Detecting cyber attacks in time : combining attack simulation with detection logic
Authors
Date
2021Copyright
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Kyberhyökkäysten havaitsemisesta on tullut entistä vaikeampaa, nostaen onnistuneen tietomurron havaitsemisajan tyypillisesti yli puoleen vuoteen, jolloin keskimäärin hyökkäys maksaa lähes neljä miljoonaa dollaria kohteelle. Hyökkäykset ovat yhä edistyneempiä sekä kohdennettuja, tehden huonosti valmistautuneista yrityksistä otollisia kohteita hyökkääjille. Vaikka yrityksillä usein on toimivat palomuurit sekä haittaohjelmien torjuntaohjelmat, saattavat he yllättyä joutuessaan uhriksi esimerkiksi kiristyshaittaohjelmahyökkäykselle. Tämä herättää kysymyksen, miten hyökkäystä ei onnistuttu havaitsemaan ajoissa? Tämän tutkimuksen tarkoituksena on selvittää juurisyyt sille, mikä aiheuttaa liian myöhäisen tai olemattoman hyökkäysten havaitsemisen. Päätavoitteena on esitellä puolustajille testiympäristö riittävillä lokituskäytännöillä, jossa he voivat itse simuloida hyökkäyksiä. Hyökkäyssimulaatiosta saadut tulokset käännetään tämän jälkeen toiminnalliseksi havaitsemislogiikaksi uhkien havaitsemis viitekehyksen avulla. Viitekehys on suunnitteltu ohjaamaan puolustajia nopean ja ketterän prosessin läpi kehittämään laajaa havaitsemislogiikkaa painottaen taktiikoita, tekniikoita sekä käytäntöjä. Tutkimuksen tulokset vastaavat esitettyihin tutkimusongelmiin yleisesti sekä laajasti, jotta puolustajat oppivat sekä ymmärtävät perimmäisen ongelman uhkien havaitsemisessa.
...
Cyber attacks have become harder to detect, causing the average detection time of a successful data breach to be over six months and typically costing the target organization nearly four million dollars. The attacks are becoming more sophisticated and targeted, leaving unprepared environments easy prey for the attackers. Organizations with working antivirus systems and firewalls may be surprised when they discover their network has been encrypted by a ransomware attacker. This raises a serious question, how did the attacks go undetected? The research conducted in this thesis aims to focus on the most common pitfalls regarding late or non-existent detection by defining the root cause behind the failed detections. The main goal is also to empower defenders to set up a test environment with sufficient logging policies and simulating attacks themselves. The attack simulations will then be turned into actionable detection logic, with the help of the detection logic framework. The framework is designed to guide defenders through a quick and agile process of creating more broad detection logic with the emphasis on tactics, techniques and procedures of attacks. The results in this study approach the detection issues in a broad and general manner to help defenders understand the issue of threat detection, instead of providing readily implemented solutions.
...
Keywords
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [29556]
Related items
Showing items with similar title or keywords.
-
Reducing the Time to Detect Cyber Attacks : Combining Attack Simulation With Detection Logic
Myllyla, Juuso; Costin, Andrei (FRUCT Oy, 2021)Cyber attacks have become harder to detect, causing the average detection time of a successful data breach to be over six months and typically costing the target organization nearly four million dollars. The attacks are ... -
Detection of distributed denial-of-service attacks in encrypted network traffic
Hyvärinen, Mikko (2016)Tausta: Hajautetut palvelunestohyökkäykset ovat jo kaksi vuosikymmentä vanhoja. Useita strategioita on kehitetty taistelemaan niiden kasvavaa määrää vastaan vuosien varrella. Sovelluskerroksen protokollien hyökkäykset ... -
Countering Adversarial Inference Evasion Attacks Towards ML-Based Smart Lock in Cyber-Physical System Context
Vähäkainu, Petri; Lehto, Martti; Kariluoto, Antti (Springer, 2021)Machine Learning (ML) has been taking significant evolutionary steps and provided sophisticated means in developing novel and smart, up-to-date applications. However, the development has also brought new types of hazards ... -
Protecting the besieged cyber fortress : Russia’s response to cyber threats
Kari, Martti (Academic Conferences International, 2019)The Information Security Doctrine of the Russian Federation (RF) defines the threat to information security as a complex of actions and factors that represent a danger to Russia in the information space. These threats can ... -
HALE-IoT : HArdening LEgacy Internet-of-Things devices by retrofitting defensive firmware modifications and implants
Carrillo-Mondejar, J.; Turtiainen, Hannu; Costin, Andrei; Martinez, J.L.; Suarez-Tangil, G. (IEEE, 2022)Internet-Of-Things (IoT) devices and their firmware are notorious for their lifelong vulnerabilities. As device infection increases, vendors also fail to release patches at a competitive pace. Despite security in IoT being ...