|
|
Automated network for deceiving attackers through illusory assets in cyberspace
Maťaš, Matúš ; Lieskovan, Tomáš (oponent) ; Safonov, Yehor (vedoucí práce)
The bachelor thesis deals with the design of a fake network to deceive attackers using SIEM to monitor network activity and SOAR to create scenarios with automatic countermeasures. The theoretical part of the thesis is describes the principles of attacker deception technologies, security monitoring and automated responses to security incidents. The practical part provides a detailed analysis of available tools for deceiving attackers. Subsequently, the design of a fake network is created with the use of virtual devices. The network incorporates a SIEM system for device monitoring and centralized log collection, and a SOAR system for creating scenarios with automatic countermeasures in the case of a security incident. The practical result of this work is the creation of a real network to deceive attackers with fake devices and the combination of advanced SIEM and SOAR solutions. Several attacks have been designed and simulated within this constructed network. Automated countermeasures have subsequently been created to respond to them.
|
|
|
Webová aplikace integrující techniky umělé inteligence do procesu tvorby korelačních pravidel
Šibor, Martin ; Caha, Tomáš (oponent) ; Safonov, Yehor (vedoucí práce)
V současné době, kdy se digitalizace stává neodmyslitelnou součástí všech oblastní našich životů, se neustále zvyšuje komplexnost a sofistikovanost kybernetických hrozeb. Klíčovým prvkem v boji proti těmto kybernetickým hrozbám je bezpečnostní monitoring. Důležitým nástrojem bezpečnostního monitoringu jsou systémy SIEM, které umožňují včasnou detekci a reakci na potenciální útoky na základě korelačních pravidel. Hlavním přínosem této práce je návrh a implementace webové aplikace, která integruje techniky umělé inteligence do procesu tvorby a správy korelačních pravidel pro systémy bezpečnostních monitoringů s cílem zefektivnit proces tvorby, úprav a pochopení korelačních pravidel. Práce se nejdříve věnuje teoretickému úvodu do oblasti zpracování přirozeného jazyka a moderních neuronových sítí, zejména architektury transformers, která je základem generativních modelů umělé inteligence (např. ChatGPT, Gemini). Dále jsou představeny principy bezpečnostního monitoringu, systémů pro zpracování záznamů událostí, koncept generalizace korelačních pravidel a v neposlední řadě výzvy spojené se správou a udržováním korelačních pravidel, které integrace umělé inteligence do těchto procesů výrazně odbourává. Praktická část práce popisuje návrh a implementaci webové aplikace, která využívá modely gpt-4 a gpt-3.5-turbo od společnosti OpenAI a model Gemini Ultra 1.0 od společnosti Google pro tvorbu nových korelačních pravidel, úpravu existujících pravidel a jejich vysvětlením a interpretací pro snazší pochopení a rychlejší nasazení. Aplikace je navržena s ohledem na uživatelskou přívětivost a efektivitu. Výsledky práce ukazují, že integrace umělé inteligence do procesu tvorby korelačních pravidel přináší významné zlepšení efektivity. Webová aplikace umožňuje uživatelům snadno vytvářet a upravovat korelační pravidla. Aplikace také umožňuje uživatelům lépe porozumět korelačním pravidlům a umožňuje jim takto rychleji reagovat na potenciální hrozby.
|
|
|
Bezpečnostní monitorování komunikace domácích IoT sítí
Krajč, Patrik ; Grégr, Matěj (oponent) ; Matoušek, Petr (vedoucí práce)
Cieľom práce je vytvoriť systém na bezpečnostné monitorovanie IoT sietí a užívateľské grafické rozhranie pre zobrazenie chovania IoT siete, ktoré zahŕňa detekciu anomálií v sieti. Aplikácia umožňuje zobraziť informácie o prevádzke v rôznych časových intervaloch, definovaním konkrétneho dňa a hodiny. Informácie o prevádzke sú získané z IPFIX záznamov uložených v MySQL databáze. Vytvorené IPFIX záznamy obsahujú komunikáciu medzi zariadeniami CoAP, ktoré podstúpili niekoľko útokov.
