Ing. Simona Fornůsek, Ph.D.

Závěrečné práce

Bakalářské práce

Detekce útoků na Active Directory

Autor
Lukáš Kotlaba
Rok
2019
Typ
Bakalářská práce
Vedoucí
Ing. Simona Buchovecká
Oponenti
Ing. Miroslav Prágl, MBA
Anotace
Organizace, které využívají Active Directory pro správu identit, musí chránit svá data před protivníky a bezpečnostními hrozbami. Tato práce analyzuje známé útoky na Active Directory a možnosti jejich detekce založené na Windows Security auditu. Implementační část je zaměřená na návrh detekčních pravidel pro analyzované scenáře útoků. Pravidla byla navrhnuta a implementována v technologii Splunk, následně otestována a vyhodnocena vykonáním útoků ve virtuálním prostředí. Navrhnutá pravidla, případně detekční principy v nich použité, mohou sloužit jako základ implementace bezpečnostního monitorování Active Directory prostředí v organizacích, a to nezávisle na vybrané technologii. Příloha práce obsahuje navrhnutá pravidla ve formě Analytic Stories, která rozširují obsah existující aplikace Splunk ES Content Update. Analytic Stories jsou navíc doplněna o relevantní vyhledávání, která poskytují kontext využitelný pro investigaci.

Diplomové práce

Využití technik strojového učení pro detekci útoků v prostředí Active Directory

Autor
Lukáš Kotlaba
Rok
2021
Typ
Diplomová práce
Vedoucí
Ing. Simona Fornůsek, Ph.D.
Oponenti
Ing. Jiří Dostál, Ph.D.
Anotace
Active Directory je nástrojem centralizované administrace a správy identit v mnoha organizacích. Zajištění jeho zabezpečení je nezbytné k ochraně přístupových dat uživatelů, podnikových systémů a citlivých dat před neoprávněným přístupem. Bezpečnostní monitorování prostředí Active Directory se obvykle provádí pomocí detekčních pravidel založených na signaturách. Ty však nejsou vždy účinné a dostatečné, zejména pro útoky, které jsou podobné legitimním aktivitám z hlediska auditních dat. Tato práce aplikuje techniky strojového učení pro detekci dvou takových útočných technik - Password Spraying a Kerberoasting. Algoritmy strojového učení jsou aplikovány s využitím příznaků z auditu událostí systému Windows a vyhodnoceny na datech pocházejících ze skutečného Active Directory prostředí. Nejlepší přístupy jsou implementovány jako detekční pravidla pro praktické použití na platformě Splunk. Navrhované řešení dokázalo zlepšit detekční schopnosti a současně snížit počet falešných poplachů ve srovnání s přístupy založenými na signaturách, a to pro obě zkoumané techniky útoků.