Дослідження технологій виявлення та ідентифікації порушників для захисту корпоративних мереж

Размещено на http://www.allbest.ru/

Дослідження технологій виявлення та ідентифікації порушників для захисту корпоративних мереж

Костюк Юлія Володимирівна доктор філософії (PhD), старший викладач кафедри інженерії програмного забезпечення та кібербезпеки факультету інформаційних технологій, Державний торговельно-економічний університет, м. Київ

Войткевич Аліса Андріївна магістр факультету інформаційних технологій, спеціальності 125 "Кібербезпека та захист інформації", Державний торговельно-економічний університет, м. Київ

Анотація

Стаття присвячена дослідженню технологій виявлення та ідентифікації порушників для захисту корпоративних мереж. У дослідженні аналізуються різноманітні підходи та технології, включаючи системи виявлення вторгнень (IDS), системи аналізу безпеки інформації (SIEM), машинне навчання та штучний інтелект. Розглядаються переваги та недоліки кожного підходу, а також їхні можливі застосування в різних сценаріях корпоративних мереж.

Дослідження розглядає профіль порушників корпоративних мереж, а також їхні тактики та техніки, що використовуються для здійснення атак. Це включає аналіз типових атак, які найчастіше спрямовані на корпоративні мережі, такі як витік конфіденційної інформації, атаки з використанням шкідливих програм та фішингові атаки. Розуміння тактик та методів, які використовуються зловмисниками, є важливим для ефективного виявлення та запобігання таким атакам. технологія інформація захист

Крім того, дослідження має на меті сприяти розробці більш ефективних стратегій захисту корпоративних мереж, які включають вдосконалення методів виявлення та ідентифікації аномальної активності, розробку систем, які можуть автоматично реагувати на виявлені загрози, та вдосконалення політик безпеки, що базуються на аналізі поведінки користувачів та відомостей про трафік в мережі. Такий підхід дозволить підвищити рівень захисту корпоративних мереж у змінних умовах кіберзагроз.

Основна увага в роботі приділяється системам виявлення вторгнень (IDS), які є надзвичайно важливим елементом для моніторингу мережевого трафіку та виявлення аномальних або підозрілих активностей. IDS використовують різні методи, включаючи сигнатурний аналіз, аналіз відхилень та аналіз аномалій, для виявлення зазначених атак. Додатково, зазначено значення систем аналізу безпеки інформації (SIEM), які забезпечують централізований аналіз та виявлення загроз на основі обробки великих обсягів даних. SIEM інтегрують дані з різних джерел, що дозволяє швидше виявляти потенційні загрози та реагувати на них.

У роботі також досліджуються можливості машинного навчання та штучного інтелекту в контексті виявлення та ідентифікації порушників у реальному часі. Машинне навчання та нейронні мережі можуть використовуватися для розробки моделей, які аналізують поведінку користувачів та виявляють аномалії, які можуть свідчити про атаки. Проводиться порівняльний аналіз переваг та недоліків кожного з методів, а також їхні можливі застосування в різних сценаріях. Виділяються перспективи розвитку цих підходів у майбутньому.

Ключові слова: ідентифікація порушників, корпоративні мережі, системи виявлення вторгнень, машинне навчання, штучний інтелект, стратегії захисту, сигнатурний аналіз, аналіз аномалій, технології захисту, мережева інфраструктура.

Kostiuk Yuliia Volodymyrivna Doctor of Philosophy (PhD), Senior lecturer of the Department of Software Engineering and Cybersecurity of the Faculty of Information Technologies, State University of Trade and Economics, Kyiv

Voitkevych Alisa Andriyivna Master of the Faculty of Information Technologies, specialty 125 "Cybersecurity and Information Protection", State University of Trade and Economics, Kyiv

RESEARCH OF TECHNOLOGIES FOR INTRUDER DETECTION AND IDENTIFICATION TO SECURE CORPORATE NETWORKS

Abstract. The article is dedicated to exploring technologies for detecting and identifying intruders to protect corporate networks. Various approaches and technologies are analyzed in the research, including Intrusion Detection Systems (IDS), Security Information and Event Management (SIEM) systems, machine learning, and artificial intelligence. The advantages and disadvantages of each approach are examined, along with their potential applications in various corporate network scenarios.

The research examines the profile of intruders in corporate networks, as well as their tactics and techniques used in attacks. This includes the analysis of common attacks often directed at corporate networks, such as data breaches, malware attacks, and phishing attempts. Understanding the tactics and methods used by attackers is crucial for effectively detecting and preventing such attacks.

Additionally, the research aims to contribute to the development of more effective strategies for protecting corporate networks. This includes improving methods for detecting and identifying anomalous activity, developing systems that can automatically respond to detected threats, and enhancing security policies based on user behavior analysis and network traffic data. Such an approach will help enhance the level of protection for corporate networks in evolving cyber threat environments.

The main focus of the work is on Intrusion Detection Systems (IDS), which are crucial for monitoring network traffic and detecting anomalous or suspicious activities. IDS utilize various methods, including signature analysis, anomaly detection, and deviation analysis, to detect specified attacks. Furthermore, the importance of Security Information and Event Management (SIEM) systems is highlighted, as they provide centralized analysis and threat detection based on processing large volumes of data. SIEM integrates data from various sources, allowing for faster detection of potential threats and response to them.

