Αναζήτηση επιθέσεων και εξομοίωση αντιπάλου με χρήση του MITRE ATT&CK Framework
| dc.contributor.advisor | Γκρίτζαλης, Στέφανος | |
| dc.contributor.author | Μαραγκός - Μπέλμπας, Ελπιδοφόρος | |
| dc.contributor.author | Maragkos - Belmpas, Elpidoforos | |
| dc.date.accessioned | 2022-09-01T09:43:49Z | |
| dc.date.available | 2022-09-01T09:43:49Z | |
| dc.date.issued | 2022-06 | |
| dc.identifier.uri | https://dione.lib.unipi.gr/xmlui/handle/unipi/14551 | |
| dc.identifier.uri | http://dx.doi.org/10.26267/unipi_dione/1974 | |
| dc.description.abstract | Στην σύγχρονη εποχή οι επιτιθέμενοι προσπαθούν διαρκώς να παραβιάσουν εταιρείες και οργανισμούς με εξελιγμένες μεθόδους που είναι δύσκολες να εντοπιστούν. Από την άλλη πλευρά οι οργανισμοί προσπαθούν να ανταποκριθούν σε αυτές τις απειλές χρησιμοποιώντας reactive μεθόδους άμυνας που εστιάζουν στην αποτροπή και τον περιορισμό των περιστατικών που έχουν ήδη πραγματοποιηθεί, χρησιμοποιώντας τα πιο σύγχρονα και εξελιγμένα συστήματα ασφαλείας, όπως Next-Generation Firewalls, SIEMs, EDRs, IPSs κτλ. Οι τεχνολογίες αυτές, σε συνδυασμό με άλλες μεθόδους reactive άμυνας, βοηθούν σε ένα βαθμό την προστασία ενάντια σε επιθέσεις, αλλά έχουν αποδειχθεί αναποτελεσματικές στην αντιμετώπιση εξελιγμένων επιτιθεμένων (Advanced Persistent Threat). Τα τελευταία χρόνια νέες τεχνικές, που περιλαμβάνουν proactive defense, όπως το Threat Hunting, έχουν προταθεί ως μία πιθανή λύση σε αυτό το πρόβλημα ώστε να δώσουν τη δυνατότητα στους οργανισμούς να εντοπίζουν έγκαιρα επιθέσεις οι οποίες έχουν περάσει απαρατήρητες τόσο από τα αυτοματοποιημένα συστήματα όσο και από το προσωπικό ασφαλείας τους. Ωστόσο, ακόμα και αυτές οι προσπάθειες από μόνες τους δεν είναι πάντα αρκετές για την αντιμετώπιση των συγχρόνων εξελιγμένων επιτιθεμένων όταν διεξάγουν μια στοχευμένη επίθεση ενάντια σε έναν οργανισμό. Σε αυτή την εργασία παρουσιάζεται μια hybrid μεθοδολογία για proactive defense ως λύση σε αυτό το πρόβλημα η οποία βασίζεται στο MITRE ATT&CK Framework και συνδυάζει Threat Intelligence, Threat Hunting και Adversary Emulation με στόχο την βελτίωση της ικανότητας των Blue Team να αντιμετωπίζουν εξελιγμένους επιτιθέμενους. Μέσω της μεθοδολογίας αυτής οι οργανισμοί είναι σε θέση να υλοποιήσουν ένα αποτελεσματικό και συνεχές πρόγραμμα για το σχεδιασμό μηχανισμών εντοπισμού κακόβουλης δραστηριότητας οι οποίοι εστιάζουν σε συγκεκριμένα APT groups. Η μεθοδολογία δίνει τη δυνατότητα στις Blue Teams που δεν διαθέτουν την ικανότητα ή τους πόρους να διεξάγουν σύνθετα σενάρια Purple Teaming ή Adversary Emulation από μόνες τους, να παράγουν και να συλλέξουν τα δεδομένα που χρειάζονται ώστε να διαπιστώσουν ποιες ενέργειες ενός συγκεκριμένου επιτιθέμενου δεν μπορούν να εντοπίσουν αλλά και να αξιολογήσουν του μηχανισμούς ασφαλείας που έχουν ήδη υλοποιήσει. Το τελικό επιδιωκόμενο αποτέλεσμα αυτής της προσέγγισης είναι η εδραίωση μιας συνεχούς διαδικασίας εντός του οργανισμού, που βασίζεται σε αυτή τη μεθοδολογία, υπό τη μορφή ενός προγράμματος Threat Detection Engineering που να έχει ως στόχο τον συνεχή έλεγχο, τη μέτρηση και τη βελτίωση της αποτελεσματικότητας της Blue Team να εντοπίζει και να αποτρέπει εξελιγμένους επιτιθέμενους σε αρχικό στάδιο. | el |
| dc.format.extent | 127 | el |
| dc.language.iso | el | el |
| dc.publisher | Πανεπιστήμιο Πειραιώς | el |
| dc.rights | Αναφορά Δημιουργού-Μη Εμπορική Χρήση-Όχι Παράγωγα Έργα 3.0 Ελλάδα | * |
| dc.rights | Αναφορά Δημιουργού-Μη Εμπορική Χρήση-Όχι Παράγωγα Έργα 3.0 Ελλάδα | * |
| dc.rights.uri | http://creativecommons.org/licenses/by-nc-nd/3.0/gr/ | * |
