кибератаки приводили к утечкам конфиденциальной информации (51%) и нарушениям основной деятельности предприятий (36%). Наблюдались случаи перебоев в работе критически значимой инфраструктуры, крупные утечки данных пользователей и исходных кодов продуктов.

Одна из нередких причин успешных атак хакер, становилась слабая защита, или же критические уязвимости в ней. Которая позволяла успешно обходить эту защиту.

Целью курсовой работы является проведение анализа работы атак такого типа, а именно «обход защиты» (defense evasion) и рассмотрение того как она осуществляется, изучение существующих ПО, который могут исполнять обработку и предотвращение таких атак, а также разработка плана по обнаружению и создание защиты по предотвращению таких атак на конкретном примере.

Для достижения поставленной цели необходимо решить следующие задачи:

Описать суть и механизм реализации атаки типа «обход защиты» (defense evasion);

Сформировать перечень ПО, реализующее обнаружение и предотвращение атак типа «обход защиты(defense evasion)».

Продемонстрировать практическую реализацию защиты от атак типа «обход защиты (defense evasion)».

Работа состоит из введения, двух глав, заключения и списка используемых источников.

В первой главе рассматривается сами атаки данного типа, то, как они проводятся, из чего состоят, и в чём их главная задача и смысл.

Вторая глава посвящена изучению ПО, которое исполняет обнаружение и предотвращение атак. Сравнению таких программ, их принципов работы и эффективности, а также непосредственному формированию и использовании защиты от атак типа «обход защиты»(defense evasion).

ГЛАВА I. АТАКИ ТИПА «DEFENSE EVASION»

1.1 Задачи и реализации подобных кибератак

Идеи, которые лежат в основе «defense evasion» заключаются в обходе или обмане существующих механизмов защиты и могут включать в себя различные техники, такие как маскировка, шифрование, использование вредоносных программ и другие.

Такие атаки могут проводиться как вручную, так и автоматически. Они могут использоваться для того, чтобы получить несанкционированный доступ к информации, украсть данные, повредить систему или даже использовать ее для дальнейших атак. Главная задача заключается в том, чтобы обойти или обмануть защитные механизмы, которые были установлены в системе. Это может быть достигнуто путем использования различных техник, которые обманывают или обходят детекторы и системы защиты.

Существует несколько типов таких атак. Некоторые из них включают в себя техники маскировки, такие как упаковка или шифрование вредоносных программ. Другие же техники могут использоваться для изменения поведения вредоносных программ или для обхода детекторов, таких как «эволюция программы» или инъекция кода.

1.2 Методы и виды осуществления подобных кибератак

Перечислим всевозможные способы злоумышленников, которые они используют для осуществления своих целей посредством обхода защиты:

Упаковка и шифрование вредоносных программ.

Упаковка и шифрование вредоносных программ являются одними из наиболее распространенных методов обхода систем защиты. Эти техники используются для сокрытия вредоносного кода от детекторов антивирусных программ. Злоумышленник может использовать специальное программное обеспечение для упаковки или шифрования вредоносных программ, что делает их невидимыми для антивирусных программ. Когда вредоносная программа запускается, она распаковывается или дешифруется и начинает свою работу.

Изменение поведения вредоносных программ.

Эта техника заключается в том, чтобы изменить поведение вредоносной программы таким образом, чтобы она избегала обнаружения систем защиты. Например, злоумышленник может использовать техники, которые изменяют хэш-сумму или цифровую подпись вредоносной программы, чтобы сделать ее менее узнаваемой для систем защиты. Это может быть достигнуто путем изменения некоторых частей кода или даже внесения случайных изменений.

«Эволюция программы».

Техника заключается в том, чтобы постепенно изменять вредоносный код, чтобы он мог обойти системы защиты. Злоумышленник может использовать алгоритмы генетической оптимизации, которые помогают улучшать код вредоносной программы, чтобы она могла обойти защитные механизмы. В этом случае вредоносная программа постоянно меняется и адаптируется, чтобы избежать обнаружения.

Инъекция кода.

- это техника, которая заключается в том, чтобы добавить дополнительный код в существующий программный код, который может использоваться для обхода систем защиты. Это может быть достигнуто путем вставки кода в некоторые уязвимые части программы, такие как SQL-запросы или входные поля. Это позволяет злоумышленнику выполнять свой код на системе, не будучи замеченным.

Обход сигнатурной защиты.

- это техника, которая используется для обнаружения вредоносных программ на основе их сигнатур, т.е. уникальных последовательностей байтов в коде программы. Обход такой защиты заключается в том, чтобы изменять вредоносный код таким образом, чтобы его сигнатуры не совпадали с теми, которые используются для обнаружения вредоносных программ. Злоумышленник может использовать такие техники, как замена некоторых инструкций на эквивалентные, которые имеют разные сигнатуры.

Использование анти-виртуальных машин.

Такие машины - это виртуальная среда, которая используется для запуска вредоносных программ в изолированной среде, чтобы изучить их поведение и обнаружить угрозы. Использование анти-виртуальных машин является одним из методов защиты от вредоносных программ. Однако злоумышленники могут использовать эти машины для обнаружения систем защиты и обхода их. Например, злоумышленник может проверить наличие некоторых файлов в системе, которые обычно используются анти-виртуальными машинами, и, если они обнаружены, то программа может прекратить свою работу.

Социальная инженерия.

Данная техника заключается в использовании уязвимостей в человеческом факторе для обхода систем защиты. Злоумышленник может использовать социальную инженерию, чтобы убедить пользователя выполнить определенные действия, которые могут позволить ему получить доступ к защищенной информации. Например, злоумышленник может отправить пользователю электронное письмо, которое содержит вредоносную ссылку или приложение, и убедить пользователя его открыть.