The research also explores the capabilities of machine learning and artificial intelligence in the context of real-time intrusion detection and identification. Machine learning and neural networks can be used to develop models that analyze user behavior and detect anomalies indicative of attacks. A comparative analysis of the advantages and disadvantages of each method is conducted, along with their potential applications in various scenarios. The future prospects of these approaches are also identified.

Keywords: intruder identification, corporate networks, intrusion detection systems, machine learning, artificial intelligence, defense strategies, signature analysis, anomaly analysis, security technologies, network infrastructure.

Постановка проблеми. У сучасному цифровому світі корпоративні мережі стають предметом постійних кібератак з боку хакерів, зловмисників та інших злочинних елементів. Ці атаки можуть призвести до витоку конфіденційної інформації, порушення нормальної роботи системи, втрати даних та інших серйозних наслідків для діяльності компаній. Проблема полягає в тому, що традиційні методи захисту, такі як файєрволи та антивіруси, не завжди здатні ефективно протистояти сучасним, вдосконаленим методам атак. Зловмисники постійно змінюють свої тактики та методи, щоб уникнути виявлення та нейтралізації захисних заходів. Додатково досліджуються можливості машинного навчання та штучного інтелекту в контексті виявлення та ідентифікації порушників у реальному часі. Проводиться порівняльний аналіз переваг та недоліків кожного з методів, а також їхні можливі застосування в різних сценаріях.

Отже, постановка проблеми полягає в необхідності розробки та впровадження більш ефективних технологій виявлення та ідентифікації порушників для захисту корпоративних мереж. Ці технології повинні бути спроможні вчасно розпізнавати та реагувати на потенційні загрози, навіть у випадку використання найновіших та найбільш хитрих методів атак. Загальний висновок полягає в тому, що глибоке дослідження технологій виявлення та ідентифікації порушників є важливим для розуміння сучасних викликів та можливостей у галузі кібербезпеки корпоративних мереж.

Актуальність даного дослідження базується на постійному зростанні кількості та складності кіберзагроз, з якими стикаються корпоративні мережі. У зв'язку з цим, потреба в ефективних методах виявлення та ідентифікації порушників стає надзвичайно актуальною для бізнес-середовища. Швидкість та складність кібератак зростають, а порушники постійно вдосконалюють свої методи. Вони можуть діяти з будь-якої точки світу, що ускладнює їх відстеження та притягнення до відповідальності. Це може призвести до значних фінансових втрат, витоку конфіденційної інформації та шкоди репутації як компанії, так і окремої особистості. Адже більшість підприємств залежать від цифрових технологій і будь -які порушення паралізують роботу [1-2]. Тому розробка та впровадження передових технологій та стратегій захисту є критично важливою для забезпечення безпеки корпоративних мереж та захисту конфіденційної інформації. Дослідження відповідає сучасним викликам у сфері кібербезпеки та спрямоване на вдосконалення практик захисту корпоративних мереж шляхом вивчення та аналізу передових технологій виявлення та ідентифікації порушників.

Аналіз останніх досліджень і публікацій. Останні дослідження та публікації в галузі технологій виявлення та ідентифікації порушників для захисту корпоративних мереж відображають низку ключових тенденцій та інноваційних підходів. По-перше, дослідження акцентують увагу на розвитку технологій штучного інтелекту та машинного навчання для виявлення відхилень у поведінці мережевих користувачів та систем. По-друге, дослідження спрямовані на вдосконалення систем виявлення вторгнень (IDS) та систем аналізу безпеки інформації (SIEM). Інтеграція цих систем дозволяє забезпечити більш ефективний моніторинг мережі та виявлення потенційних загроз, використовуючи як сигнатурний аналіз, так і аналіз аномалій. По -третє, останні дослідження активно вивчають можливості використання аналізу поведінки користувачів для виявлення атак, що базуються на соціальному інженерії та фішингу.

Загалом, останні дослідження вказують на те, що постійний розвиток технологій виявлення та ідентифікації порушників є ключовим для забезпечення ефективного захисту корпоративних мереж у змінних умовах кіберзагроз [1-5, 8, 10, 12].

Протягом останніх років вчені, такі як А.І. Гізун, В.В. Волянська, В.О. Риндюк, С.О. Гнатюк, А.О. Корченко, О.В. Гавриленко та інші, провели значний обсяг досліджень, які свідчать про ефективність систем виявлення та ідентифікації порушників у сфері захисту корпоративних мереж від кібератак. Завдяки їхнім науковим працям та розробкам нам стали відомі основні характеристики, параметри, типи порушників, еталонні моделі, зв'язки, правила та процеси, що лежать в основі цих систем. Дослідження цих вчених спрямовані на розуміння складних взаємозв'язків та виявлення основних факторів, що впливають на ефективність систем виявлення та ідентифікації порушників у сучасних корпоративних мережах. Вони вивчають техніки та методи, які дозволяють вчасно виявляти та реагувати на потенційні загрози, забезпечуючи високий рівень кібербезпеки для підприємств. Результати їхніх досліджень відкривають нові можливості для подальшого вдосконалення систем виявлення та ідентифікації порушників, а також дозволяють розробляти ефективні стратегії захисту, що відповідають сучасним викликам у галузі кібербезпеки [7, 9, 11].

