Роль та місце систем захисту кінцевих пристроїв (EDR та XDR) в інформаційно-комунікаційних системах Збройних Сил України

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Роль та місце систем захисту кінцевих пристроїв (EDR та XDR) в інформаційно-комунікаційних системах Збройних Сил України

Автори

Коваль Олексій Євгенійович слухач Інституту інформаційно - комунікаційних технологій та кібероборони, Національний університет оборони України, м. Київ

Коваленко Ілля Григорович кандидат технічних наук, старший науковий співробітник Наукового центру зв'язку та інформатизації, Військовий інститут телекомунікацій та інформатизації імені Героїв Крут, м. Київ

Нещерет Іван Григорович провідний науковий співробітник Наукового центру зв'язку та інформатизації, Військовий інститут телекомунікацій та інформатизації імені Героїв Крут, м. Київ

Терещенко Тетяна Павлівна старший науковий співробітник Наукового центру зв'язку та інформатизації, Військовий інститут телекомунікацій та інформатизації імені Героїв Крут, м. Київ,

Прис Геннадій Петрович заступник начальника Наукового центру зв'язку та інформатизації, Військовий інститут телекомунікацій та інформатизації імені Героїв Крут, м. Київ

Зінченко Михайло Олександрович начальник науково-дослідного управління Наукового центру зв'язку та інформатизації, Військовий інститут телекомунікацій та інформатизації імені Героїв Крут, м. Київ

Яковчук Олександр Вікторович начальник науково-дослідного відділу - заступник начальника науково-дослідного управління Наукового центру зв'язку та інформатизації, Військовий інститут телекомунікацій та інформатизації імені Героїв Крут, м. Київ

Лазута Роман Романович начальник науково-дослідного відділу Наукового центру зв'язку та інформатизації, Військовий інститут телекомунікацій та інформатизації імені Героїв Крут, м. Київ,

Бондаренко Леонід Олександрович старший науковий співробітник Наукового центру зв'язку та інформатизації, Військовий інститут телекомунікацій та інформатизації імені Героїв Крут, м. Київ,

Руденко Володимир Іванович старший науковий співробітник Наукового центру зв'язку та інформатизації, Військовий інститут телекомунікацій та інформатизації імені Героїв Крут, м. Київ,

Строкоус Артем Олександрович начальник групи роботизованих систем та штучного інтелекту навчально лабораторного комплексу кафедри Спеціальних інформаційних систем та робототехнічних комплексів, Військовий інститут телекомунікацій та інформатизації імені Героїв Крут, м. Київ

Koval Oleksiy Yevheniyovych Listener of the Institute of Information and Communication Technologies and Cyber Defense, National Defense University of Ukraine, Kyiv

Kovalenko Illia Grigorovich Candidate of Technical Sciences, Senior Researcher at the Research Department of the Scientific Center for Communication and Informatization, Kruty Heroes Military Institute of Telecommunications and Information Technology, Kyiv

Neshcheret Ivan Grigorovich Leading Researcher at the Scientific Center for Communications and Informatization, Kruty Heroes Military Institute of Telecommunications and Information Technology, Kyiv,

Tereshchenko Tatiana Pavlovna Senior Researcher at the Research Department of the Scientific Center for Communication and Informatization, Kruty Heroes Military Institute of Telecommunications and Information Technology, Kyiv

Gennadiy Prys Petrovich Deputy Head of the Scientific Center for Communication and Informatization, Kruty Heroes Military Institute of Telecommunications and Information Technology, Kyiv

Zinchenko Michail Oleksandrovych Head of the Scientific Research Department of the Scientific Center for Communication and Informatization, Kruty Heroes Military Institute of Telecommunications and Information Technology, Kyiv

Yakovchuk Oleksandr Viktorovych Head of the Research Department - Deputy Head of the Research Department of the Scientific Center for Communication and Informatization, Kruty Heroes Military Institute of Telecommunications and Information Technology, Kyiv

Lazuta Roman Romanovich Head of the Research Department of the Scientific Center for Communication and Informatization, Kruty Heroes Military Institute of Telecommunications and Information Technology, Kyiv

Bondarenko Leonid Oleksandrovych Senior Researcher at the Research Department of the Scientific Center for Communication and Informatization, Kruty Heroes Military Institute of Telecommunications and Information Technology, Kyiv

Rudenko Volodymyr Ivanovich Senior Researcher at the Research Department of the Scientific Center for Communication and Informatization, Kruty Heroes Military Institute of Telecommunications and Information Technology, Kyiv,

Strokous Artem Oleksandrovych Head of the Group of Robotic Systems and Artificial Intelligence of the Educational and Laboratory Complex of the Department of Special Information Systems and Robotic Complexes, Kruty Heroes Military Institute of Telecommunications and Information Technology, Kyiv

Анотація

Основною причиною зміни стратегії, форм та способів застосування військ, безумовно, є розвиток озброєння та військової техніки, а особливо безпілотних систем, застосування яких стало масовим та дозволяє виконувати широкий спектр завдань, що постійно зростає. Відтак безпілотні системи, поряд із іншими новітніми видами озброєнь, є чи не єдиним інструментом виходу з воєнних дій позиційної форми, які є у часі не вигідними для України з цілої низки причин [1].

