Возможности применения технологий разведки киберугроз по открытым источникам на примере фреймворка MITRE ATT&CK

Обложка

Цитировать

Полный текст

Аннотация

Приведены результаты исследования применения инструментов киберразведки для повышения уровня информационной безопасности организации и выявления уязвимостей информационных систем. Основной акцент сделан на использовании фреймворка MITRE ATT&CK, который детализирует тактики и техники кибератак и служит основой для проактивного выявления угроз. В работе протестировано несколько подтехник фреймворка, такие как сканирование IP-блоков (на примере утилиты Nmap), сканирование списка слов (на примере утилиты Dirb), сканирование баз данных, а также приведены результаты использования инструмента WHOIS для сбора данных о доменах. Помимо этого, показаны результаты применения утилиты dig, с помощью которой можно получить данные о записях DNS и настройках DNS-серверов. Установлено, что применение тактик ведения киберразведки на основе фреймворка MITRE ATT&CK может применяться специалистами по кибербезопасности для выявления уязвимостей в ИТ-инфраструктуре и повысить эффективность комплекса средств и методов защиты информации.

Об авторах

А. М. Садыков

Казанский национальный исследовательский технологический университет

Email: AlekseevaAA@corp.knrtu.ru
ORCID iD: 0009-0005-8893-7846
SPIN-код: 2964-5508

кандидат технических наук, доцент, доцент кафедры информационной безопасности, Казанский национальный исследовательский технологический университет. Область научных интересов – правовое обеспечение информационной безопасности, техническая защита информации. Автор 13 научных публикаций и одного патента.

Россия, 420015, Казань, ул. Карла Маркса, 68

А. А. Алексеева

Казанский национальный исследовательский технологический университет

Автор, ответственный за переписку.
Email: AlekseevaAA@corp.knrtu.ru
ORCID iD: 0000-0002-6119-1934
SPIN-код: 9098-1135

кандидат технических наук, доцент, доцент кафедры информационной безопасности, Казанский национальный исследовательский технологический университет. Область научных интересов – цифровые двойники, обеспечение безопасности цифровизации производств. Автор 60 научных публикаций и трёх патентов.

Россия, 420015, Казань, ул. Карла Маркса, 68

Л. Х. Сафиуллина

Казанский национальный исследовательский технологический университет

Email: AlekseevaAA@corp.knrtu.ru
ORCID iD: 0000-0002-2765-0973
SPIN-код: 3548-2479

кандидат технических наук, доцент, доцент кафедры информационной безопасности, Казанский национальный исследовательский технологический университет. Область научных интересов – применение методов машинного обучения в задачах обеспечения информационной безопасности. Автор 76 научных публикаций и шести свидетельств о регистрации программ для ЭВМ. 

Россия, 420015, Казань, ул. Карла Маркса, 68

Д. И. Сабирова

Казанский национальный исследовательский технологический университет

Email: AlekseevaAA@corp.knrtu.ru
ORCID iD: 0009-0007-5066-5907
SPIN-код: 2207-3183

кандидат химических наук, доцент, доцент кафедры информационной безопасности, Казанский национальный исследовательский технологический университет. Область научных интересов – защита персональных данных. Автор 56 научных публикаций и одного патента. 