Использование обфускации.

Злоумышленники могут использовать различные техники обфускации, чтобы защитить свой вредоносный код от обнаружения. Например, они могут использовать алгоритмы обфусцирования кода, чтобы сделать его сложным для понимания и анализа.

атаки на слабые места в системе защиты.

Потенциальный хакер может использовать различные уязвимости и слабые места в системах защиты, чтобы обойти их. Например, они могут использовать уязвимости в операционных системах или приложениях, чтобы получить доступ к системе, или использовать слабые места в архитектуре сети, чтобы получить доступ к защищенной информации.

Использование внутренних угроз.

Иногда злоумышленники могут использовать внутренние угрозы, т.е. атаковать систему изнутри, используя доступные им ресурсы. Например, работник может использовать свои привилегии для получения доступа к защищенной информации или установки вредоносных программ(в том числе посредством социальной инженерии, упомянутой ранее).

1.3 Техники злоумышленников от MITRE

Метод и техник существуют огромное количество, в MITRE ATT&CK представлены 42 такие[3], перечислим и разберём виды и их подвиды:

Abuse Elevation Control Mechanism

Злоумышленники могут обойти механизмы, предназначенные для управления повышением привилегий, чтобы получить разрешения более высокого уровня. Большинство современных систем содержат встроенные механизмы контроля прав, которые предназначены для ограничения привилегий, которые пользователь может выполнять на машине. Авторизация должна быть предоставлена ??конкретным пользователям для выполнения задач, которые можно считать более рискованными. Злоумышленник может использовать несколько методов, чтобы воспользоваться встроенными механизмами контроля для повышения привилегий в системе.

Access Token Manipulation

Злоумышленники могут модифицировать токены доступа, чтобы они работали в другом пользовательском или системном контексте безопасности для выполнения действий и обхода средств контроля доступа. Пользователь может манипулировать токенами доступа, чтобы запущенный процесс выглядел так, как будто он является дочерним элементом другого процесса или принадлежит кому-то другому, кроме пользователя, запустившего процесс. Когда это происходит, процесс также принимает контекст безопасности, связанный с новым токеном.

BITS Jobs

Злоумышленники могут злоупотреблять заданиями BITS для постоянного выполнения кода и выполнения различных фоновых задач. Фоновая интеллектуальная служба передачи Windows (BITS) -- это асинхронный механизм передачи файлов с низкой пропускной способностью, доступный через модель компонентных объектов (COM).

Build Image on Host

Злоумышленники могут создать образ контейнера непосредственно на узле, чтобы обойти средства защиты, отслеживающие извлечение вредоносных образов из общедоступного реестра. Удаленный buildзапрос может быть отправлен в Docker API, который включает Dockerfile, который извлекает базовый образ vanilla, такой как alpine, из общедоступного или локального реестра, а затем создает на его основе собственный образ.

Debugger Evasion

Злоумышленники могут использовать различные средства для обнаружения и обхода отладчиков. Отладчики обычно используются защитниками для отслеживания и/или анализа выполнения потенциальных вредоносных программ.

Deobfuscate/Decode Files or Information

Злоумышленники могут использовать замаскированные файлы или информацию , чтобы скрыть артефакты вторжения от анализа. Им могут потребоваться отдельные механизмы для декодирования или деобфускации этой информации в зависимости от того, как они намерены ее использовать. Методы для этого включают встроенные функции вредоносных программ или использование утилит, присутствующих в системе.

Deploy Container

Злоумышленники могут развернуть контейнер в среде, чтобы облегчить выполнение или обойти защиту. В некоторых случаях злоумышленники могут развернуть новый контейнер для выполнения процессов, связанных с конкретным образом или развертыванием, например процессов, запускающих или загружающих вредоносное ПО.

Direct Volume Access

Злоумышленники могут получить прямой доступ к тому, чтобы обойти контроль доступа к файлам и мониторинг файловой системы. Windows позволяет программам иметь прямой доступ к логическим томам. Программы с прямым доступом могут читать и записывать файлы непосредственно с диска, анализируя структуры данных файловой системы.

Domain Policy Modification

Злоумышленники могут изменить параметры конфигурации домена, чтобы обойти защиту и/или повысить привилегии в доменных средах. Домены предоставляют централизованные средства управления тем, как компьютерные ресурсы (например, компьютеры, учетные записи пользователей) могут действовать и взаимодействовать друг с другом в сети. Изменения в настройках домена могут включать изменение объектов групповой политики домена (GPO) или изменение параметров доверия для доменов, включая доверие федерации.

Execution Guardrails

Злоумышленники могут использовать ограничения выполнения для ограничения выполнения или действий на основе предоставленных злоумышленником условий и конкретных условий среды, которые, как ожидается, будут присутствовать на цели. Значения, которые злоумышленник может предоставить о целевой системе или среде для использования в качестве ограждений, могут включать конкретные имена общих сетевых ресурсов, подключенные физические устройства, файлы, присоединенные домены Active Directory (AD) и локальные/внешние IP-адреса.

Exploitation for Defense Evasion

Злоумышленники могут использовать уязвимость системы или приложения для обхода функций безопасности. Эксплуатация уязвимости программного обеспечения происходит, когда злоумышленник использует программную ошибку в программе, службе или в программном обеспечении операционной системы или самом ядре для выполнения кода, контролируемого злоумышленником. В защитном программном обеспечении безопасности могут существовать уязвимости, которые можно использовать для их отключения или обхода.