Мета статті - дослідження особливостей технологій виявлення та ідентифікації порушників та їх застосування для захисту мереж, а також розширення розуміння сучасних можливостей та технологій у цій області, що допоможе підприємствам розробляти та впроваджувати більш ефективні стратегії захисту даних інформаційних систем.

Виклад основного матеріалу. У сучасному світі, де інформаційна безпека відіграє важливу роль у діяльності підприємств, захист корпоративних мереж є однією з ключових проблем. Небажані вторгнення та кібератаки стають все більш складними та розповсюдженими, що вимагає від підприємств розробки та впровадження надійних методів виявлення та ідентифікації порушників. Дослідження сучасних технологій у цій області є надзвичайно важливим для забезпечення безпеки корпоративних мереж [1-2, 5, 9, 11-12].

Однією з найбільш поширених технологій у сфері кібербезпеки є системи виявлення вторгнень (IDS), які є ключовим елементом захисту корпоративних мереж та забезпечують постійний моніторинг мережевого трафіку з метою виявлення підозрілих або аномальних активностей, та які можуть свідчити про потенційні кібератаки або небажані вторгнення в мережу. Вони базуються на різноманітних методах аналізу, таких як сигнатурний аналіз, який використовує заздалегідь визначені шаблони для виявлення відомих загроз, та машинне навчання, яке використовує алгоритми для виявлення аномалій та нестандартних патернів поведінки. Системи забезпечують важливий рівень захисту для корпоративних мереж, допомагаючи вчасно виявляти та реагувати на потенційні загрози, тим самим сприяючи підвищенню загального рівня кібербезпеки в організаціях.

Другою важливою групою технологій у контексті захисту корпоратив - них мереж є системи аналізу безпеки інформації (SIEM), які відіграють стратегічну роль у забезпеченні безпеки та надійності інформаційних систем підприємств. SIEM системи забезпечують централізований підхід до керування та моніторингу захисних заходів, що дозволяє ефективно виявляти та відповідати на потенційні загрози. Основною функцією SIEM систем є аналіз великих обсягів журналів подій, які збираються з різних джерел у мережі, таких як файрволи, антивірусні програми, системи виявлення вторгнень та інші захисні засоби. Цей аналіз дозволяє ідентифікувати підозрілі або аномальні активності, що можуть свідчити про можливі кібератаки або порушення безпеки. Завдяки централізованому підходу, SIEM системи спрощують процес моніторингу та реагування на інциденти, дозволяючи адміністраторам ефективно керувати безпекою мережі в реальному часі. Крім того, вони надають можливість аналізувати дані і події з історичного аспекту, що дозволяє виявляти та аналізувати тренди у безпеці мережі та вчасно вживати відповідних заходів для попередження майбутніх загроз.

Загалом, SIEM системи є необхідним елементом інфраструктури кібербезпеки підприємств, які дозволяють забезпечити централізоване керування та моніторинг захисних заходів, що сприяє підвищенню ефективності та надійності захисту корпоративних мереж [3-6, 11-12].

Крім того, в останні роки спостерігається зростання зацікавленості у використанні штучного інтелекту (ШІ) та машинного навчання (МН) для виявлення та реагування на порушників у корпоративних мережах. Ці передові технології відкривають широкі перспективи для автоматизації процесів захисту та реагування на кіберзагрози, забезпечуючи ефективний аналіз великих обсягів даних та виявлення аномальних патернів поведінки, які можуть свідчити про потенційні загрози безпеці. Застосування ШІ та МН для кібербезпеки передбачає використання різноманітних алгоритмів та моделей, які навчаються на основі історичних даних та реагують на нові загрози у реальному часі. Ці алгоритми можуть виявляти аномальні або підозрілі активності, що виходять за межі звичайного, та надавати рекомендації щодо подальших заходів для запобігання або виявлення кібератак. Одною із переваг використання ШІ та МН є їхня здатність адаптуватися до змінних умов і нових типів загроз, що робить їх ефективним інструментом для захисту корпоративних мереж в умовах мінливого кіберландшафту. Крім того, автоматизація процесу виявлення та реагування на кіберзагрози за допомогою ШІ та МН може значно знизити витрати часу та ресурсів, які необхідні для ручного аналізу та моніторингу мережі [2-5, 7-10, 12].

Отже, використання штучного інтелекту та машинного навчання у сфері кібербезпеки виявляється обіцяним напрямом розвитку, що може значно покращити ефективність та надійність захисту корпоративних мереж в умовах постійно зростаючого ризику кібератак.