Россия, 420015, Казань, ул. Карла Маркса, 68

Список литературы

  1. Использование информационных технологий как фактор развития цифровой трансформации на финансово-кредитных рынках / И. А. Колодова, Л. М. Юсупова, Э. Д. Хисамова и др. // Экономика и предпринимательство. 2023. № 9 (158). С. 479–483. doi: 10.34925/EIP.2023.158.09.087; EDN: CNEFOL.
  2. Коврижных О. Е. Особенности формирования бюджета затрат на разработку ИТ-проекта // Экономика и предпринимательство. 2024. № 5 (166). С. 1005–1009. doi: 10.34925/EIP.2024.166.5.205; EDN: DIKWDS.
  3. Махалина О. М., Махалин В. Н. Цифровизация бизнеса увеличивает затраты на информационную безопасность // Управление. 2020. Т. 8, № 1. С. 134–140. doi: 10.26425/2309-3633-2020-1-134-140; EDN: MFGSYL.
  4. Васильев В. И., Вульфин А. М., Кириллова А. Д. Анализ и управление рисками информационной безопасности АСУ ТП на основе когнитивного моделирования // Моделирование, оптимизация и информационные технологии. 2022. Т. 10, № 2 (37). Ст. 15. doi: 10.26102/2310-6018/2022.37.2.022; EDN: FKRMPL.
  5. Integrating OT data in SIEM platforms: an Energy Utility Perspective / A. Armellin, G. B. Gaggero, A. Cattelino et al. // 2023 International Conference on Electrical, Communication and Computer Engineering (ICECCE), Dubai, United Arab Emirates, December 30–31, 2023. IEEE, 2023. Pp. 1–7. doi: 10.1109/ICECCE61019.2023.10442554.
  6. Guemmah T., Fadili H. E. and Hraoui S. A Review and Synthesis for Framing the Use of Artificial Intelligence in Cybersecurity // 2023 7th IEEE Congress on Information Science and Technology (CiSt), Agadir – Essaouira, Morocco, December 16–22, 2023. IEEE, 2023. Pp. 44–49. doi: 10.1109/CiSt56084.2023.10409914.
  7. Частикова В. А., Козачёк К. В. Обзор и возможности применения технологии threat intelligence // Электронный сетевой политематический журнал «Научные труды КубГТУ». 2023. № 2. С. 82–97. EDN: TTNOLU.
  8. Bryushinin A. O., Dushkin A. V., Melshiyan M. A. Automation of the Information Collection Process by Osint Methods for Penetration Testing During Information Security Audit // 2022 Conference of Russian Young Researchers in Electrical and Electronic Engineering (ElConRus), Saint Petersburg, Russian Federation, January 25–28, 2022. IEEE, 2022. Pp. 242–246. doi: 10.1109/ElConRus54750.2022.9755812.
  9. The Evolving Threat Landscape: How Cyber Threat Intelligence Empowers Proactive Defenses against Wanna Cry Ransomware / J. Eluwa, P. Omorovan, D. Adewumi et al. // International Journal of Scientific Research in Computer Science, Engineering and Information Technology. 2024. No 2. Pp. 403–411. doi: 10.32628/CSEIT243648.
  10. A flexible approach for cyber threat hunting based on kernel audit records / F. Yang, Y. Han, Y. Ding et al. // Cybersecurity. 2022. Vol. 5, iss. 1. Art. 11. doi: 10.1186/s42400-022-00111-2.
  11. Automated mapping of CVE vulnerability records to MITRE CWE weaknesses / A. Haddad, N. Aaraj, P. Nakov et al. // arXiv. 2023. Vol. 2304. Art. 11130. doi: 10.48550/arXiv.2304.11130.
  12. Explainable artificial intelligence for cyber threat intelligence (XAI-CTI) / S. Samtani, H. Chen, M. Kantarcioglu et al. // IEEE Transactions on Dependable and Secure Computing. 2022. Vol. 19, iss. 4. Pp. 2149–2150. doi: 10.1109/TDSC.2022.3168187.
  13. Ozarslan S. Top of the TTPs: Malware's most common tactics, techniques and procedures // Network Security. 2023. Vol. 2023, iss. 9. Art. 3. doi: 10.12968/S1353-4858(23)70042-1.
  14. Labeling NIDS Rules with MITRE ATT&CK Techniques Using ChatGPT / N. Daniel, F. K. Kaiser, A. Dzega et al. // Computer Security. ESORICS 2023 International Workshops. ESORICS 2023. Lecture Notes in Computer Science. Vol. 14399. Cham: Springer Nature Switzerland, 2024. Pp. 76–91. doi: 10.1007/978-3-031-54129-2_5.
  15. The not yet exploited goldmine of OSINT: Opportunities, open challenges and future trends / J. Pastor-Galindo, P. Nespoli, F. Gómez Mármol et al. // IEEE Access. 2020. Vol. 8. Pp. 10282–10304. doi: 10.1109/ACCESS.2020.2965257.
