Ing. Simona Fornůsek, Ph.D.

Ing. Simona Buchovecká

Ing. Miroslav Prágl, MBA

Katedra počítačových systémů

Organizace, které využívají Active Directory pro správu identit, musí chránit svá data před protivníky a bezpečnostními hrozbami. Tato práce analyzuje známé útoky na Active Directory a možnosti jejich detekce založené na Windows Security auditu. Implementační část je zaměřená na návrh detekčních pravidel pro analyzované scenáře útoků. Pravidla byla navrhnuta a implementována v technologii Splunk, následně otestována a vyhodnocena vykonáním útoků ve virtuálním prostředí. Navrhnutá pravidla, případně detekční principy v nich použité, mohou sloužit jako základ implementace bezpečnostního monitorování Active Directory prostředí v organizacích, a to nezávisle na vybrané technologii. Příloha práce obsahuje navrhnutá pravidla ve formě Analytic Stories, která rozširují obsah existující aplikace Splunk ES Content Update. Analytic Stories jsou navíc doplněna o relevantní vyhledávání, která poskytují kontext využitelný pro investigaci.

Práce na DSpace

Ing. Simona Fornůsek, Ph.D.

Ing. Jiří Dostál, Ph.D.

Katedra informační bezpečnosti

Active Directory je nástrojem centralizované administrace a správy identit v mnoha organizacích. Zajištění jeho zabezpečení je nezbytné k ochraně přístupových dat uživatelů, podnikových systémů a citlivých dat před neoprávněným přístupem. Bezpečnostní monitorování prostředí Active Directory se obvykle provádí pomocí detekčních pravidel založených na signaturách. Ty však nejsou vždy účinné a dostatečné, zejména pro útoky, které jsou podobné legitimním aktivitám z hlediska auditních dat. Tato práce aplikuje techniky strojového učení pro detekci dvou takových útočných technik - Password Spraying a Kerberoasting. Algoritmy strojového učení jsou aplikovány s využitím příznaků z auditu událostí systému Windows a vyhodnoceny na datech pocházejících ze skutečného Active Directory prostředí. Nejlepší přístupy jsou implementovány jako detekční pravidla pro praktické použití na platformě Splunk. Navrhované řešení dokázalo zlepšit detekční schopnosti a současně snížit počet falešných poplachů ve srovnání s přístupy založenými na signaturách, a to pro obě zkoumané techniky útoků.

Práce na DSpace

Ing. Simona Fornůsek, Ph.D.

prof. Ing. Róbert Lórencz, CSc.

Katedra informační bezpečnosti

Tato práce se zabývá tématem perzistence malwaru a v teoretické části detailně analyzuje způsoby a techniky používané ve škodlivých programech pro zajištění opakovaného spuštění škodlivého kódu. Jednotlivé techniky jsou klasifikovány dle matice MITRE ATT&CK. Dále práce navazuje implementací detekčního řešení, které obsahuje sadu pravidel určených pro odhalení analyzovaných způsobů perzistence. Laboratorní prostředí je vytvořeno v cloudové technologii Azure za použití nástroje Splunk pro log management. Práce se věnuje také tématu automatické akvizice artefaktů, přičemž je nasazen nástroj Google Rapid Response, který se automaticky v integraci s detekční platformou stará o akvizici zajímavého materiálu pro analýzu.

Práce na DSpace

Ing. Simona Fornůsek, Ph.D.

Mgr. Martin Jureček, Ph.D.

Katedra informační bezpečnosti

Tato práce představuje návrh a implementaci inovativního přístupu k analýze malwaru prostřednictvím integrace systémů honeypot a technologie neuronových sítí. Navrhovaný systém využívá honeypot jako návnadový server k přilákání a spuštění škodlivých souborů a zachycuje tento proces prostřednictvím různých záznamů a artefaktů. Tato data jsou poté přenášena na centralizovaný server pro sběr záznamů, kde jsou uchovávána a předzpracovávána. S využitím neuronových sítí se předzpracovaná data využívají k trénování modelu schopného rozpoznávat vzory malwaru. S využitím několika samostatných návrhů pro dostatečné trénování neuronové sítě je systém nasazen k automatické analýze malwaru příchozích souborů, což umožňuje detekci a zmírnění hrozeb v reálném čase. Výsledný produkt je připravený k nasazení do skutečného prostředí.

Práce na DSpace

Ing. Simona Fornůsek, Ph.D.

Ing. Josef Kokeš, Ph.D.

Katedra informační bezpečnosti

S pokračujícím nárůstem počtu sofistikovaných kybernetických útoků rostou nároky na výzkumníky a experty v oblasti kybernetické bezpečnosti. Kybernetické hrozby se neustále vyvíjejí a mění, udržovat s nimi tempo je kritické pro vývoj efektivních bezpečnostních řešení. Vývoj obrannych mechanismů je však náročný úkol. Tato práce využívá threat-informed přístup k vytváření analytik a vývoji detekčních mechanismů. Threat-informed přístup spočívá ve využívání dostupných informací získaných pomocí zpravodajství o kybernetických hrozbách (Cyber Threat Intelligence (CTI)), což může vést k výsledkům, které umožní implementaci a nasazení efektivnějších obranných mechanismů. Útočníci typicky musí provést boční pohyb (lateral movement) v napadnutém prostředí aby dosáhli svých cílů. Obvykle je jejich prvotní přístup do cílového prostředí prostředníctvím zařízení s nižší ochranou nebo pomocí phishingu zatímco jejich cíl se většinou nachází na lépe zabezpečeném zařízení. Tato práce představí techniky používáné pro docílení bočního pohybu v cílovém prostředí, zkoumá a nasadí přístup k vývoji analytik a detekcí využívající zpravodajství o kybernetických hrozbách a zaměří se na hlubší analýzu jedné z těchto technik, šíření pomocí výměnných medií (například USB flash disky). Pomocí informací získaných ze zpravodajství o kybernetických hrozbách, tato práce analyzuje techniku šíření pomocí výměnných medií, navrhne metody detekce této techniky, implementuje a nasadí navžené detekce, a vyhodnotí jejich efektivitu a validitu. Nakonec, tato práce ukazuje výhody využití informací získaných pomocí zpravodajství o kybernetických hrozbách při vývoji analytik a detekcí a diskutuje kvalitu výsledků z tohoto procesu.

Práce na DSpace

Ing. Simona Fornůsek, Ph.D.

prof. Ing. Róbert Lórencz, CSc.

Katedra informační bezpečnosti

This thesis focuses on analysis and defense against ransomware using detection rules. It provides an overview of the different types of ransomware and explores their lifecycle from infecting the system to extorting the victim. It also deals with methods of static and dynamic analysis of malicious software. In addition, it also examines the techniques that are used to defend against analysis. Subsequently, work with rules in YARA and Sigma formats is described. In the design part, rules are implemented in these formats aimed at general detection of ransomware samples.

Práce na DSpace