File and Directory Permissions Modification

Злоумышленники могут изменить разрешения/атрибуты файлов или каталогов, чтобы обойти списки управления доступом (ACL) и получить доступ к защищенным файлам. Разрешения на доступ к файлам и каталогам обычно регулируются списками управления доступом, настроенными владельцем файла или каталога или пользователями с соответствующими разрешениями.

Hide Artifacts

Злоумышленники могут попытаться скрыть артефакты, связанные с их поведением, чтобы избежать обнаружения. Операционные системы могут иметь функции для скрытия различных артефактов, таких как важные системные файлы и выполнение административных задач, чтобы не нарушать работу пользователей и не позволять пользователям изменять файлы или функции в системе.

Hijack Execution Flow

Злоумышленники могут выполнять свои собственные вредоносные полезные нагрузки, взламывая способ запуска программ в операционных системах. Злоумышленники также могут использовать эти механизмы для повышения привилегий или обхода средств защиты, таких как контроль приложений или другие ограничения на выполнение.

Impair Defenses

Злоумышленники могут злонамеренно модифицировать компоненты среды жертвы, чтобы помешать или вывести из строя защитные механизмы. Это включает в себя не только нарушение превентивной защиты, такой как брандмауэры и антивирусы, но и возможности обнаружения, которые защитники могут использовать для аудита активности и выявления злонамеренного поведения. Это также может охватывать как собственные средства защиты, так и дополнительные возможности, устанавливаемые пользователями и администраторами.

Indicator Removal

Злоумышленники могут удалять или модифицировать артефакты, созданные в системах, чтобы удалить доказательства их присутствия или помешать защите. Различные артефакты могут быть созданы противником или чем-то, что можно отнести к действиям противника. Обычно эти артефакты используются в качестве защитных индикаторов, связанных с отслеживаемыми событиями, такими как строки из загруженных файлов, журналы, созданные в результате действий пользователя, и другие данные, анализируемые защитниками. Расположение, формат и тип артефакта (например, история команд или входов в систему) часто зависят от каждой платформы.

Indirect Command Execution

Злоумышленники могут злоупотреблять утилитами, позволяющими выполнять команды, чтобы обойти ограничения безопасности, ограничивающие использование интерпретаторов командной строки. Различные утилиты Windows могут использоваться для выполнения команд, возможно, без вызова cmd . Например, Forfiles , помощник по совместимости программ (pcalua.exe), компоненты подсистемы Windows для Linux (WSL), а также другие утилиты могут вызывать выполнение программ и команд из интерпретатора команд и сценариев , окна запуска или через скрипты.

Masquerading

Злоумышленники могут попытаться манипулировать функциями своих артефактов, чтобы они выглядели легитимными или безопасными для пользователей и/или инструментов безопасности. Маскарадинг происходит, когда имя или местонахождение объекта, законного или злонамеренного, манипулируют или злоупотребляют ради уклонения от защиты и наблюдения.

Modify Authentication Process

Злоумышленники могут изменить механизмы и процессы аутентификации, чтобы получить доступ к учетным данным пользователя или обеспечить несанкционированный доступ к учетным записям. Процесс аутентификации обрабатывается такими механизмами, как процесс локального сервера аутентификации безопасности (LSASS) и диспетчер учетных записей безопасности (SAM) в Windows, подключаемые модули аутентификации (PAM) в системах на базе Unix и подключаемые модули авторизации в системах MacOS, отвечающие за для сбора, хранения и проверки учетных данных. Изменив процесс аутентификации, злоумышленник может пройти аутентификацию в службе или системе без использования действительных учетных записей.

Modify Cloud Compute Infrastructure

Злоумышленник может попытаться изменить инфраструктуру вычислительной службы облачной учетной записи, чтобы обойти защиту. Модификация инфраструктуры службы вычислений может включать создание, удаление или модификацию одного или нескольких компонентов, таких как экземпляры вычислений, виртуальные машины и моментальные снимки.

Modify Registry

Злоумышленники могут взаимодействовать с реестром Windows, чтобы скрыть информацию о конфигурации в ключах реестра, удалить информацию в рамках очистки или в рамках других методов, помогающих сохранять и выполнять.

Modify System Image

Злоумышленники могут вносить изменения в операционную систему встроенных сетевых устройств, чтобы ослабить защиту и предоставить новые возможности для себя. На таких устройствах операционные системы обычно являются монолитными, и большая часть функций и возможностей устройства содержится в одном файле.

Network Boundary Bridging

Злоумышленники могут преодолеть границы сети, скомпрометировав сетевые устройства периметра или внутренние устройства, отвечающие за сегментацию сети. Взлом этих устройств может позволить злоумышленнику обойти ограничения на маршрутизацию трафика, которые в противном случае разделяют доверенные и ненадежные сети.

Obfuscated Files or Information

Злоумышленники могут попытаться затруднить обнаружение или анализ исполняемого файла или файла путем шифрования, кодирования или иного запутывания его содержимого в системе или при передаче. Это обычное поведение, которое можно использовать на разных платформах и в сети для обхода средств защиты.

Plist File Modification

Злоумышленники могут изменять файлы списка свойств (файлы plist), чтобы активировать другие вредоносные действия, а также потенциально уклоняться и обходить защиту системы. Приложения macOS используют файлы plist, такие как info.plist файл, для хранения свойств и параметров конфигурации, которые информируют операционную систему о том, как обрабатывать приложение во время выполнения. Файлы Plist представляют собой структурированные метаданные в виде пар ключ-значение, отформатированные в формате XML на основе Apple Core Foundation DTD. Файлы Plist можно сохранять в текстовом или двоичном формате.