Кіберпростір, на сьогодні став ще одним сучасним напрямком для забезпечення переваги на противником, оскільки застосування високотехнологічних засобів на полі бою вимагає і застосування сучасних інформаційно-комунікаційних систем, а отже і захисту їх від відповідних кібернетичних впливів.

Безпека кінцевих точок швидко розвивається. Організації переходять до платформ повного захисту кінцевих точок, які забезпечують всебічні превентивні можливості їхньої безпеки. Рішення EDR та XDR або розширене виявлення та відповідь, додають можливість активно реагувати на порушення безпеки кінцевих точок.

Захист кінцевих пристроїв в інформаційно-комунікаційних системах на сьогоднішній день є найактуальнішою проблемою під час забезпечення кібербезпеки в Збройних Силах України. Це пов'язано з постійним збільшенням спроб проникнення, що раніше здійснювалося через мережу, а зараз загрози все частіше використовують кінцеві точки.

Однією з найбільш небезпечних загроз, яку можуть зазнати віддалені пристрої, є fileless атаки. Їх особливість полягає в тому, що хакерам не потрібно розміщувати файли на жорсткому диску атакованого пристрою. Для виявлення в кінцевих точках таких загроз добре підходять системи, засновані на технології EDR.

Представлені дослідження в роботі дозволяють прийти до висновку, що впровадження та застосування в ІКС ЗС України технологій захисту кінцевих пристроїв EDR та XDR дозволить значно покращити стан кібернетичного захисту не лише в самих ІКС, а також у пристроях користувачів

Ключові слова: інформаційно-комунікаційна система, кібербезпека, кіберзахист, кіберпростір, системи захисту кінцевих пристроїв.

THE ROLE AND PLACE OF ENDPOINT SECURITY SYSTEMS (EDR AND XDR) IN THE INFORMATION AND COMMUNICATION SYSTEMS OF THE ARMED FORCES OF UKRAINE

Abstract

The main reason for the change in strategy, forms and methods of using troops is undoubtedly the development of weapons and military equipment, and especially unmanned systems, the use of which has become widespread and allows for a wide range of tasks that is constantly growing. Therefore, unmanned systems, along with other new types of weapons, are perhaps the only tool to get out of positional warfare, which is not beneficial for Ukraine in time for a number of reasons [1].

Cyberspace has now become another modern direction for ensuring an advantage over the enemy, as the use of high-tech means on the battlefield requires the use of modern information and communication systems, and therefore their protection from relevant cybernetic influences.

Endpoint security is evolving rapidly. Organizations are moving to full endpoint protection platforms that provide comprehensive preventive endpoint security capabilities. EDR and XDR solutions, or enhanced detection and response, add the ability to proactively respond to endpoint security breaches.

Protecting endpoints in information and communication systems is currently the most pressing issue in ensuring cybersecurity in the Armed Forces of Ukraine. This is due to the constant increase in intrusion attempts, which used to be carried out through the network, and now threats are increasingly using endpoints.

One of the most dangerous threats that remote devices can face is fileless attacks. Their peculiarity is that hackers do not need to place files on the hard disk of the attacked device. EDR-based systems are well suited for detecting such threats at endpoints.

The research presented in this paper allows us to conclude that the introduction and application of EDR and XDR endpoint protection technologies in the ICS of the Armed Forces of Ukraine will significantly improve the state of cyber defense not only in the ICS itself, but also in user devices.

Keywords: information and communication system, cybersecurity, cyber defense, cyberspace, endpoint security systems.

Вступ

Постановка проблеми. Безпека кінцевих точок швидко розвивається. Організації переходять до платформ повного захисту кінцевих точок, які забезпечують всебічні превентивні можливості їхньої безпеки. Рішення EDR та XDR або розширене виявлення та відповідь, додають можливість активно реагувати на порушення безпеки кінцевих точок.

Захист кінцевих пристроїв в інформаційно-комунікаційних системах на сьогоднішній день є найактуальнішою проблемою під час забезпечення кібербезпеки в Збройних Силах України. Це пов'язано з постійним збільшенням спроб проникнення, що раніше здійснювалося через мережу, а зараз загрози все частіше використовують кінцеві точки.