|
|
|
Bezpečnostní monitoring aplikací v Azure
Doležal, Vojtěch ; Petr,, Svojanovský (oponent) ; Ondrák, Viktor (vedoucí práce)
V této práci jsou spojena dvě velká témata dnešního IT. Bezpečnost a cloud computing je něco, čím se dnes zabývá v podstatě každá firma a jejich důležitost si uvědomují i celé státy. Práce pojednává o monitoringu a bezpečnosti služeb v Microsoft Azure zajištěné výhradně nativními službami. Cílem celé práce je zjistit, zda mohou nativní služby Azure pro zabezpečení nahradit nedostatky v bezpečnosti samotných aplikací. Pokud by se pouze na tyto služby spolehnout nedalo, je třeba rozhodnout, zda má i přesto jejich nasazení smysl. Teoretická část pojednává o cloud computingu a informační bezpečnosti. Analytická část popisuje společnost ŠKODA AUTO a službu Microsoft Azure včetně důležitých služeb, které nabízí. V návrhové části je pak zdokumentováno samotné testování a jím získané výsledky. Výsledkem práce je zjištění, že nasazení monitoringu a zabezpečení v cloudu neřeší problém nedostatečně zabezpečených aplikací. K zabezpečení ovšem může přispět, a to nejen pouze k zabezpečení samotných aplikací, ale i k zabezpečení celého cloudového prostředí.
|
|
|
Integrace pokročilých metod umělé inteligence s bezpečnostními systémy provádějícími management logových záznamů
Sedláček, Jiří ; Mikulec, Marek (oponent) ; Safonov, Yehor (vedoucí práce)
Kybernetická bezpečnost je velice důležitým aspektem našeho každodenního života. Se stále více se rozpínajícím kybernetickým prostorem a jeho rostoucím vlivem na náš reálný svět je o to důležitější právě otázka kybernetické bezpečnosti. V rámci teoretické části diplomové práce jsou popsány základní aspekty bezpečnostního monitoringu. Také je stručně popsán proces sbírání logů událostí a jejich správa. Důležitým prostředkem bezpečnostního monitoringu je management bezpečnostních informací a událostí. Jsou zde probrány jeho výhody, nevýhody a možná vylepšení pomocí umělé inteligence. V teoretické části je rovněž zmíněna funkce orchestrace zabezpečení, automatizace a odezvy. Také jsou zde popsány techniky strojového učení, jako jsou neuronové sítě a hluboké učení. Tato část je rovněž zaměřena na kybernetická operační centra z hlediska zvýšení efektivity lidské „manuální” práce. Byla také provedena rešerše možných technik strojového učení pro tento případ použití, jelikož nedostatek lidských zdrojů je v rámci kybernetických operačních center kritickým problémem. Praktická část diplomové práce zahrnuje vytyčení cíle (klasifikace sekvencí textu), díky kterému by se dala značně ulehčit práce ve smyslu ručního rozdělování logů událostí na kategorie podle jejich zdroje. Pro tento stanovený úkol byla z různých zdrojů logů shromážděna data souvisejí s bezpečnostním monitoringem. V praktické části jsou také podrobně popsány metody pro zpracování těchto dat. Následně byl vybrán vhodný model neuronové sítě a proveden jeho technický popis. Na závěr je popsáno finální zpracování dat a proces trénování, validace a testování modelu. Pro tento proces byly zpracovány tři scénáře, které jsou následně podrobně popsány ve výsledcích měření.
|
|
|
Zpracování logovacích informací na platformě TeskaLabs
Kocinec, Patrik ; Jeřábek, Kamil (oponent) ; Ryšavý, Ondřej (vedoucí práce)
Tato práce se zabývá využitím metod strojového učení na zpracování logovacích infomací v systému LogMan.io. Práce zahrnuje popis způsobů zpracování logovacích informací pro účely bezpečnostního monitoringu, dále pak metody strojového učení a principy zpracování dat. Následně se práce zaměřuje na představení systému LogMan.io a jeho komponent. Poté je navržena a implementována aplikace pro zpracování logovacích informací, která využívá metod strojového učení pro detekci nebezpečných adres nad systémem LogMan.io. Při implementaci aplikace pro vytrénování modelu bylo využito vícero metod, které byly otestovány se zaměřením na přesnost detekce.
