Automatizovaná síť pro klamání útočníků prostřednictvím iluzivních aktiv v kyberprostoru

Abstract

Bakalárska práca sa zaoberá návrhom falošnej siete na klamanie útočníkov s využitím systému SIEM na monitorovanie sieťovej aktivity a systému SOAR na vytváranie scenárov s automatickými protiopatreniami. Práca sa v teoretickej časti venuje popisu princípov technológií na klamanie útočníkov, bezpečnostnému monitorovaniu a automatizovaným reakciám na bezpečnostné incidenty. V praktickej časti je vykonaná detailná analýza dostupných nástrojov na klamanie útočníkov. Následne je vytvorený návrh vlastnej falošnej siete s využitím virtuálnych zariadení. Do siete je zakomponovaný systém SIEM na monitorovanie zariadení a centralizované zbieranie logov, a systém SOAR na vytváranie scenárov s automatickými protiopatreniami v prípade bezpečnostného incidentu. Vlastným prínosom tejto práce je vytvorenie reálnej siete na klamanie útočníkov s falošnými zariadeniami a kombináciou pokročilých riešení SIEM a SOAR. V rámci tejto vytvorenej siete bolo navrhnutých a simulovaných niekoľko útokov, na ktoré boli následne vytvorené automatické protiopatrenia.The bachelor thesis deals with the design of a fake network to deceive attackers using SIEM to monitor network activity and SOAR to create scenarios with automatic countermeasures. The theoretical part of the thesis is describes the principles of attacker deception technologies, security monitoring and automated responses to security incidents. The practical part provides a detailed analysis of available tools for deceiving attackers. Subsequently, the design of a fake network is created with the use of virtual devices. The network incorporates a SIEM system for device monitoring and centralized log collection, and a SOAR system for creating scenarios with automatic countermeasures in the case of a security incident. The practical result of this work is the creation of a real network to deceive attackers with fake devices and the combination of advanced SIEM and SOAR solutions. Several attacks have been designed and simulated within this constructed network. Automated countermeasures have subsequently been created to respond to them.