Не менш важливим аспектом дослідження у контексті захисту корпоративних мереж є ідентифікація потенційних порушників. Цей етап аналізу передбачає виявлення та ідентифікацію різних параметрів, що вказують на можливе небажане вторгнення в мережу. Серед цих параметрів можуть бути IP-адреси, унікальні ідентифікатори пристроїв або, в деяких випадках, конкретні особи, що виконують підозрілі дії. Для досягнення цієї мети використовуються різні методи, серед яких можна відзначити аналіз журналів подій та використання алгоритмів розпізнавання зразків та аномалій в активності мережі. Аналіз журналів подій дозволяє відстежувати та реєструвати усі події, що відбуваються в мережі, щоб вчасно виявляти незвичайну чи підозрілу активність. Додатково, алгоритми розпізнавання зразків та аномалій намагаються виявити аномальні патерни або відхилення від типової поведінки мережі, що може свідчити про потенційне порушення безпеки. Ці методи дозволяють виявляти та ідентифікувати потенційні загрози, забезпечуючи важливий рівень захисту для корпоративних мереж [4-6, 9-11]. Додатково, ідентифікація порушників є важливим кроком для подальшого аналізу та реагування на інциденти кібербезпеки, дозволяючи ефективно контролювати та нейтралізувати загрози для безпеки мережі.

Усі перераховані технології та методи мають свої переваги та недоліки і можуть бути використані як окремо, так і в поєднанні для забезпечення оптимального рівня захисту корпоративних мереж. Використання окремих технологій може бути доцільним у конкретних сценаріях, однак найефективніший захист може бути досягнутий за умови комбінування різних методів та підходів. Наприклад, системи виявлення вторгнень можуть успішно реагувати на відомі типи атак, такі як злам паролю або SQL -ін'єкції, використовуючи сигнатурний аналіз. Проте, вони можуть бути менш ефективними у виявленні нових атак або відхилень від звичної поведінки мережі. У таких випадках використання систем аналізу безпеки інформації може допомогти виявити аномалії та незвичайні зразки, які можуть залишитися непоміченими для систем виявлення вторгнень [4-7, 10, 12].

Дослідження та розвиток зазначених технологій є ключовим для забезпечення безпеки та надійності корпоративних мереж у змінному кіберландшафті. Шляхом комбінування різних методів та технологій можна підвищити рівень захисту та зробити мережу більш стійкою до кіберзагроз. Продовження досліджень у цій області має критичне значення для розробки нових та ефективних стратегій кібербезпеки, що дозволить підприємствам захищати свої інформаційні ресурси в умовах постійно зростаючого ризику кібератак [1-3, 9, 11-12].

Нарощення темпів розвитку технологій та поширення новітніх інновацій у сучасному бізнес-середовищі створюють нові можливості, але разом з тим посилюють і кіберзагрози. Системи, які впроваджуються компаніями для підтримки віддаленої роботи, покращення спілкування з клієнтами та створення додаткової вартості, стають потенційними вразливими точками в інформаційному просторі. Професіоналізм кіберзлочинців зростає, використовуючи штучний інтелект та машинне навчання для удосконалення методів атак. Крім того, загрози кібербезпеки особливо актуальні для державного сектору та критичної інфраструктури, які мають великий обсяг чутливої інформації та надають послуги, що впливають на життя громадян. Такі галузі стають пріоритетними мішенями для кіберзлочинців, оскільки успішні кібератаки на них можуть мати серйозні наслідки для суспільства. Своєчасна інформація про потенційні загрози стає критично важливою для будь -якої організації. Будь-яка можлива вразливість, яка може бути використана для порушення конфіденційності, цілісності або доступності інформації, систем або даних, може стати об'єктом кібератаки, тому необхідно завжди бути уважним та підготовленим до відповіді на потенційні загрози [2].

У сучасному кіберсередовищі існує безліч кіберзагроз, що є важливою та потенційно небезпечною зброєю. Розвинена загроза, відома також як "advanced persistent threat" (APT), представляє собою складну кібератаку, спрямовану на отримання несанкціонованого доступу до комп'ютерних мереж з метою довгострокового і прихованого збереження цього доступу з метою перехоплення, використання та передачі конфіденційної інформації [12]. Об'єктами таких атак, що відзначаються високим ступенем уваги до їх відбору та дослідження, часто стають великі корпорації або мережі державних установ. Наслідки таких вторгнень включають крадіжку інтелектуальної власності, компрометацію конфіденційної інформації, саботаж критично важливих організаційних інфраструктур та повне захоплення мережевих ресурсів [1-3, 9-12].

Один із видів кібератак виявляється у формі фішингу, метою якого є отримання конфіденційної інформації, такої як особисті або фінансові дані, шляхом підступного впливу на потенційну жертву через електронні листи, текстові повідомлення або соціальні мережі. Зазвичай, фішинговий лист містить посилання на фальшиву веб-сторінку, де може бути розміщене шкідливе програмне забезпечення. Зловмисники заохочують отримувача діяти в їхніх інтересах, щоб здобути доступ до цінної інформації. Інший метод атаки, відомий як міжсайтовий скриптинг, полягає у впровадженні шкідливого скрипту у веб-систему, що може призвести до крадіжок даних, встановлення шкідливого програмного забезпечення або перенаправлення на інші шкідливі веб-сайти. Такі атаки можуть мати серйозні наслідки, такі як блокування доступу до пристрою або шифрування файлів, що призводить до вимог викупу.