|
|
|
DNS firewall a jeho nasazení a integrace v rámci kybernetického centra
Doležal, Martin ; Kubánková, Anna (oponent) ; Jeřábek, Jan (vedoucí práce)
Tato bakalářská práce se věnuje nasazení, integraci a testování DNS firewallu v kybernetickém operačním centru. Popisuje možnosti napojení koncových stanic a vzdálených místních sítí na DNS firewall umístěný v rámci kybernetického operačního centra. Dále je popsáno vynucení využívání DNS firewallu. Hlavním cílem práce bylo nasadit a integrovat DNS firewall v kybernetickém operačním centru. První kapitola obecně popisuje kybernetické operační centrum a jeho části. Druhá kapitola se věnuje systému DNS. V~následující kapitole je popsáno zabezpečení systému DNS a zabezpečení DNS dotazů a čtenář je seznámen s pojmem DNS firewall a s technologiemi RPZ a VPN. Čtvrtá kapitola popisuje postup nasazení DNS firewallu a jeho integraci v reálném kybernetickém operačním centru. Další kapitola popisuje možnosti napojení koncových stanic a vzdálených místních sítí na DNS firewall umístěný v rámci kybernetického operačního centra a jeho vynucení. Poslední kapitola se věnuje testování výkonnosti a dostupnosti nasazeného DNS firewallu. Výsledkem práce je nasazený, integrovaný, funkční a otestovaný DNS firewall v reálném kybernetickém operačním centru. Pro implementaci a nasazení DNS firewallu byl využit softwarový balík BIND a technologie RPZ. Pro napojení stanic byla využita technologie VPN a pro testování byla využita síť RIPE Atlas.
|
|
| |
|
|
Enhancing Security Monitoring with AI-Enabled Log Collection and NLP Modules on a Unified Open Source Platform
Safonov, Yehor ; Zernovic, Michal
The number of computer attacks continues to increasedaily, posing significant challenges to modern securityadministrators to provide security in their organizations. Withthe rise of sophisticated cyber threats, it is becoming increasinglydifficult to detect and prevent attacks using traditional securitymeasures. As a result, security monitoring solutions such asSecurity Information and Event Management (SIEM) have becomea critical component of modern security infrastructures. However,these solutions still face limitations, and administrators areconstantly seeking ways to enhance their capabilities to effectivelyprotect their cyber units. This paper explores how advanced deeplearning techniques can help boost security monitoring capabilitiesby utilizing them throughout all stages of log processing. Thepresented platform has the potential to fundamentally transformand bring about a significant change in the field of securitymonitoring with advanced AI capabilities. The study includes adetailed comparison of modern log collection platforms, with thegoal of determining the most effective approach. The key benefitsof the proposed solution are its scalability and multipurposenature. The platform integrates an open source solution andallows the organization to connect any event log sources or theentire SIEM solution, normalize and filter data, and use thisdata to train and deploy different AI models to perform differentsecurity monitoring tasks more efficiently.
|
|
|
Nástroj pro mapování aktiv počítačové infrastruktury a návrhu korelačních pravidel při realizaci bezpečnostního monitoringu
Hrabálek, Matěj ; Caha, Tomáš (oponent) ; Safonov, Yehor (vedoucí práce)
S rostoucí popularitou služby SOC, která často používá nástroje SIEM, vznikají i nové problémy týkající se implementace těchto nástrojů do jednotlivých infrastruktur, které mohou čelit kybernetickým útokům. Nástroje SIEM totiž dokáží detekovat kybernetické útoky pouze za předpokladu, že jsou správně nakonfigurované, tj. že sbírají správné logy. Tato bakalářská práce slouží k usnadnění procesu implementace SIEM do interní infrastruktury. Je v nich pojednáno o vhodné kategorizaci zdrojů logů a korelačních pravidel, pojmenování korelačních pravidel a je navržen systém mapování zdrojů logů na příslušná korelační pravidla, což usnadňuje implementaci SIEM do infrastruktury. Veškeré poznatky jsou poté implementovány do webové aplikace, která je praktickým výstupem této bakalářské práce. Webová aplikace umožňuje uživateli, který se chystá implementovat službu SIEM do vlastní infrastruktury, zadat údaje o dané infrastruktuře, tj. zejména zdroje logů, které mohou být v infrastruktuře generovány, a nabídne mu k příslušným zdrojům logů vhodná korelační pravidla včetně jejich pojmenování. V teoretické části je tak kromě logů, technologie SIEM a korelačních pravidel, pojednáno také o obecných poznatcích z kybernetické bezpečnosti nebo službě Security Operations Center.
|
host ::
RSS.