Pre-OS Boot

Злоумышленники могут злоупотреблять механизмами предварительной загрузки ОС, чтобы обеспечить постоянство системы. В процессе загрузки компьютера перед операционной системой загружаются прошивки и различные службы запуска. Эти программы контролируют поток выполнения до того, как операционная система возьмет на себя управление.

Process Injection

Злоумышленники могут внедрить код в процессы, чтобы обойти защиту, основанную на процессах, а также, возможно, повысить привилегии. Внедрение процесса -- это метод выполнения произвольного кода в адресном пространстве отдельного живого процесса. Выполнение кода в контексте другого процесса может предоставить доступ к памяти процесса, системным/сетевым ресурсам и, возможно, повышенным привилегиям. Выполнение через внедрение процесса также может избежать обнаружения продуктами безопасности, поскольку выполнение маскируется под законный процесс.

Reflective Code Loading

Злоумышленники могут сознательно загружать код в процесс, чтобы скрыть выполнение вредоносных полезных нагрузок. Рефлективно загружаемые полезные данные могут быть скомпилированными двоичными файлами, анонимными файлами (присутствующими только в ОЗУ) или просто фрагментами бесфайлового исполняемого кода (например, независимый от позиции шеллкод).

Rogue Domain Controller

Злоумышленники могут зарегистрировать мошеннический контроллер домена, чтобы разрешить манипулирование данными Active Directory. DCShadow может использоваться для создания мошеннического контроллера домена (DC). DCShadow -- это метод манипулирования данными Active Directory (AD), включая объекты и схемы, путем регистрации (или повторного использования неактивной регистрации) и имитации поведения контроллера домена. После регистрации мошеннический контроллер домена может вводить и реплицировать изменения в инфраструктуре AD для любого объекта домена, включая учетные данные и ключи.

Rootkit

Злоумышленники могут использовать руткиты, чтобы скрыть наличие программ, файлов, сетевых подключений, служб, драйверов и других компонентов системы. Руткиты -- это программы, которые скрывают существование вредоносных программ, перехватывая/перехватывая и изменяя вызовы API операционной системы, которые предоставляют системную информацию.

Subvert Trust Controls

Злоумышленники могут нарушить меры безопасности, которые будут либо предупреждать пользователей о ненадежных действиях, либо предотвращать выполнение ненадежных программ. Примеры таких функций включают запуск программы, поскольку она подписана действительным сертификатом подписи кода, программу, выдающую предупреждение пользователю, поскольку она имеет установленный атрибут после загрузки из Интернета, или получение указания на то, что вы собираются подключиться к ненадежному сайту.

System Binary Proxy Execution

Злоумышленники могут обойти защиту на основе процессов и/или сигнатур, проксируя выполнение вредоносного контента с помощью подписанных или иным образом доверенных двоичных файлов. Двоичные файлы, используемые в этом методе, часто являются файлами, подписанными Microsoft, что указывает на то, что они либо были загружены из Microsoft, либо уже встроены в операционную систему.

System Script Proxy Execution

Злоумышленники могут использовать доверенные сценарии, часто подписанные сертификатами, для проксирования выполнения вредоносных файлов. Несколько сценариев, подписанных Microsoft, которые были загружены из Microsoft или установлены по умолчанию в установках Windows, могут использоваться для проксирования выполнения других файлов. Это поведение может быть использовано злоумышленниками для запуска вредоносных файлов, которые могут обойти контроль приложений и проверку подписи в системах.

Template Injection

Злоумышленники могут создавать или изменять ссылки в шаблонах пользовательских документов, чтобы скрыть вредоносный код или принудительно выполнить аутентификацию.

Traffic Signaling

Злоумышленники могут использовать сигнализацию трафика, чтобы скрыть открытые порты или другие вредоносные функции, используемые для сохранения или управления и контроля. Сигнализация трафика включает в себя использование магического значения или последовательности, которые должны быть отправлены в систему для запуска специального ответа, такого как открытие закрытого порта или выполнение вредоносной задачи. Это может принимать форму отправки серии пакетов с определенными характеристиками, прежде чем будет открыт порт, который противник может использовать для управления и контроля. Обычно эта серия пакетов состоит из попыток подключения к предопределенной последовательности закрытых портов ( т.е.), но могут включать необычные флаги, определенные строки или другие уникальные характеристики. После завершения последовательности открытие порта может быть выполнено брандмауэром на хосте, но также может быть реализовано с помощью специального программного обеспечения.

Trusted Developer Utilities Proxy Execution

Злоумышленники могут использовать утилиты доверенных разработчиков для проксирования выполнения вредоносных полезных нагрузок. Существует множество утилит, используемых для задач, связанных с разработкой программного обеспечения, которые можно использовать для выполнения кода в различных формах, чтобы помочь в разработке, отладке и обратном проектировании. Эти утилиты часто могут быть подписаны законными сертификатами, которые позволяют им выполняться в системе и проксировать выполнение вредоносного кода через доверенный процесс, который эффективно обходит решения для управления приложениями.

Unused/Unsupported Cloud Regions

Злоумышленники могут создавать облачные экземпляры в неиспользуемых географических регионах обслуживания, чтобы избежать обнаружения. Доступ обычно получают через компрометацию учетных записей, используемых для управления облачной инфраструктурой.

Use Alternate Authentication Material

Злоумышленники могут использовать альтернативные материалы для аутентификации, такие как хэши паролей, билеты Kerberos и токены доступа к приложениям, чтобы перемещаться в пределах среды и обходить обычные средства контроля доступа к системе.

