Analýza a návrh efektivního řešení pro integraci Web Application Firewall do architektury SOC

Diplomová práce se zabývá problematikou integrace Webového aplikačního firewallu do prostředí Dohledového bezpečnostního centra. Výsledkem této práce je analýza současných možností integrace společně s identifikací nejčastějších útoků na webové aplikace. Pomocí provedené analýzy byl vybrán nejlépe vyhovující WAF společně se způsobem jeho integrace. Dále práce obsahuje podrobný popis zvolené integrace a její následné testování. Bylo provedeno testování správnosti fungování firewallu, jeho zátěžové testování a vliv na zpoždění v síti. Část práce popisuje také integraci WAF do reálného prostředí SOC. Integrace obnáší napojení na technologie správy záznamů a provozního monitoringu. Současně byla vytvořena vlastní integrace s platformou MISP, díky které je možné tvořit pro WAF dynamická pravidla. Součástí integrace je vytvoření vlastního parseru, korelačních pravidel a testovacího scénáře. Poslední část práce se věnuje analýze vlivu integrace WAF na prevenci a detekci kybernetických hrozeb, jejíž součástí je zhodnocení vznikajících výstrah za období jednoho měsíce.
The thesis deals with the issue of integration of Web Application Firewall into the environment of Supervisory Security Center. The result of this thesis is an analysis of current integration options along with identification of the most common attacks on web applications. Using the analysis performed, the best suited WAF was selected along with its integration method. Furthermore, the thesis contains a detailed description of the chosen integration and its subsequent testing. Testing of the correctness of the firewall, its stress testing and its effect on the network delay was performed. A part of the thesis also describes the integration of WAF into a real SOC environment. The integration involves connection to log management and traffic monitoring technologies. At the same time, a custom integration with the MISP platform has been developed, which makes it possible to create dynamic rules for the WAF. The integration includes the creation of a custom parser, correlation rules and a test scenario. The last part of the thesis is devoted to the analysis of the impact of the WAF integration on the prevention and detection of cyber threats, which includes an evaluation of the emerging alerts over a period of one month.

Keywords

kybernetická bezpečnost, dohledové bezpečnostní centrum, SOC, SOC jako služba, webový aplikační firewall, WAF, prevence a detekce kybernetických hrozeb, Modsecurity, Cyber security, Security Operations Center, SOC, SOC as a service, Web Application Firewall, WAF, prevention and detection of cyber threats, Modsecurity

Citation

HYNEK, V. Analýza a návrh efektivního řešení pro integraci Web Application Firewall do architektury SOC [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2024.

Language of document

cs

Study field

bez specializace

Comittee

doc. Ing. Jan Jeřábek, Ph.D. (předseda) doc. Ing. Karol Molnár, Ph.D. (místopředseda) Ing. Tomáš Zeman, Ph.D. (člen) doc. Ing. Václav Oujezský, Ph.D. (člen) Ing. Tomáš Gerlich (člen) JUDr. Mgr. Jakub Harašta, Ph.D. (člen)

Date of acceptance

2024-06-06

Defence

Student prezentoval výsledky své práce a komise byla seznámena s posudky. Student obhájil diplomovou práci a odpověděl na otázky členů komise a oponenta. Otázky: V práci na str. 53 uvádíte “Ze samotných výsledků měření nebo z vytvořených grafů 4.3 a 4.4 lze vyčíst, že při nasazení WAF se průměrná doba odezvy aplikace navýšila o 24 % a průměrná doba nejdelší odpovědi se zvýšila o 8 %.”. Vysvětlete, jak jste z grafů 4.3. a 4.4. přišel k těmto hodnotám. Při prohlížení přiložených souborů se mi nepodařilo vždy jednoznačně oddělit, co je váš výtvor a co bylo převzato. Prezentujte prosím před komisí, co všechno (programový kód, konfigurace, testovací sady) jste v rámci práce vytvořil a co bylo převzato. Případně popište, jaké úpravy jste provedl v převzatých částech. Jak přistupoval k práci Váš konzultant, a jak Vám dával zpětnou vazbu? Byl Vám sdělen posudek od konzultanta? Dotaz k interpretaci výsledků v rámci první tabulky prezentace. Co je "Míra FP výstrah"?

Result of defence

práce byla úspěšně obhájena

Document licence

Standardní licenční smlouva - přístup k plnému textu bez omezení