Platforma pro automatizované zavedení bezpečnostního monitoringu s integrací na threat Intelligence

Abstract

Útoky na počítačovú infraštruktúru narastajú a kyberbezpečnosť sa stáva čoraz dôležitejšou témou. Členské štáty Európskej Únie sú do svojej legislatívy povinné transponovať smernicu NIS2, ktorá cieli na zvýšenie bezpečnosti IT infraštruktúry jednotlivých štátov. So smernicou prichádza nárast počtu povinných subjektov, ktorí musia zabezpečiť svoju organizáciu pred kybernetickými útokmi. Účelom a hlavným prínosom tejto diplomovej práce je vytvorenie riešenia, ktoré je rýchlo a čo najviac automatizovane nasaditeľné, spĺňa právne požiadavky, poskytuje adekvátnu úroveň bezpečnosti pre počítačovú infraštruktúru organizácie a obohacuje proces normalizácie záznamov o umelú inteligenciu. Práca porovnáva open source SIEM riešenia vhodné ako kľúčový prvok platformy a kladie im požiadavky funkčného, nefunkčného a kritického charakteru a volí najvhodnejšiu možnosť. Ďalej prezentuje návrh platformy s diagramom prepojení jednotlivých technológií, popisuje jednotlivé komponenty používané k pripojeniu modulu umelej inteligencie a demonštruje funkčnosť integrácie dvoch threat intelligence platforiem (MISP a Maltiverse). Taktiež ukazuje funkčnosť automatického napojenia rôznych zdrojov záznamov pomocou nástroja Ansible, kde napájanie pomocou Agenta poskytuje možnosť automatických reakcií na incidenty. Na konci práce je popísaná ekonomická a časová výhoda nasadenia platformy oproti proprietárnemu riešeniu.The attacks on computer infrastructure are rising and the topic of cybersecurity is beginning to gain more importance. Member states of the European Union are required to transpose the NIS2 directive into their legal systems, which aims to raise the security of the IT infrastructure of individual countries. With the directive comes the increase in the number of affected entities, that are required to secure their organization against cyber attacks. The goal and the main contribution of this master's thesis is the creation of a solution that can be deployed quickly and with as much automation as possible, that meets legal requirements, offers adequate security levels for an organization’s computer infrastructure, and enriches the parsing process of log files using artificial intelligence. The thesis compares different open source SIEM solutions suitable as a key component of the final platform and places functional, non-functional, and critical requirements upon them, and chooses the most suitable option. Then, it presents a design of the platform with a diagram showing connections between the individual technologies, describes the individual components used for the connection of an artificial intelligence module, and demonstrates the functionality of the integration of two threat intelligence platforms (MISP and Maltiverse). It also shows the functionality of an automated connection of different log sources using Ansible, where the connection using an Agent also offers the possibility of automatic response to incidents. The end of the thesis also describes the financial and time advantages when deploying the platform compared to a proprietary solution.