Nástroj pro vytváření kybernetických útoků

Abstract

Schopnost obranných (modrých) týmů efektivně reagovat na kybernetické hrozby je klíčová pro zajištění adekvátní úrovně kybernetické bezpečnosti. Nástroje, které jsou schopny automatizovaně vytvářet kybernetické útoky a reagovat na snahu těchto týmů útokům zabránit, mohou být velkým přínosem pro jejich trénink. Tato diplomová práce si klade za cíl vytvořit nástroj, který prostřednictvím definovaných scénářů poskytne modrým týmům možnost trénovat své obranné schopnosti. Tohoto cíle je dosaženo vytvořením webové aplikace postavené na rámci Django, využívající databázi MongoDB pro ukládání dat spojených s testováním, ve které jsou akce kategorizovány dle rámce MITRE ATT&CK. Řešení integruje nástroje jako je Nmap či Metasploit a sbírá síťová data za pomoci nástroje Arkime. Všechny stěžejní komponenty jsou nasazeny pomocí technologie Docker. Výsledkem je funkční systém pro vytváření kybernetických útoků, který je schopen reagovat na aktivitu modrého týmu.Schopnosti nástroje jsou validovány na základě tří zavedených scénářů, kdy každý z nich prezentuje jinou reakci modrého týmu a reakci na něj. V závěru je nástroj diskutován a jsou uvedeny jeho limitace, možná rozšíření a směr vývoje.

The ability of defensive (blue) teams to effectively respond to cyber threats is essential for maintaining an adequate level of cybersecurity. Tools capable of automatically generating cyberattacks and responding to the defensive actions of these teams can be highly beneficial for their training. This thesis aims to develop a tool that, through the use of predefined scenarios, enables blue teams to train and improve their defensive capabilities. This goal is achieved by creating a web application built on the Django framework, utilizing MongoDB for storing test-related data, in which actions are categorized according to the MITRE ATT&CK framework. The solution integrates tools such as Nmap and Metasploit, and collects network traffic using Arkime. All core components are deployed using Docker technology. The result is a functional system for executing cyberattacks, capable of adapting to the activity of the defending team. The tool’s capabilities are validated through three predefined scenarios, each presenting a different defensive reaction and a corresponding adaptive response from the tool. The final section discusses the tool’s current functionality, its limitations, and outlines potential future extensions and development directions.