Метод використання сучасних систем захисту кінцевих точок (EDR) для убезпечення від комплексних атак
DOI:
https://doi.org/10.30837/2522-9818.2024.2.182Ключові слова:
інформаційно-комунікаційні системи (ІКС); EDR-система; операційний центр безпеки SOC; EDR-агент; аналіз загроз; політика EDR; виявлення атак.Анотація
Предметом дослідження в статті є архітектура систем захисту кінцевих точок (EDR) та агентів EDR як їх базового складника з погляду механізмів виявлення комплексних атак на інформаційно-комунікаційні системи (ІКС) та протидії загрозам. Мета роботи – розроблення методу підвищення ефективності використання систем захисту кінцевих точок для зниження ризиків компрометації ІКС інформаційних, промислових та інфраструктурних об’єктів щодо ефективного перерозподілу та використання механізмів EDR, команди з кібербезпеки та інших ресурсів для здійснення заходів з організації безпеки на підприємстві, в установі чи організації. У статті розв’язуються такі завдання: огляд та аналіз систем EDR; дослідження архітектури EDR-рішень та агентів EDR, особливостей їх використання, логіки побудови методів і механізмів виявлення загроз для системи з боку зловмисників та зловмисного коду; надання рекомендацій щодо організації ІКС для її захисту загалом та окремих елементів, а також з огляду на наявні сили (команда із кіберзахисту, її кваліфікація та рівень обізнаності в архітектурі EDR-рішень) та засоби (елементи EDR‑систем) для організації захисту. Упроваджуються такі методи: моделювання механізмів атак, моделювання поведінки зловмисника. Досягнуті результати: сформульовано загальні та конкретні рекомендації щодо оптимізації роботи EDR-систем та забезпечення ефективного використання елементів EDR-систем у інформаційно-комунікаційних мережах підприємств чи організацій різного типу та спрямованості залежно від ресурсів і наявної інформації з погляду необхідності її захисту. Висновки: запропоновані рекомендації щодо застосування EDR-механізмів для захисту інформаційних систем і мереж дають змогу оптимізувати витрати на створення інфраструктури захисту та здійснення відповідних заходів з огляду на особливості наявного інструментарію, навченості та обізнаності команди з кібербезпеки як щодо часу реакцій на загрози, так і з погляду складності та вартості виконання завдань із захисту.
Посилання
Список літератури
Annual share of organizations affected by ransomware attacks worldwide from 2018 to 2023 URL: https://www.statista.com/statistics/204457/businesses-ransomware-attack-rate/ (дата звернення 24.05.2024).
Журило О., Ляшенко О. Архітектура та системи безпеки IoT на основі туманних обчислень, Сучасний стан наукових досліджень та технологій в промисловості, 2024, Вип. (1(27), С. 54–66. DOI: 10.30837/ITSSI.2024.27.054
Когут Ю. Кібервійна та безпека об’єктів критичної інфраструктури. Сідкон, 2021. 336 с.
Matt Hand. Evading EDR: The Definitive Guide to Defeating Endpoint Detection Systems. No Starch Press. 2023. 312 р.
Мерзлікін Є., Бабешко Є. Аналіз кібербезпеки веборієнтованих індустріальних IOT-систем. Сучасний стан наукових досліджень та технологій в промисловості. 2023. Вип. 2(24). С. 131–144. DOI: 10.30837/ITSSI.2023.24.131
Forrester Wave October 2023, URL: https://www.forrester.com/ (дата звернення 24.05.2024).
Баклан Я. А., Сєвєрінов О. В. Аналіз систем захисту кінцевих точок від складних загроз EDR (Endpoint Detection and Response). Сучасні напрями розвитку інформаційно-комунікаційних технологій та засобів управління: матеріали дванадцятої міжнар. наук.-практ. конф. 2022. Баку–Харків–Жиліна. 141 р. URL: https://openarchive.nure.ua/handle/document/24142
ISO/IEC 27035:2011 Information technology. Security techniques. Information security incident management, 2011.
Crowdstrike October 2023, URL: https://www.crowdstrike.com/ (дата звернення 24.05.2024).