Valid Accounts

Злоумышленники могут получать и злоупотреблять учетными данными существующих учетных записей в качестве средства получения первоначального доступа, сохраняемости, повышения привилегий или уклонения от защиты. Скомпрометированные учетные данные могут использоваться для обхода средств контроля доступа, размещенных на различных ресурсах в системах в сети, и даже могут использоваться для постоянного доступа к удаленным системам и внешним службам, таким как VPN, Outlook Web Access, сетевые устройства и удаленный рабочий стол. Злоумышленники могут отказаться от использования вредоносных программ или инструментов в сочетании с законным доступом, предоставляемым этими учетными данными, чтобы затруднить обнаружение их присутствия.

Virtualization/Sandbox Evasion

Злоумышленники могут использовать различные средства для обнаружения и предотвращения сред виртуализации и анализа. Это может включать изменение поведения на основе результатов проверки наличия артефактов, указывающих на среду виртуальной машины (VME) или песочницу. Если злоумышленник обнаружит VME, он может изменить свое вредоносное ПО, чтобы отвлечься от жертвы или скрыть основные функции имплантата. Они также могут искать артефакты VME, прежде чем сбрасывать вторичные или дополнительные полезные нагрузки.

Weaken Encryption

Злоумышленники могут поставить под угрозу возможности шифрования сетевого устройства, чтобы обойти шифрование, которое в противном случае защищало бы передачу данных.

XSL Script Processing

Злоумышленники могут обойти контроль приложений и скрыть выполнение кода, внедрив скрипты в XSL-файлы. Файлы Extensible Stylesheet Language (XSL) обычно используются для описания обработки и рендеринга данных в файлах XML. Для поддержки сложных операций стандарт XSL включает поддержку встроенных сценариев на различных языках.

Выводы первой главы

В целом, злоумышленники могут использовать множество различных техник для атак типа «defense evasion», и эти техники могут сочетаться в разных комбинациях, в зависимости от целей и среды, в которой происходит атака. Мы подробно рассмотрели огромное количество техник и подтехник от MITRE ATT&CK, отсюда можно увидеть, что крайне важно использовать комплексный подход к защите информации и постоянно обновлять системы защиты, чтобы минимизировать количество возможно доступных атак.

Изучение подобных атак, а также методов защиты от них крайне важно для того, чтобы предотвратить утечки данных, потерю конфиденциальности и другие проблемы, связанные с нарушением безопасности информации.

Чтобы защититься от такой угрозы, компании должны использовать несколько слоев защиты, включая механизмы обнаружения и ответа на инциденты, а также обучение сотрудников основам кибербезопасности. В заключение, данная киберугроза представляют собой серьезную проблему в сфере информационной безопасности, и понимание того, как они проводятся и как защищаться от них, является важной задачей для всех, кто работает в области кибербезопасности.



Глава II. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ДЛЯ ПРЕДОТВРАЩЕНИЯ АТАК ТИПА «DEFENSE EVASION». ФОРМИРОВАНИЕ И ИСПОЛЬЗОВАНИЕ ЗАЩИТЫ НА ОСНОВЕ РАССМОТРЕННЫХ ПРОГРАММ

2.1 Описание и классификация подобного ПО

Просматривая статьи и документы, мы можем предоставить подробное описание и классификацию программного обеспечения, используемого для обнаружения и предотвращения атак[4].

Различные типы ПО предоставляют широкий спектр функциональности и подходов к решению задачи обеспечения информационной безопасности. Мы рассмотрим следующие категории программного обеспечения: антивирусные программы, системы обнаружения вторжений (СОВ), системы предотвращения вторжений (СПВ) и системы управления информационной безопасностью (СУИБ). Каждая из этих категорий имеет свои особенности и принципы работы, рассмотрим каждую:

Антивирусные программы - являются одной из основных категорий программного обеспечения, используемого для обнаружения и предотвращения кибератак. Они специально разработаны для обнаружения, блокировки и удаления вредоносных программ, таких как вирусы, черви, троянские программы и шпионское ПО. Антивирусные программы оперируют сигнатурами, которые представляют собой уникальные характеристики известных вредоносных программ. Они сканируют файлы и систему на наличие сигнатур, сравнивая их с базой данных известных угроз.

Системы обнаружения вторжений (СОВ) - это программное обеспечение, которое наблюдает за сетевым трафиком и системными событиями с целью обнаружения потенциальных атак или необычных активностей. СОВ используют различные методы обнаружения, включая сравнение сигнатур, анализ поведения и машинное обучение. Они осуществляют непрерывный мониторинг и анализ сетевого трафика, системных журналов и других источников данных для выявления аномалий, подозрительных активностей или известных сигнатур атак.

Системы предотвращения вторжений (СПВ) - работают в паре с системами обнаружения вторжений и направлены на блокирование и предотвращение активных атак. Они могут принимать меры для блокирования соединений с вредоносными источниками, отключения подозрительных процессов, изменения конфигурации системы и т. д. СПВ обычно основаны на правилах или политиках, которые определяют допустимые и недопустимые действия в сети или на уровне системы.

Системы управления информационной безопасностью (СУИБ) - представляют собой комплексное программное обеспечение, которое объединяет различные инструменты и функциональности для обеспечения общей безопасности информационной среды. Они включают в себя модули для обнаружения и предотвращения атак, управления уязвимостями, аудита безопасности, управления правами доступа, мониторинга и регистрации событий и другие. СУИБ обычно позволяют централизованное управление и контроль над системами безопасности, что повышает эффективность и координацию в предотвращении и обнаружении атак.

2.2 Принципы работы соответствующего ПО

Принципы работы программного обеспечения для обнаружения и предотвращения атак могут варьироваться в зависимости от конкретных инструментов и подходов. Однако, в общем случае, существует основные принципы, которые могут использоваться в данном контексте:

1) Сигнатурный анализ:

Программное обеспечение использует базу данных известных сигнатур (подписей) вредоносных программ для сравнения сигнатур обнаруженных файлов или сетевых пакетов.

