Форма документа : Стаття із журналу Шифр видання : Автор(и) : Drahuntsov, Roman, Rabchun, Dmytro Назва : Potential disguisingattack vectors on security operation centers and SIEM systems Паралельн. назви :Потенційні відволікаючі атаки на операційні центри безпеки та SIEM системи Місце публікування : Кібербезпека: освіта, наука, техніка: електронне наукове видання/ Київський університет імені Бориса Грінченка. - 2021. - N 14. - С. 6-16. - ISSN 2663-4023, DOI 10.28925/2663-4023.2021.14.614 (Шифр К667665926/2021/14). - ISSN 2663-4023, DOI 10.28925/2663-4023.2021.14.614 Примітки : Бібліогр. в кінці ст. Ключові слова (''Вільн.індекс.''): обхід--моніторинг--тактики супротивника Анотація: В даній статі розглянуто деякі потенційні вектори атак, що можуть бути здійснені на системи моніторингу операційних центрів безпеки (SOC), зокрема системи SIEM. Широко розповсюджені проблеми таких центрів, такі як великі обсяги хибних позитивних спрацювань, або не абсолютно точна конфігурація кореляційних правил, можуть призводити до ситуацій в яких порушник має змогу спровокувати небажаний стан системи моніторингу. Ми виявили три потенційні вектори подолання моніторингу SOC, що здійснюється через SIEM. Перший вектор ґрунтується на механізмі, що використовується для збору даних про події -log collector: Некоректний стан роботи SIEM може бути досягнутий за допомогою генерації сторонніх беззмістовних даних про події та спрямування їх на SIEM. Потік підроблених даних може спровокувати появу помилкових інцидентів, який витрачає час та можливості для реагування відповідного персоналу. Другий вектор вимагає від агенту загрози певних знань про фактичну конфігурацію SIEM -експлуатація проблем кореляційний правил. Беручи до уваги той факт, що кореляційні правила SIEM створюються вручну, вони можуть містити логічні помилки -певні правила детектування можуть не спрацьовувати на всі необхідні індикатори шкідливої активності. Агент загрози, що знає про такі особливості, може задовольнити критерії не-детектування та таким чином замаскувати процес атаки під легітимну активність. Останній досліджений вектор базується на надлишково чутливих правилах детектування, що генерують істотний обсяг хибно позитивних повідомлень, але все одно залишаються активними. Агент загрози може провокувати хибні тривоги на постійній основі для відволікання аналітиків та проведення атак під "шумовим маскуванням". Усі три вектори були досліджені нами в ході аналізу практичних інсталяцій SIEM та процесів SOC, що визнані стандартами індустрії. На даний момент ми не маємо інформації про те, що дані атаки вже відбувались в реальному середовищі, але існує висока вірогідність появи таких тактик в майбутньому. Мета даного дослідження полягає у висвітленні можливих ризиків для операційних центрів безпеки, пов'язаних з поточними процесами та практиками, що використовуються в індустрії, та розробити стратегії подолання даних проблем у перспективі Дод.точки доступу: Rabchun, Dmytro Рабчун Дмитро Ігорович Драгунцов Роман Ігорович