Arfeen A., Ahmed S., Khan M. A., Jafri, S. F. A. Endpoint Detection and Response: A Malware Identification Solution. International Conference on Cyber Warfare and Security (ICCWS). 2021. DOI: 10.1109/ICCWS53234.2021.9703010
Сєвєрінов О. В., Хрєнов А. Г., Поляков А. О. Аналіз сучасних методів атак на автоматизовані системи управління військами та інформаційні мережі. Системи обробки інформації. 2015. Вип. 9. С. 101–104. URL: http://nbuv.gov.ua/UJRN/soi_2015_9_24
Exploring the History of Antivirus: Fusion Computing. URL: https://fusioncomputing.ca/history-of-antivirus/ (дата звернення 21.03.2024).
Сєвєрінов О. В., Шевцов В. О., Сокол-Кутиловська А. С. Аналіз сучасних методів атак на електронні ресурси органів управління. Системи озброєння і військова техніка. 2017. Вип. 1. С. 65–67. URL: http://nbuv.gov.ua/UJRN/soivt_2017_1_13 (дата звернення 21.03.2024).
Ушатов В., Сєвєрінов О. В. Проблеми оперативного виявлення і реагування на інциденти інформаційної безпеки Global Cyber Security Forum: матеріали Першого міжнародного науково-практичного форуму, 2019 С. 104–105. URL: https://openarchive.nure.ua/bitstreams/c2575d95-c877-47e6-aef8-2c19e286d900/download (дата звернення 21.03.2024).
FZE B. B. History of antivirus software. UKEssays. 2023. URL: https://us.ukessays.com/essays/information-technology/history-of-antivirus-software.php
Zhuravchak D., Dudykevych, V., Tolkachova, A. Дослідження структури системи виявлення та протидії атакам вірусів-вимагачів на базі endpoint detection and response. Електронне фахове наукове видання «Кібербезпека: освіта, наука, техніка». 2023. Вип. 3(19), С 69–82. DOI: https://doi.org/10.28925/2663-4023.2023.19.6982
Зубок В. Ю., Гончар С. Ф., Єрмошин В. В., Карасюк Г. О. Архітектурно-функціональне порівняння відомих платформ та систем кіберзахисту промислових об’єктів. Електронне моделювання, 2022, Вип. 44. Том 3. 65 с. DOI: 10.15407/emodel.44.03.065
Коробейнікова Т., Федорченко В. Системний моніторинг мережевої безпеки в тріаді SIEM-EDR-NDR. Grail of Science. 2023 Вип. 27. С. 354–360. DOI: https://doi.org/10.36074/grail-of-science.12.05.2023.055
References
"Annual share of organizations affected by ransomware attacks worldwide from 2018 to 2023", available at https://www.statista.com/statistics/204457/businesses-ransomware-attack-rate/ (last accessed 24.05.2024).
Zhurilo, O. and Lyashenko, O. (2024), "Architecture and security systems of IoT based on fog computing", ["Arkhitektura ta systemy bezpeky IoT na osnovi tumannykh obchyslen"], Modern State of Scientific Research and Technologies in Industry, No 1(27), P. 54–66. DOI: 10.30837/ITSSI.2024.27.054
Kogut, Y. (2021), Cyber warfare and security of critical infrastructure objects, [Kiberviina ta bezpeka obiektiv krytychnoi infrastruktury], Sidkon, 336 p.
Hand, M. (2023), Evading EDR: The Definitive Guide to Defeating Endpoint Detection Systems, No Starch Press, 312 p.
Merzlikin, Y., Babeshko, Y. (2023), "Cybersecurity analysis of web-oriented industrial IoT systems" ["Analiz kiberbezpeky veboriientovanykh industrialnykh iot-system"], Modern State of Scientific Research and Technologies in Industry, No. 2(24), P. 131–144. DOI: 10.30837/ITSSI.2023.24.131
"Forrester Wave October 2023", available at: https://www.forrester.com/ (last accessed: 24.05.2024).
Baklan, Y. and Severinov, O. (2022), "Analysis of endpoint protection systems against complex threats EDR (Endpoint Detection and Response)" ["Analiz system zakhystu kintsevykh tochok vid skladnykh zahroz EDR (Endpoint Detection and Response)"], Modern Trends in the Development of Information and Communication Technologies and Management Tools: materials of the twelfth international scientific-practical conference 2022, Baku Kharkiv Zhilina, 141 р., available at: https://openarchive.nure.ua/handle/document/24142
"ISO/IEC 27035:2011 Information technology. Security techniques. Information security incident management", 2011.