Аналіз останніх досліджень і публікацій. Виходячи з низки останніх публікацій за напрямом дослідження кінцеві точки довгий час були основною метою зловмисників. Незалежно від того, чи дані у пристрої у користувача, у хмарі, на пристроях Інтернету речей або в серверній організації, дані повинні бути захищені як усередині, так і за межами традиційного периметра безпеки.

В даній роботі здійснено дослідження, яке дозволить значно покращити стан кібернетичного захисту не лише в самих ІКС, а також у пристроях користувачів, надійно протидіяти кіберзагрозам та кібератакам на пристрої користувачів під час їх підключення до інформаційно-комунікаційних систем, комунікаційних мереж з метою недопущення витоку та втраті цінної інформації.

Мета статті - є дослідження ролі та місця систем захисту кінцевих пристроїв (EDR та XDR) в інформаційно-комунікаційних системах Збройних Сил України.

Виклад основного матеріалу

Останні тенденції розвитку кібербезпеки в ІКС акцентуються на захисті кінцевих пристроїв. Оскільки раніше більшість спроб проникнення здійснювалося через мережу, зараз загрози все частіше використовують кінцеві точки, а отже, централізованого захисту мережі, що використовувався раніше, вже недостатньо. Однією з найбільш передових технологій запобігання атак є рішення на базі Endpoint Detection and Response (EDR). EDR - це комплексна система, що являє собою набір технологій, призначених для моніторингу, зображення і зберігання даних, які відстежують всі дії, що відбуваються в кінцевих точках. Ці дані збираються в централізованому сховищі, де аналізуються. Захист проводиться в реальному часі, і якщо в процесі аналізу EDR виявить в якійсь із точок ознаки злому, автоматично починають використовуватися можливості швидкого реагування, а після усунення загрози відбувається відновлення до безпечних параметрів функціонування.

Однією з найбільш небезпечних загроз, яку можуть зазнати віддалені пристрої, є fileless атаки. Їх особливість полягає в тому, що хакерам не потрібно розмішувати файли на жорсткому диску атакованого пристрою. Найчастіше для здійснення злому використовуються вже встановлені на планшеті або смартфоні додатки, що знаходяться в схваленому списку. При безфайловому нападі шанси на успішний злом збільшуються. Але знайти ознаки такого вторгнення все одно можливо. Будь-яке шкідливе ПЗ, навіть якщо воно не потребує виконуваному файлові, залишає слід, потрібно лише знати, де і як його шукати. Для виявлення в кінцевих точках таких загроз добре підходять системи, засновані на технології EDR. Вони здійснюють постійний контроль додатків, запущених на мобільному пристрої, забезпечуючи його захист [2].

XDR (extended Detection and Response) є розширенням EDR. Рішення XDR збирають і аналізують дані не лише з кінцевих точок, але й з інших джерел, таких як мережеві пристрої, хмарні середовища та системи SIEM (Рис. 1). Це дає змогу рішенням XDR отримати повніше уявлення про загрози та швидше й точніше виявляти загрози [3].

Рис. 1. Різноманіття засобів, з якими може працювати XDR

Рішення XDR пропонують низку переваг перед традиційними рішеннями безпеки. Вони надають більш повне уявлення про безпеку всієї інфраструктури організації, оскільки збирають дані з різних джерел. Це дозволяє їм виявляти більш складні загрози, які можуть не виявлятися традиційними рішеннями безпеки. Крім того, рішення XDR пропонують ряд можливостей автоматизованого реагування, які дозволяють командам безпеки швидко й ефективно реагувати на загрози.

Рішення XDR дедалі більше стають важливою частиною стратегії кібербезпеки. Вони забезпечують ефективний спосіб підвищення безпеки всієї корпоративної інфраструктури та прискорення реагування на загрози.

Враховуючи все різноманіття ІКС, що використовуються в ЗС України, спеціальних ІКС, в яких обробляється інформація з обмеженим доступом застосування технологій EDR та XDR потребує ретельного опрацювання. Та вибору оптимальних компонентів застосування того чи іншого засобу для забезпечення найефектинівнішого захисту ІКС. Крім того, технології EDR та XDR не забезпечують весь спектр захисту від кіберзагроз та повинні використовуватись в складі комплексної системи кібернетичного захисту SOC (Secure Operation Centre), які створюються в інтересах ЗС України та сил оборони в цілому.

Сьогодні в нашій державі існують та впроваджені системи виявлення вразливостей і реагування на кіберінциденти та кібератаки як в державному так і в приватному секторі [4,5]. На державному рівні питаннями виявлення та реагування на кіберінциденти займається урядова команда реагування на комп'ютерні надзвичайні події України, яка функціонує в складі Державної служби спеціального зв'язку та захисту інформації України - CERT-UA [6].