Если сигнатура совпадает, считается, что обнаружена угроза, и принимаются соответствующие меры, например, блокировка или удаление вредоносного кода.

Анализ поведения:

Программное обеспечение анализирует наблюдаемое поведение системы, приложений или сетевого трафика, чтобы выявить аномалии или необычную активность.

Используются алгоритмы машинного обучения или эвристические методы для определения типичного поведения и выявления отклонений, которые могут указывать на атаку.

Машинное обучение и искусственный интеллект:

Программное обеспечение применяет методы машинного обучения, такие как алгоритмы классификации, кластеризации или нейронные сети, для анализа данных и обнаружения атак.

С использованием искусственного интеллекта, ПО способно обнаруживать новые и неизвестные угрозы, основываясь на обучении на предыдущих данных или на обновляемых моделях.

Анализ уязвимостей:

Программное обеспечение сканирует системы на предмет известных уязвимостей, таких как незакрытые порты, слабые пароли или устаревшее программное обеспечение.

После обнаружения уязвимости, принимаются меры по исправлению или предотвращению возможных атак.

Оценка программного обеспечения для защиты

Для понимания каждого из видов ПО которые мы озвучили ранее, рассмотрим их положительные и отрицательные стороны. Нужно понимать где у каждой из программы слабое место, для обеспечения максимально точной и верной защиты.

Антивирусные прогрыммы:

Можно выделить следующие преимущества:

Широко распространены и доступны для различных платформ и операционных систем.

Базируются на сигнатурном анализе, что позволяет эффективно обнаруживать и блокировать известные вредоносные программы.

Обновление сигнатур происходит регулярно, обеспечивая защиту от новых угроз.

Обладают относительно низкой сложностью использования и настройки.

Были обнаружении такие недостатки как:

Сигнатурный анализ может быть ограничен в обнаружении новых и неизвестных угроз, так называемых «нулевых дней»[5].

Могут иметь небольшую эффективность в обнаружении атак, основанных на поведении или использовании сложных техник обхода защиты.

Системы обнаружения вторжений (СОВ):

Преимущества:

Способны обнаруживать необычную активность и аномалии, включая новые и неизвестные угрозы.

Позволяют проводить анализ сетевого трафика и системных событий для выявления атак.

Могут использовать различные методы обнаружения, включая сигнатурный анализ, анализ поведения и машинное обучение.

Недостатки:

Возможны ложные срабатывания, особенно при использовании алгоритмов анализа поведения.

Требуют настройки и поддержки для оптимальной работы.

Могут требовать больших ресурсов для обработки и анализа больших объемов данных.

Системы предотвращения вторжений (СПВ):

Преимущества:

Активно предотвращают и блокируют активные атаки на основе обнаруженных угроз.

Могут выполнять действия, такие как блокировка соединений, отключение процессов и изменение конфигурации системы.

Недостатки:

Существует возможность ложных срабатываний, что может привести к блокировке легитимного трафика или процессов.

Требуют постоянного обновления правил и политик для адаптации к новым угрозам.

Могут быть ограничены в обнаружении угроз, которые обходят существующие правила и политики.

Системы управления информационной безопасностью (СУИБ):

Преимущества:

Обеспечивают комплексное управление безопасностью информационной среды.

Интегрируют различные инструменты и функциональности, такие как обнаружение и предотвращение атак, управление уязвимостями, аудит безопасности и др.

Обеспечивают централизованное управление и контроль над системами безопасности.

Недостатки:

Могут быть сложными в реализации и требовать значительных ресурсов для внедрения и поддержки.

Не всегда могут обеспечить полную защиту от новых и неизвестных угроз, требуя дополнительных обновлений и конфигураций.

Сравнительный анализ различных ПО для обнаружения и предотвращения атак

Просматривая интернет можно отыскать несколько отличных программ для осуществление наших целей по защите. Из таких, самые выдающиеся являются следующие программы[6]:

Snort - сетевая система предотвращения вторжений, то есть IPS, и обнаружения вторжений, оно же IDS, имеет открытый исходный код, способна выполнять регистрацию пакетов и в реальном времени осуществлять анализ трафика в IP-сетях.

McAfee Endpoint Security - продукт для предотвращения угроз отлично зарекомендовал себя в отраслевых тестах против вредоносных программ, но его внедрение сложнее, чем у многих конкурирующих продуктов, и для его внедрения и управления требуется специальный ИТ-отдел[7].

Сравним и выявим их основные отличия, преимущества и недостатки для определения наилучшего варианта:

McAfee Endpoint Security - предоставляет комплексное решение для обнаружения и предотвращения атак на конечных точках. Использует современные методы обнаружения, включая машинное обучение и анализ поведения. Обладает широким набором функций, включая защиту от вредоносного программного обеспечения, контроль уязвимостей и брандмауэр. Предлагает удобный интерфейс и гибкие настройки для адаптации к требованиям организации.

Snort же - бесплатная и открытая система обнаружения вторжений, широко используемая в сообществе безопасности. Основана на правилах и сигнатурах для обнаружения угроз. Может быть легко настроена и расширена для специфических потребностей организации. Обладает активным сообществом пользователей и разработчиков, что обеспечивает постоянное обновление правил и поддержку[8].

Преимуществами McAfee, можно выделить:

Комплексное решение с широким спектром функций, что позволяет обеспечить полноценную защиту конечных точек.

Использование современных методов обнаружения, таких как машинное обучение и анализ поведения, повышает эффективность обнаружения атак.