| dc.title | Αναζήτηση επιθέσεων και εξομοίωση αντιπάλου με χρήση του MITRE ATT&CK Framework | el |
| dc.title.alternative | Threat hunting and adversary emulation through MITRE ATT&CK Framework | el |
| dc.type | Master Thesis | el |
| dc.contributor.department | Σχολή Τεχνολογιών Πληροφορικής και Επικοινωνιών. Τμήμα Ψηφιακών Συστημάτων | el |
| dc.description.abstractEN | Nowadays attackers are constantly trying to compromise organizations with advanced and stealthy methods. On the other hand, organizations are trying to encounter these threats by employing reactive approaches that focus on responding and preventing immediate incidents by using cutting edge technology solutions such as next Next-Generation Firewalls, SIEMs, EDRs, IPSs etc. These solutions do help by improving the overall security posture of the organization but still remain ineffective against modern Advanced Persistent Threats (APTs) that are able to perform stealthy and sophisticated attacks. In the recent years, new proactive defense approaches such as Threat Hunting have been introduced as part of a solution to this problem that enable organizations to quickly identify and respond to any potential attacks that have not been identified by the security solutions in use but are still not good enough against APTs. In this thesis, a proactive defense hybrid methodology is presented as a solution to this problem in order to improve the detection capabilities of a Blue Team by combining Threat Intelligence, Threat Hunting and Adversary Emulation though MITRE ATT&CK Framework. The methodology aims to help Blue Teams build an effective and continuous Detection Engineering process focused on combating APTs. The presented methodology enables Blue Teams that lack the ability or the resources to perform complex Purple Team engagements or Adversary Emulation exercises on their own to produce the necessary adversary behavior telemetry in order to be able to test their existing detection capabilities and tools, to identify visibility gaps within their environment, and to create new detection mechanisms that will help them respond to sophisticated attackers. The final desired output of this approach would be the establishment of a continuous process within the organization, based on the methodology presented, in order to constantly test, measure and improve the effectiveness of the Threat Detection Engineering program so as to improve the overall security posture of the organization. | el |
| dc.contributor.master | Ασφάλεια Ψηφιακών Συστημάτων | el |
| dc.subject.keyword | Blue team | el |
| dc.subject.keyword | Red team | el |
| dc.subject.keyword | Advanced persistent threats | el |
| dc.subject.keyword | Threat intelligence | el |
| dc.subject.keyword | Proactive defense | el |
| dc.subject.keyword | Adversary emulation | el |
| dc.subject.keyword | Attack coverage assessment | el |
| dc.subject.keyword | Purple team | el |
| dc.subject.keyword | Pyramid of Pain | el |
| dc.subject.keyword | DetectionLab | el |
| dc.subject.keyword | Atomic Red Team | el |
| dc.subject.keyword | Caldera | el |
| dc.subject.keyword | VECTR | el |
| dc.subject.keyword | Threat detection engineering | el |
| dc.date.defense | 2022-07-11 |
Αρχεία σε αυτό το τεκμήριο
Αυτό το τεκμήριο εμφανίζεται στις ακόλουθες συλλογές
-
Τμήμα Ψηφιακών Συστημάτων
Department of Digital Systems
Εκτός από όπου διευκρινίζεται διαφορετικά, το τεκμήριο διανέμεται με την ακόλουθη άδεια:
Αναφορά Δημιουργού-Μη Εμπορική Χρήση-Όχι Παράγωγα Έργα 3.0 Ελλάδα
Αναφορά Δημιουργού-Μη Εμπορική Χρήση-Όχι Παράγωγα Έργα 3.0 Ελλάδα