Атака, відома як "відмова в обслуговуванні" (Distributed Denial of Service, DDoS), є зловмисною діяльністю, спрямованою на перешкодження нормальному функціонуванню обчислювальної системи чи мережі, зокрема, шляхом перевантаження її ресурсів або інфраструктури штучно згенерованим потоком інтернет-трафіку. Ця атака може бути виконана з використанням ботнету - групи заражених пристроїв, які контролюються зловмисником віддалено за допомогою шкідливого програмного забезпечення. Вона спрямована на досягнення такої умови, при якій легальні користувачі не можуть отримати доступ до цільового сервера чи мережі [1-3, 5, 9-12].

Метод, який хакери використовують для атаки на системи, що мають раніше невідому вразливість безпеки або недолік у комп'ютерній системі, відомий як вразливість "нульового дня". У терміні "нульовий день" вказується, що постачальник чи розробник щойно отримав інформацію про недолік, і у них немає часу на виправлення, тобто вони мають нуль днів для реагування.

У сфері корпоративних мереж часто виникають внутрішні загрози - це форма кібератак, яку здійснює уповноважений користувач, який має доступ до систем та даних підприємства. Внутрішня загроза може виявитися нинішнім або колишнім працівником, підрядником, консультантом, бізнес -партнером, членом керівництва або навіть тимчасовим працівником, і може бути умисною, неумисною або зловмисною. Наслідками таких загроз можуть бути витік конфіденційної інформації, фінансові збитки, пошкодження репутації та зниження продуктивності [1, 4, 7, 11-12].

Виявлення та ідентифікація порушників у електронних комунікаціях корпоративних мереж є складним завданням, що потребує глибокого дослідження та ретельного підходу. Для досягнення успіху в цій справі важливо використовувати спеціалізовані інструменти захисту, такі як системи виявлення та запобігання вторгненням. Метою системи виявлення вторгнень (Intrusion Detection System) є виявлення зловмисників, які намагаються проникнути в систему та обійти захисні механізми, з метою запобігти несанкціонованому доступу до даних та їхнього недозволеного використання. Зазвичай така система імплементується в пристрій дзеркального відображення порту для нагляду та попередження адміністратора, не перешкоджаючи при цьому нормальному потоку даних. Концепція системи виявлення вторгнень (IDS) базується на ідеї постійного моніторингу мережевого трафіку та аналізу дій користувачів з метою виявлення потенційно небезпечної або аномальної активності. Основною метою IDS є захист комп'ютерних систем та мереж від різноманітних кіберзагроз, таких як вторгнення, зловживання даними та несанкціонований доступ. Концепція передбачає використання спеціалізо- ваних алгоритмів та правил, які дозволяють системі автоматично виявляти відхилення від звичної поведінки мережі чи користувачів. IDS можуть аналізувати мережевий трафік для пошуку відомих сигнатур атак або виявляти аномальні зразки, які можуть свідчити про нові, раніше не відомі загрози. Крім того, системи IDS можуть мати різні режими роботи, включаючи активний та пасивний моніторинг. У пасивному режимі IDS спостерігає за мережевим трафіком, не втручаючись у нього, тоді як у активному режимі вони можуть намагатися блокувати чи відхиляти шкідливий трафік або повідомляти про нього адміністратора [2-4, 9-12].

Концепція IDS включає в себе також інтеграцію з іншими системами безпеки, такими як системи аналізу журналів подій (SIEM) або системи управління загрозами, для більш ефективного виявлення та реагування на загрози. Використання цих інтегрованих підходів дозволяє підвищити рівень захисту мережі та даних у компанії (рис. 1).

Рис. 1. Концепція системи виявлення вторгнень

Найпоширенішими формами систем виявлення вторгнень є наступні: системи, що ґрунтуються на сигнатурах (Signature-based systems, SBS), системи, що ґрунтуються на виявленні аномалій (Anomaly-based systems, ABS), системи виявлення вторгнень в мережу (Network intrusion detection systems, NIDS), а також системи виявлення вторгнень, що базуються на аналізі хостів (Host-based intrusion detection systems, HIDS) [2-4, 9-10, 12].

Система виявлення на основі сигнатур зазвичай найефективніша у виявленні відомих загроз, оскільки вона порівнює мережевий трафік із попередньо відомими індикаторами компрометації або сигнатурами атак. Однак цей підхід неспроможний у виявленні нових та невідомих атак і потребує постійного оновлення бази даних сигнатур.

Системи виявлення вторгнень на основі аномалій здійснюють аналіз мережевого трафіку з метою виявлення незвичних або підозрілих шаблонів за допомогою методів машинного навчання, зокрема, для ідентифікації будь -якої нетипової поведінки та генерації попереджень. Однак такі системи мають високу ймовірність помилкових сигналів та потребують уважної настройки для мінімізації помилок.

Система виявлення вторгнень в мережу (NIDS) представляє собою технічне рішення, спрямоване на моніторинг мережевого трафіку з метою виявлення потенційних атак. Розміщена в стратегічних точках мережі, де може здійснювати контроль за всім трафіком, система NIDS може породжувати значну кількість помилкових сигналів і вимагає уважної настройки для оптимального функціонування та постійного оновлення бази даних сигнатур.

