Emulace kybernetických útoků APT skupin za účelem testování detekčních řešení
Emulation of APT Cyberattacks for Detection Solution Testing
Typ dokumentu
bakalářská prácebachelor thesis
Autor
Lukáš Holas
Vedoucí práce
Dostál Jiří
Oponent práce
Svetlík Marián
Studijní obor
Informační bezpečnost 2021Studijní program
InformatikaInstituce přidělující hodnost
katedra informační bezpečnostiPráva
A university thesis is a work protected by the Copyright Act. Extracts, copies and transcripts of the thesis are allowed for personal use only and at one?s own expense. The use of thesis should be in compliance with the Copyright Act http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf and the citation ethics http://knihovny.cvut.cz/vychova/vskp.htmlVysokoškolská závěrečná práce je dílo chráněné autorským zákonem. Je možné pořizovat z něj na své náklady a pro svoji osobní potřebu výpisy, opisy a rozmnoženiny. Jeho využití musí být v souladu s autorským zákonem http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf a citační etikou http://knihovny.cvut.cz/vychova/vskp.html
Metadata
Zobrazit celý záznamAbstrakt
Tato práce představuje metodiku emulace protivníka určenou k otestování obranyschopnosti proti pokročilým kybernetickým hrozbám. Navržený přístup spočívá v emulaci útoků prostřednictvím identifikace skupin úzce spjatých útočných technik, které jsou testovány jednotlivě. Metodika využívá projekt Atomic Red Team, veřejně dostupnou sbírku testovacích scénářů, který propojuje s na míru vytvořenými testy s cílem co nejlépe pokrýt emulovaný útok. Metodika je demonstrována emulací skutečného útoku, který byl proveden státem podporovaným útočníkem, za účelem otestovat ochranu koncových zařízení založenou na bezpečnostní platformě Wazuh a antivirovém řešení Windows Defender. Pro vyhodnocení přesnosti emulace je vyvinut malware replikující stejný útok, který je spuštěn v téže prostředí, což umožňuje přímé porovnání výsledků. Na základě těchto výsledků lze konstatovat, že daný útok byl úspěšně emulován, avšak určitá omezení navrženého přístupu byla identifikována. This thesis introduces an adversary emulation methodology aimed at helping cybersecurity defenders identify weaknesses in their defenses against advanced threats. The methodology is grounded in the principle of deconstructing cyberattacks into logical clusters of attack techniques, which are then tested individually. It leverages Atomic Red Team, a publicly available collection of attack procedure simulations, supplemented with custom-developed tests to improve its capabilities. The methodology is demonstrated through a case study that emulates a real-world attack campaign attributed to a nation-state threat actor, with the objective of assessing the effectiveness of an endpoint protection stack comprising the Wazuh security platform and Windows Defender. To validate the accuracy of the emulation, malware replicating the same attack is developed and executed in the same environment, allowing for direct comparison. The evaluation confirms that the proposed methodology effectively replicates the attack campaign, while also revealing certain limitations.