  16. Cline L. E. Terrorism futures: evolving technology and TTPs use // Defense & Security Analysis. 2022. Vol. 38, iss. 1. Pp. 122–123. doi: 10.1080/14751798.2022.2031716.
  17. Current status and security trend of OSINT / Y.-W. Hwang, I.-Y. Lee, H. Kim et al. // Wireless Communications and Mobile Computing. 2022. Vol. 2022, iss. 1. Art. 1290129. doi: 10.1155/2022/1290129.
  18. Chainey S. P., Alonso Berbotto A. A structured methodical process for populating a crime script of organized crime activity using OSINT // Trends in Organized Crime. 2022. Vol. 25, iss. 3. Pp. 272–300. doi: 10.1007/s12117-021-09428-9.
  19. Методика оценки актуальных угроз и уязвимостей на основе технологий когнитивного моделирования и Text Mining / В. И. Васильев, А. М. Вульфин, А. Д. Кириллова и др. // Системы управления, связи и безопасности. 2021. № 3. С. 110–134. doi: 10.24412/2410-9916-2021-3-110-134; EDN: IUHRSS.
  20. Al-Sada B., Sadighian A., Oligeri G. Analysis and Characterization of Cyber Threats Leveraging the MITRE ATT&CK Database // IEEE Access. 2024. Vol. 12. Pp. 1217–1234. doi: 10.1109/ACCESS.2023.3344680.
  21. Comparing attack models for IT systems: Lockheed Martin’s cyber kill chain, MITRE ATT&CK framework and diamond model / N. Naik, P. Jenkins, P. Grace et al. // 2022 IEEE International Symposium on Systems Engineering (ISSE), Vienna, Austria, October 24–26, 2022. IEEE, 2022. Pp. 1–7. doi: 10.1109/ISSE54508.2022.10005490.
  22. MITRE ATT&CK: Design and philosophy / B. E. Strom, A. Applebaum, D. Miller et al. // Technical report. Project No.: 01ADM105-PI. The MITRE Corporation, 2018. 27 p.
  23. Actionable cyber threat intelligence for automated incident response / C. Leite, J. den Hartog, D. Ricardo dos Santos et al. // H. P. Reiser, M. Kyas (eds) Secure IT Systems. 27th Nordic Conference, NordSec 2022, Reykjavic, Iceland, November 30–December 2, 2022. Cham: Springer International Publishing, 2022. Pp. 368–385. doi: 10.1007/978-3-031-22295-5_20.
  24. Marinho R., Holanda R. Automated emerging cyber threat identification and profiling based on natural language processing // IEEE Access. 2023. Vol. 11. Pp. 58915–58936. doi: 10.1109/ACCESS.2023.3260020.
  25. Georgiadou A., Mouzakitis S., Askounis D. Assessing MITRE ATT&CK risk using a cyber-security culture framework // Sensors. 2021. Vol. 21, iss. 9. Art. 3267. doi: 10.3390/s21093267.
  26. MT4NS: Metamorphic testing for network scanning / Z. Zhang, D. Towey, Z. Ying et al. // 2021 IEEE/ACM 6th International Workshop on Metamorphic Testing (MET), Madrid, Spain, June 2, 2021. IEEE, 2021. Pp. 17–23. doi: 10.1109/MET52542.2021.00010.
  27. Malkawi M., Özyer T., Alhajj R. Automation of active reconnaissance phase: an automated API-based port and vulnerability scanner // Proceedings of the 2021 IEEE/ACM International Conference on Advances in Social Networks Analysis and Mining (ASONAM '21), Netherlands, November 8–11, 2021. Association for Computing Machinery, New York, NY, United States, 2021. Pp. 622–629. doi: 10.1145/3487351.3492720.
  28. Карапетьянц М., Плаксий К. В., Никифоров А. А. Исследование применимости процессов и мер, обеспечивающих информационную безопасность системы с графовой СУБД // Вопросы кибербезопасности. 2023. № 6. С. 96–111. doi: 10.21681/2311-3456-2023-6-96-111; EDN: DSIBZY.
  29. Пучков Г. Ю. Оптимизация корпоративных сетей передачи данных // Международный журнал информационных технологий и энергоэффективности. 2024. Т. 9, № 6 (44). С. 40–47. EDN: GWFGFK.
  30. Detection of Fake News Based on Domain Analysis and Social Network Psychology / D. Deb, R. S. Pavan, A. Nautiyal et al. // Hybrid Intelligent Systems: 20th International Conference on Hybrid Intelligent Systems (HIS 2020), December 14–16, 2020. Springer International Publishing, 2021. Pp. 433–443. doi: 10.1007/978-3-030-73050-5_44.