Удобный интерфейс и гибкие настройки облегчают управление и настройку программы под требования организации.

Преимущества Snort:

Бесплатное и открытое ПО, что делает его доступным для широкого круга пользователей.

Простота настройки и расширения, позволяя адаптировать программу под специфические потребности организации.

Активное сообщество пользователей и разработчиков обеспечивает постоянное обновление правил и поддержку программы.

Недостатками McAfee Endpoint Security можно назвать следующие:

Коммерческое ПО, что может потребовать дополнительных затрат на лицензии и поддержку.

Зависимость от обновлений разработчика для поддержки новых типов атак и угроз.

Недостатки Snort[9]:

Основан на сигнатурах, что может привести к проблемам с обнаружением новых и неизвестных угроз.

Отсутствие некоторых продвинутых функций, которые предлагает McAfee Endpoint Security.

В итоге, выбор между McAfee Endpoint Security и Snort будет зависеть от специфических потребностей организации. Если организация ищет полноценное и комплексное решение, готовое к использованию, с широким набором функций и поддержкой, то первый вариант может быть более предпочтительным вариантом. Однако, если организация обладает ограниченным бюджетом, то Snort может представлять собой хорошую алтернативу.

Создание и составление концепции защиты

Давайте рассмотрим пример сетевой инфраструктуры организации, в которой применяются программы Snort и McAfee для обнаружения и предотвращения атак. Разработаем стратегию защиты для этого примера[11].

Для начала, проведём оценку текущей защиты и идентификация ее слабых мест:

Проверка наличия и актуальности установленных программ для защиты.

Анализ конфигурации и настроек программ для оптимальной работы.

Оценка существующих сетевых мер безопасности, таких как межсетевые экраны и сетевые сегментации.

Идентификация слабых мест, таких как недостаточное покрытие сети имеющимися программами, уязвимости в сетевой инфраструктуре или недостаточное обучение персонала в обнаружении атак.

После определяем целевые угрозы и сценарии атак:

Исследование известных угроз, которые могут быть обнаружены и предотвращены программами для предотвращения атак, таких как DDoS, сканирование портов, внедрение вредоносного кода и т. д.

Определение целевых узлов и сетевых ресурсов, на которые могут быть направлены атаки.

Разработка сценариев атак, основанных на типичных методах обхода защиты и использования "defense evasion".

Разработка стратегии защиты:

- Обновление и конфигурации ПО с использованием последних версий и обновлений правил обнаружения.

- Настройка системы мониторинга и анализа событий для быстрого обнаружения аномалий и потенциальных атак.

- Регулярное обновление базы данных угроз и правил обнаружения, чтобы обеспечить актуальность и эффективность программ.

- Развертывание сетевых сегментаций и межсетевых экранов для ограничения доступа и уменьшения поверхности атаки.

- Обучение и осведомление персонала о методах обнаружения и предотвращения атак, а также о роли программ для защиты сети.

- Разработка процедур реагирования на инциденты и мер по восстановлению после атаки.

Мониторинг и обнаружение атак:

- Непрерывный мониторинг событий и анализ сетевого трафика с помощью программ, таких как Snort или McAfee.

- Анализ журналов и предупреждений, выявление потенциально подозрительных активностей.

- Интеграция программ с системой управления инцидентами для быстрого реагирования на обнаруженные атаки.

Обновление и обучение:

- Регулярное обновление ПО, включая их компоненты и базы данных правил.

- Организация регулярных тренировок персонала по использованию и анализу отчетов программ, а также обучение по актуальным методам атак и "defense evasion".

- Проведение аудитов и проверок эффективности программ и стратегии защиты

2.3 Использование программ Snort и McAfee в защите

Для практического применения ПО, для предотвращения атак типа «обход защиты», были взяты программы Snort и McAfee, упомянутые ранее.

Было проведено исследование и тестирование их возможностей по обнаружению и предотвращению атак. В процессе использования этих программ, получены следующие результаты:

1. Установка и конфигурация:

- Установка программ Snort и McAfee прошла гладко, и я успешно настроил их для работы в моей сетевой инфраструктуре(см. рис. 1, рис. 2 и рис. 3).

Рисунок 1. Установленная McAfee Endpoint

Рисунок 2. Установленная Snort

Рисунок 3. Snort в консольном варианте

- Были выполнены все рекомендации по безопасности, и программы были защищены паролями и актуальными обновлениями.

2. Настройка правил обнаружения:

- Используя обширные наборы правил, предоставленные Snort и McAfee, я настроил их на обнаружение широкого спектра угроз и атак(см. рис. 4).

Рисунок 4. Настройка правил в программе Snort

- Были выбраны и настроены правила, специфические для моей сетевой инфраструктуры и соответствующие моим целям защиты(см. рис. 5).

Рисунок 5. Настройка в программе McAfee

3. Мониторинг и анализ событий:

- В процессе мониторинга событий и анализа журналов Snort и McAfee, было обнаружено несколько попыток атак на сеть(см. рис. 6).

- Программы успешно обнаружили и сигнализировали о внедрении вредоносного кода, сканировании портов и других аномальных действиях.

- Благодаря своей эффективности в обнаружении атак, Snort и McAfee помогли предотвратить некоторые из них и предпринять необходимые меры по защите системы(см. рис. 7).

Рисунок 6. Обнаруженные угрозы безопасности

Рисунок 7. Угрозы через графический интерфейс Snort

4. Реакция на обнаружение атак:

- В соответствии с настроенными правилами, программы Snort и McAfee автоматически применяли меры реагирования на обнаруженные атаки(см. рис. 8).

- Были заблокированы подозрительные соединения, и система уведомляла о событиях, что позволило оперативно реагировать на возможные угрозы.