Системи виявлення вторгнень, що базуються на аналізі хостів (HIDS), встановлюються на окремих хостах у мережі, таких як пристрої, що підключені до Інтернету чи внутрішньої мережі організації, з метою контролю за активністю програмного забезпечення. Вони спроможні виявляти шкідливі загрози, небезпечний трафік та несанкціонований доступ. Такі системи HIDS включають п'ять основних типів датчиків: аналізатори журналів, датчики ознак, аналізатори системних викликів, аналізатори поведінки додатків та контролери цілісності файлів [3-7, 9-12].

Зі зростанням складності та різноманітності кібератак, традиційні системи виявлення вторгнень поступово уступають місце новаторським рішенням, які базуються на використанні алгоритмів машинного навчання та штучного інтелекту для аналізу мережевого трафіку та активності системи. Основними перевагами таких систем є їх здатність до навчання на великих обсягах даних, адаптація до змінних загроз, а також мінімізація кількості помилкових сигналів, що можуть виникати у традиційних системах виявлення вторгнень. Серед найбільш розповсюджених алгоритмів машинного навчання для систем виявлення вторгнень можна виділити такі: дерево рішень, яке класифікує дані на основі набору правил; опорний вектор, що формує гіперплощину для розділення даних на різні класи; найближчий сусід, який класифікує нові дані на основі їх схожості з існуючими; кластеризація, що полягає у розподілі даних на значущі групи за допомогою розміщення дуже схожих даних в одному кластері; та штучні нейронні мережі для складного аналізу даних [4-8].

Система виявлення вторгнень виступає як додатковий елемент захисту, необхідний для підвищення ефективності стратегії кібербезпеки. У поєднанні з іншими інструментами кібербезпеки, вона спроможна виявляти загрози, що можуть обійти основні заходи захисту. Таким чином, навіть при відмові основної системи, існує можливість отримати попередження про присутність потенційної загрози. Як і система виявлення, так і система запобігання вторгненням спрямовані на підвищення рівня безпеки, але вони виконують різні функції. Система запобігання вторгненням відслідковує мережевий трафік для виявлення потенційних загроз і автоматично їх блокує, сповіщає службу безпеки, розриває небезпечні з'єднання, видаляє шкідливий вміст або активізує інші пристрої безпеки. Методи запобігання вторгненням аналогічні - вони базуються на аналізі сигнатур та аномалій, а також на політиках безпеки, встановлених командою безпеки. Кожен раз, коли система IPS виявляє дію, що порушує політику безпеки, вона автоматично блокує цю спробу.

Для ідентифікації порушника можна використовувати різноманітні методи. Першим з них є атрибуція атак, що передбачає вивчення методів, інструментів та тактики, використовуваних у процесі атаки, включаючи типи пакетів, експлуатовані вразливості та час атаки. Другим методом є використання біометричної аутентифікації, що ґрунтується на унікальних фізичних або поведінкових характеристиках користувача для його ідентифі - кації. Це може включати в себе використання відбитків пальців, розпізнавання обличчя або сканування райдужної оболонки. Третій метод полягає у моніторингу активності в мережі, що передбачає постійне стеження за трафіком у мережі з метою виявлення будь-яких підозрілих активностей, таких як несанкціонований доступ, сканування портів або спроби атаки грубої сили [2, 4, 9-12]. Нарешті, використання honeypot-систем є іншим ефективним методом, що передбачає створення привабливих для зловмисників систем з метою відстеження їхніх дій та збору інформації про їхні методи.

Глибоке розуміння стратегій та тактик, які використовуються кіберзлочинцями під час атак, є важливим етапом для покращення технологій виявлення та ідентифікації порушників. Відома модель "Cyber Kill Chain" є ефективним інструментом, який дозволяє розібрати хід дій злочинця на етапи, починаючи від пошуку цілей до виконання атаки та подальшого втілення плану. Модель "Cyber Kill Chain", розроблена компанією Lockheed Martin, є важливим інструментом для аналізу та розуміння кібератак, здійснюваних зловмисниками [5-8]. Ця концептуальна модель використовується для розкриття етапів та послідовності дій, які виконуються кіберзлочинцями під час атак. Вона надає можливість виявити та уникнути потенційних загроз, а також ефективно реагувати на них. Термін "Cyber Kill Chain" походить від поняття військової термінології, де "kill chain" означає послідовність кроків, необхідних для успішного завершення військової операції. У випадку кібербезпеки, ця модель розглядається як послідовність етапів, які зловмис - ники зазвичай проймають в ході атаки на інформаційні системи [5, 7-8]. "Cyber Kill Chain" поділяється на сім етапів: розвідка, озброєння, доставка, експлуатація, встановлення, командування та управління та дії всередині мережі (рис. 2).