Дополнительные файлы

Доп. файлы
Действие
1. JATS XML
Скачать

Согласие на обработку персональных данных с помощью сервиса «Яндекс.Метрика»

1. Я (далее – «Пользователь» или «Субъект персональных данных»), осуществляя использование сайта https://journals.rcsi.science/ (далее – «Сайт»), подтверждая свою полную дееспособность даю согласие на обработку персональных данных с использованием средств автоматизации Оператору - федеральному государственному бюджетному учреждению «Российский центр научной информации» (РЦНИ), далее – «Оператор», расположенному по адресу: 119991, г. Москва, Ленинский просп., д.32А, со следующими условиями.

2. Категории обрабатываемых данных: файлы «cookies» (куки-файлы). Файлы «cookie» – это небольшой текстовый файл, который веб-сервер может хранить в браузере Пользователя. Данные файлы веб-сервер загружает на устройство Пользователя при посещении им Сайта. При каждом следующем посещении Пользователем Сайта «cookie» файлы отправляются на Сайт Оператора. Данные файлы позволяют Сайту распознавать устройство Пользователя. Содержимое такого файла может как относиться, так и не относиться к персональным данным, в зависимости от того, содержит ли такой файл персональные данные или содержит обезличенные технические данные.

3. Цель обработки персональных данных: анализ пользовательской активности с помощью сервиса «Яндекс.Метрика».

4. Категории субъектов персональных данных: все Пользователи Сайта, которые дали согласие на обработку файлов «cookie».

5. Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (доступ, предоставление), блокирование, удаление, уничтожение персональных данных.

6. Срок обработки и хранения: до получения от Субъекта персональных данных требования о прекращении обработки/отзыва согласия.

7. Способ отзыва: заявление об отзыве в письменном виде путём его направления на адрес электронной почты Оператора: info@rcsi.science или путем письменного обращения по юридическому адресу: 119991, г. Москва, Ленинский просп., д.32А

8. Субъект персональных данных вправе запретить своему оборудованию прием этих данных или ограничить прием этих данных. При отказе от получения таких данных или при ограничении приема данных некоторые функции Сайта могут работать некорректно. Субъект персональных данных обязуется сам настроить свое оборудование таким способом, чтобы оно обеспечивало адекватный его желаниям режим работы и уровень защиты данных файлов «cookie», Оператор не предоставляет технологических и правовых консультаций на темы подобного характера.

9. Порядок уничтожения персональных данных при достижении цели их обработки или при наступлении иных законных оснований определяется Оператором в соответствии с законодательством Российской Федерации.

10. Я согласен/согласна квалифицировать в качестве своей простой электронной подписи под настоящим Согласием и под Политикой обработки персональных данных выполнение мною следующего действия на сайте: https://journals.rcsi.science/ нажатие мною на интерфейсе с текстом: «Сайт использует сервис «Яндекс.Метрика» (который использует файлы «cookie») на элемент с текстом «Принять и продолжить».