Рисунок 8. Просмотр угроз в реальном времени через консоль McAfee Epo

Выводы ко второй главе

В данной главе мы рассмотрели важные аспекты, связанные с программным обеспечением для обнаружения и предотвращения атак.

Описали и классифицировали такие ПО, исследовав различные типы программ и их функциональность. Изучили принципы работы программного обеспечения, обратив внимание на ключевые методы и механизмы, используемые для обнаружения и предотвращения атак.

Оценили программное обеспечения для защиты, где рассмотрели преимущества и недостатки различных типов ПО.

Провели сравнительный анализ различных программных решений для обнаружения и предотвращения атак. Таких как McAfee Endpoint Security и Snort, выявив их основные отличия, преимущества и недостатки[10].

В результате анализа было показано, что выбор программного обеспечения зависит от потребностей организации, бюджета и требуемого уровня защиты.

Мы ознакомились с принципами работы такого ПО, оценили его эффективность и провели сравнительный анализ различных программных решений.

В ходе исследования и практической работы с программами Snort и McAfee для обнаружения и предотвращения атак, было установлено, что эти программы обладают значительными возможностями по защите сетевой инфраструктуры. Их установка, конфигурация и настройка правил обнаружения позволили успешно обнаруживать и предотвращать различные типы атак, включая те, которые используют механизм "обхода защиты" (defense evasion). Мониторинг событий и анализ журналов Snort и McAfee выявили аномальную активность и предупредили об инцидентах, что позволило принять необходимые меры реагирования. Программы также эффективно реагировали на обнаружение атак, блокируя подозрительные соединения и предотвращая потенциальные угрозы. Регулярное обновление программ и обучение персонала способствуют повышению эффективности и надежности защиты от "defense evasion".

Таким образом, использование программных решений Snort и McAfee демонстрирует значительные преимущества в борьбе с кибератаками и подтверждает их эффективность в обнаружении и предотвращении угроз безопасности.



ЗАКЛЮЧЕНИЕ

В ходе выполнения курсовой работы, был проведен анализ последовательности работ по обнаружению и предотвращению кибератак с использованием механизма "обхода защиты" (defense evasion). Основываясь на базе знаний MITRE ATT&CK, были рассмотрены различные виды атак и техники, которые злоумышленники могут использовать для обхода защиты.

Было проведено описание и классификация программного обеспечения, используемого для обнаружения и предотвращения таких атак. Описаны принципы работы каждого типа ПО и их преимущества и недостатки.

Сравнили различные программные решения для обнаружения и предотвращения атак. Были рассмотрены программы McAfee Endpoint Security и Snort, принципы их работы и эффективность.

Разработали и представили стратегию защиты от "defense evasion". Был разработан план формирования и применения защиты, включающий установку и конфигурацию программ Snort и McAfee, настройку правил обнаружения, настройку реакции на обнаружение атак, мониторинг и анализ событий, а также обновление и обучение.

В процессе практической работы с данными программами, были получены положительные результаты, включая успешное обнаружение и предотвращение атак, блокировку подозрительных соединений и эффективное реагирование на обнаруженные угрозы.

Однако, выбор конкретного ПО должен основываться на специфических потребностях и требованиях организации. Важно регулярно обновлять программы и обучать персонал, чтобы поддерживать эффективность защиты.

Таким образом, данная курсовая работа предоставляет обзор и анализ современных методов обнаружения и предотвращения кибератак с использованием механизма "обхода защиты" (defense evasion) и предлагает стратегии и программные решения для эффективной защиты информационных систем от подобных угроз.



СПИСОК ЛИТЕРАТУРЫ

Статья РБК, Екатерина Ясакова, [Электронный документ], (https://www.rbc.ru/technology_and_media/13/10/2022/6346cdcc9a7947891c7fd5fc, дата обращения: 20.04.2023)

Актуальные киберугрозы: IV квартал 2022 года от Positive Technologie, [Электронный документ], 
(https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2022-q4/, дата обращения 29.04.2023).

База данных MITRE ATT&CK
(https://attack.mitre.org/, дата обращения 30.06.2018).

Статья «Онланта», Мурад Мустафаев [Электронный документ],

(https://onlanta.ru/press/smi/osnovnye-vidy-atak-na-infrastrukturu-i-kontseptsiya-zashchity-ot-nikh/, дата обращения: 01.05.2023).

Информационная база слов сайта Касперский, [Электронный документ], (https://www.kaspersky.ru/resource-center/definitions/zero-day-exploit, дата обращения 03.05.2023).

Решения ЕВРААС, [Электронная статья],
(https://www.evraas.ru/solutions/intrusion-detection-and-prevention/, дата обращения 05.05.2023)

The Ascent, by Robert Izquierdo [Internet Review],

(https://www.fool.com/the-ascent/small-business/endpoint-security/mcafee-endpoint-protection-review/?utm_term=social_share, дата обращения 07.05.2023)

Tech Geek, [Электронная статья],
(https://tech-geek.ru/snort/, дата обращения 10.05.2023)

База программ Comss, [Электронная страница],
(https://www.evraas.ru/solutions/intrusion-detection-and-prevention/, дата обращения 11.05.2023)

ИТ База Знаний Merion Networks, [Электронная статья],
(https://wiki.merionet.ru/seti/31/ustanovka-i-nastrojka-utility-dlja-obnaruzhenija-vtorzhenij-v-seti-snort/, дата обращения 14.05.2023)

Cynet, Defense Evasion Tech. [Internet Docu ment], (https://www.cynet.com/attack-techniques-hands-on/defense-evasion-techniques/, дата обращения 16.05.2023)

...