Рис. 2. Основні етапи моделі "Cyber Kill Chain" Джерело: розроблено автором

Першим етапом моделі є розвідка (reconnaissance), під час якої кіберзлочинці збирають інформацію про потенційні цілі та слабкі місця системи. Може використовувати різні методи, такі як сканування портів, збір інформації з відкритих джерел (OSINT) та соціальний інжиніринг. Наступний етап - озброєння (weaponization): зловмисники створюють зброю або зловісні програми, щоб використовувати їх для атаки. Це може включати розробку шкідливого коду або використання вже існуючого. Далі зловмисники виводять зброю у дію, передаючи її до цільової системи (delivery). Це може статися через електронні листи, посилання, заражені веб-сайти тощо. Потім настає етап експлуатації (exploitation), коли зловмисники використовують вразливості в системі для встановлення та виконання шкідливого коду [6-8].

На наступному етапі зловмисник встановлює інструменти та стійкий механізм доступу в скомпрометовану систему (installation). Це може дозволити зберігати доступ і здійснювати подальші дії. Після встановлення зловмисник використовує канал зв'язку для спілкування зі скомпрометованою системою (command and control). Це дозволяє керувати системою, отримувати дані або запускати інші шкідливі дії [6, 8].

Останній етап "Cyber Kill Chain" - це досягнення цілей (actions on objectives), коли зловмисники досягають своїх цілей, таких як крадіжка конфіденційної інформації або завдача шкоди системі [7]. Розуміння кожного етапу цієї моделі дозволяє розробникам кібербезпеки покращувати технології виявлення та захисту, зосереджуючись на перехопленні атак на ранніх етапах та запобіганні їх виконанню.

Таким чином, використання моделі "Cyber Kill Chain" є важливим інструментом для розуміння та протидії кіберзагрозам, що дозволяє розробникам та адміністраторам мережі покращувати стратегії кібербезпеки та захищати системи від сучасних загроз. Інтеграція моделі "Cyber Kill Chain" у систему технологій виявлення та ідентифікації порушників має суттєвий вплив на ефективність методологій в цілому. Проведений аналіз Cyber Kill Chain дозволяє виявити типові етапи, які зловмисники зазвичай проймають у ході кібератак, що в свою чергу допомагає виявити незвичайну або підозрілу активність у мережі, що може вказувати на потенційну кібератаку [5-8].

Системи виявлення вторгнень (IDS) та системи запобігання вторгненням (IPS) можуть бути налаштовані для реалізації виявлення конкретних етапів атаки відповідно до концепції "Cyber Kill Chain". Наприклад, вони спроможні відслідковувати спроби розвідки мережі, введення шкідливого коду або спроби встановлення зв'язку з командним сервером. Подальше збирання даних та формування звітів цими системами надає базу для наступного аналізу та вдосконалення стратегій захисту мережі. Такий підхід сприяє підвищенню рівня виявлення потенційних загроз та забезпечує швидке реагування на них, що є критично важливим у сучасному кібербезпечному середовищі.

Висновки

У сучасному світі, де безпека інформації стає все більш критичною для підприємств, захист корпоративних мереж відіграє вирішальну роль. Поширення складних кібератак та небажаних вторгнень підкреслює необхідність розробки та впровадження ефективних методів виявлення та ідентифікації порушників. Дослідження сучасних технологій у цій області має вирішальне значення для забезпечення безпеки корпоративних мереж.

Розглянуті в статті технології, такі як системи виявлення вторгнень, системи аналізу безпеки інформації, а також штучний інтелект та машинне навчання, є об'єктом інтенсивних досліджень та розвитку. Вони надають підприємствам інструменти для ефективного реагування на постійно зростаючі загрози кібербезпеки. Крім того, ідентифікація порушників та їхніх методів дії дозволяє вдосконалювати стратегії захисту та розробляти більш ефективні підходи до кібербезпеки.

Важливо відзначити, що IDS/IPS не є єдиним рішенням для забезпечення кібербезпеки. Їх слід використовувати у поєднанні з іншими заходами безпеки, такими як антивірусні програми, брандмауери та системи контролю доступу. Ефективною також є інтеграція моделі "Cyber Kill Chain" для точнішого, швидшого реагування на інциденти. Інвестуючи в технології IDS/IPS та застосовуючи комплексний підхід до кібербезпеки, організації та окремі користувачі можуть значно підвищити свою стійкість до кіберзагроз.

Розробка та впровадження комплексних систем виявлення та запобігання вторгненням є критично важливим етапом для забезпечення стійкості корпоративних мереж у світі постійно зростаючих кіберзагроз. Важливою є індивідуалізація підходів до захисту та врахування конкретних потреб та ресурсів мережі. Тільки через поєднання різноманітних технологій та заходів безпеки можна забезпечити максимальний рівень захисту інформаційних систем в умовах постійної загрози кібератак.

Література

1. Zhang Y, Xiao Y, Ghaboosi K, Zhang J and Deng H. (2012). A survey of cybercrimes. Security and Communication Networks. 5:4. (422-437). https://doi.org/10.1002/sec.331

2. Bauer, D.S., Eichelman II., F.R., Herrera, R.M. and Irgon, A.E. (1989) 'Intrusion detection: an application of expert systems to computer security', Proceedings of the International Carnahan Conference on Security Technology, pp. 97-100.

3. A. Lemay, J. Calvet, F. Menet and J. M. Fernandez. (2018). "Survey of publicly available reports on advanced persistent threat actors," Computers & Security, vol. 72, pp. 26-59.