"Crowdstrike October 2023", available at: https://www.crowdstrike.com/ (last accessed: 24.05. 2024)
Arfeen, A., Ahmed, S., Khan, M., Jafri, S. (2021), "Endpoint Detection and Response: A Malware Identification Solution". International Conference on Cyber Warfare and Security (ICCWS). DOI: 10.1109/ICCWS53234.2021.9703010
Severinov, O., Khrenov, A. and Polyakov, A. (2015), "Analysis of modern attack methods on automated control systems and information networks", ["Analiz suchasnykh metodiv atak na avtomatyzovani systemy upravlinnia viiskamy ta informatsiini merezhi"], Information Processing Systems, No. 9, P. 101–104. available at: http://nbuv.gov.ua/UJRN/soi_2015_9_24
"Fusion Computing 'Exploring the History of Antivirus: Fusion Computing", available at: https://fusioncomputing.ca/history-of-antivirus/ (last accessed: 21.03.2024).
Severinov, O., Shevtsov, V., Sokol-Kutilovska, A. (2017), "Analysis of modern attack methods on electronic resources of management bodies" ["Analiz suchasnykh metodiv atak na elektronni resursy orhaniv upravlinnia"], Weapons and Military Equipment Systems, No 1, P. 65–67. available at: http://nbuv.gov.ua/UJRN/soivt_2017_1_13 (last accessed 21.03.2024).
Ushatov, V. and Severinov, O. V. (2019), "Problems of prompt detection and response to information security incidents" ["Problemy operatyvnoho vyiavlennia i reahuvannia na intsydenty informatsiinoi bezpeky"], Global Cyber Security Forum: materials of the First International Scientific and Practical Forum, P. 104–105. available at: https://openarchive.nure.ua/bitstreams/c2575d95-c877-47e6-aef8-2c19e286d900/download (last accessed 21.03.2024).
FZE, B. B. "History of antivirus software, UKEssays". 2023, available at: https://us.ukessays.com/essays/information-technology/history-of-antivirus-software.php
Zhuravchak, D., Dudykevych, V. and Tolkachova, A. (2023), "Research on the structure of the system for detecting and countering ransomware attacks based on endpoint detection and response", ["Doslidzhennia struktury systemy vyiavlennia ta protydii atakam virusiv-vymahachiv na bazi endpoint detection and response"], Electronic Professional Scientific Publication "Cybersecurity: Education, Science, Technology", No 3(19), P. 69–82. DOI: 10.28925/2663-4023.2023.19.6982
Zubok, V., Honchar, S., Yermoshyn, V. and Karasyuk, H. (2022), "Architectural and functional comparison of known platforms and industrial cybersecurity systems", ["Arkhitekturno-funktsionalne porivniannia vidomykh platform ta system kiberzakhystu promyslovykh obiektiv"], Electronic Modeling, No 44, Vol. 3, 65 р. DOI: 10.15407/emodel.44.03.065
Korobeinikova, T., Fedorchenko, V. (2023), "System network security monitoring in the triad SIEM-EDR-NDR", ["Systemnyi monitorynh merezhevoi bezpeky v triadi SIEM-EDR-NDR"], Grail of Science, No. 27, P. 354–360. DOI: 10.36074/grail-of-science.12.05.2023.055
##submission.downloads##
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
Наше видання використовує положення про авторські права Creative Commons для журналів відкритого доступу.
Автори, які публікуються у цьому журналі, погоджуються з наступними умовами:
Автори залишають за собою право на авторство своєї роботи та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License (CC BY-NC-SA 4.0), котра дозволяє іншим особам вільно розповсюджувати опубліковану роботу з обов'язковим посиланням на авторів оригінальної роботи та першу публікацію роботи у цьому журналі.
Автори мають право укладати самостійні додаткові угоди щодо не комерційного та не ексклюзивного розповсюдження роботи у тому вигляді, в якому вона була опублікована цим журналом (наприклад, розміщувати роботу в електронному сховищі установи або публікувати у складі монографії), за умови збереження посилання на першу публікацію роботи у цьому журналі.
Політика журналу дозволяє і заохочує розміщення авторами в мережі Інтернет (наприклад, у сховищах установ або на особистих веб-сайтах) рукопису опублікованої роботи, оскільки це сприяє виникненню продуктивної наукової дискусії та позитивно позначається на оперативності та динаміці цитування опублікованої роботи.