4. Tarun Yadav, Arvind Mallari Rao (2015) Technical Aspects of Cyber Kill Chain/ Third International Symposium on Security in Computing and Communications, Kochi, India. - Volume 536.

5. D. Kiwia, A. Dehghantanha, K.-K. R. Choo and J. Slaughter. (2018). "A cyber kill chain based taxonomy of banking Trojans for evolutionary computational intelligence," Journal of Computational Science, vol. 27, pp. 394-409.

6. P. N. Bahrami, A. Dehghantanha, T. Dargahi, R. M. Parizi, K.-K. R. Choo et al. (2019). "Cyber kill chain-based taxonomy of advanced persistent threat actors: Analogy of tactics, techniques, and procedures," Journal of Information Processing Systems, vol. 15, no. 4, pp. 865-889.

7. D. Kiwia, A. Dehghantanha, K.-K. R. Choo and J. Slaughter. (2018). "A cyber kill chain based taxonomy of banking Trojans for evolutionary computational intelligence," Journal of Computational Science, vol. 27, pp. 394-409.

8. P. N. Bahrami, A. Dehghantanha, T. Dargahi, R. M. Parizi, K.-K. R. Choo et al. (2019), "Cyber kill chain-based taxonomy of advanced persistent threat actors: Analogy of tactics, techniques, and procedures," Journal of Information Processing Systems, vol. 15, no. 4, pp. 865-889.

9. Srinivasa K and Pramod N. (2012). gNIDS. International Journal of Intelligent Systems Technologies and Applications. 11:3/4. (252-266). https://doi.org/10.5555/2448056.2448061.

10. Anonymous (2000) 'Intrusion detection systems stymie network hackers', Security, Vol. 37, No. 7, pp. 58-60.

11. Ilgun, K., Kemmerer, R.A. and Porras, P.A. (1995) 'State transition analysis: a rule based intrusion detection system', IEEE Transactions on Software Engineering, Vol. 21, No. 3, pp. 181-189.

12. M. Li, W. Huang, Y. Wang, W. Fan and J. Li. (2016). "The study of APT attack stage model," in Proc. IEEE/ACIS 15th Int. Conf. on Computer and Information Science, Okayama, Japan, pp. 1-5.

13. References:

14. Zhang Y, Xiao Y, Ghaboosi K, Zhang J and Deng H. (2012). A survey of cybercrimes. Security and Communication Networks. 5:4. (422-437). https://doi.org/10.1002/sec.331

15. Bauer, D.S., Eichelman II., F.R., Herrera, R.M. and Irgon, A.E. (1989) 'Intrusion detection: an application of expert systems to computer security', Proceedings of the International Carnahan Conference on Security Technology, pp. 97-100.

16. A. Lemay, J. Calvet, F. Menet and J. M. Fernandez. (2018). "Survey of publicly available reports on advanced persistent threat actors," Computers & Security, vol. 72, pp. 26-59.

17. Tarun Yadav, Arvind Mallari Rao (2015) Technical Aspects of Cyber Kill Chain/ Third International Symposium on Security in Computing and Communications, Kochi, India. - Volume 536.

18. D. Kiwia, A. Dehghantanha, K.-K. R. Choo and J. Slaughter. (2018). "A cyber kill chain based taxonomy of banking Trojans for evolutionary computational intelligence," Journal of Computational Science, vol. 27, pp. 394-409.

19. P. N. Bahrami, A. Dehghantanha, T. Dargahi, R. M. Parizi, K.-K. R. Choo et al. (2019). "Cyber kill chain-based taxonomy of advanced persistent threat actors: Analogy of tactics, techniques, and procedures," Journal of Information Processing Systems, vol. 15, no. 4, pp. 865-889.

20. D. Kiwia, A. Dehghantanha, K.-K. R. Choo and J. Slaughter. (2018). "A cyber kill chain based taxonomy of banking Trojans for evolutionary computational intelligence," Journal of Computational Science, vol. 27, pp. 394-409.

21. P. N. Bahrami, A. Dehghantanha, T. Dargahi, R. M. Parizi, K.-K. R. Choo et al. (2019), "Cyber kill chain-based taxonomy of advanced persistent threat actors: Analogy of tactics, techniques, and procedures," Journal of Information Processing Systems, vol. 15, no. 4, pp. 865-889.

22. Srinivasa K and Pramod N. (2012). gNIDS. International Journal of Intelligent Systems Technologies and Applications. 11:3/4. (252-266). https://doi.org/10.5555/2448056.2448061.

23. Anonymous (2000) 'Intrusion detection systems stymie network hackers', Security, Vol. 37, No. 7, pp. 58-60.

24. Ilgun, K., Kemmerer, R.A. and Porras, P.A. (1995) 'State transition analysis: a rule based intrusion detection system', IEEE Transactions on Software Engineering, Vol. 21, No. 3, pp. 181-189.

25. M. Li, W. Huang, Y. Wang, W. Fan and J. Li. (2016). "The study of APT attack stage model," in Proc. IEEE/ACIS 15th Int. Conf. on Computer and Information Science, Okayama, Japan, pp. 1-5.

Размещено на Allbest.ru