Згідно [4] система виявлення вразливостей і реагування на кіберінциденти та кібератаки - сукупність програмних та програмно - апаратних засобів, які забезпечують проведення цілодобового моніторингу, аналізу та передачі телеметричної інформації про кіберінциденти та кібератаки, які відбулися або відбуваються на об'єктах кіберзахисту і можуть мати негативний вплив на їх стале функціонування.

До складу система виявлення вразливостей і реагування на кіберінциденти та кібератаки належать:

підсистема урядової команди реагування на комп'ютерні надзвичайні події України CERT-UA, яка забезпечує централізований збір та накопичення інформації про кіберзагрози та кіберінциденти, отриманої з різних джерел, включаючи і відкриті;

підсистема виявлення і реагування на кібератаки на рівні робочих та серверних станцій (“кінцевих точок”), яка забезпечує виявлення шкідливої активності на них, реагування на неї діями з ліквідації, мінімізації або ізоляції, блокування процесів, що використовуються шкідливим програмним забезпеченням;

підсистема збору телеметрії інформаційно-комунікаційних систем (активні сенсори);

підсистема оперативного центру реагування на кіберінциденти, яка є центральною складовою системи виявлення вразливостей і реагування на кіберінциденти та кібератаки.

В ЗС України також проводяться заходи щодо створення власного оперативного центру реагування на кіберінциденти основними завданнями якого є [7]:

постійний моніторинг події в електронних комунікаційних мережах та інформаційних системах на предмет виявлення аномальних активностей або/та потенційних загроз;

постійний контроль наявності та коректної роботи засобів кіберзахисту в інформаційних системах, та виконання задач управління засобами кіберзахисту інформаційних систем;

забезпечення виявлення з високим рівнем достовірності кіберінцидентів, кібератак, загроз, вразливостей, порушень та зловживань в електронних комунікаційних мережах, інформаційних системах та програмних додатках;

аналіз та реагування на події в кіберпосторі.

Оперативний центр реагування на кіберінциденти ЗС України пропонується авторами визначити у складі (рис. 2):

підсистеми управління подіями інформаційної безпеки;

підсистеми обміну інформацією про загрози; підсистеми управління міжмережевими екранами; підсистеми протидії DDoS-атакам та захисту Web-застосунків; підсистеми дистанційного керування та контролю за антивірусним програмним забезпеченням;

підсистеми захисту поштових повідомлень; підсистеми виявлення та протидії кіберзагрозам; підсистеми управління та контролю мобільних пристроїв; підсистеми виявлення та протидії кіберзагрозам на мобільних пристроях;

підсистеми управління інцидентами;

підсистеми моніторингу та аналізу мережевої активності.

Рис. 2. Перспективна структурна схема оперативного центру реагування на кіберінциденти Збройних Сил України

захист кінцевий інформаційний комунікаційний

Технологію EDR та XDR найдоцільніше застосувати в підсистемах виявлення та протидії кіберзагрозам та підсистемі виявлення та протидії кіберзагрозам на мобільних пристроях. Застосування зазначених технологій дозволить:

отримати механізм моніторингу за всіма процесами, що відбуваються в ІКС та ІТ-інфраструктурі МО та ЗС України;

збільшити ефективність роботи аналітиків, щодо роботи з кожним інцидентом;

запровадити систему підтримки прийняття рішень з пріоритизацію кіберінцидентів;

забезпечити ІКС ЗС України дієвими механізмами захисту від кіберзагроз;

реалізувати єдині механізми виявлення та реагування на кі бері нциденти у всіх ІКС ЗС України.

Висновки з проведеного дослідження

Представлені дослідження в роботі дозволяють прийти до висновку, що впровадження та застосування в ІКС ЗС України технологій захисту кінцевих пристроїв EDR та XDR дозволить значно покращити стан кібернетичного захисту не лише в самих ІКС, а також у пристроях користувачів. Крім того, застосування даних рішень дозволить отримати сучасні засоби кібернетичного захисту. Проте потребує подальшого дослідження питання визначення оптимального складу та структури оперативного центру реагування на кіберінциденти ЗС України, а також вибору рішення для реалізації розглянутих в роботі механізмів.

Література

1. Залужний В.Ф. Щодо сучасного дизайну військових операцій у російсько-українській війні: в боротьбі за ініціативу / В.Ф. Залужний // zsu.gov.ua, 03.02.2024 - Режим доступу: https://www.zsu.gov.ua/2024/02/stattya-golovnokomaduvacha-zs-ukrayiny-generala-valeriya- zaluzhnogo-shhodo-suchasnogo-dyzajnu-vijskovyh-operaczij-u-rosijsko-ukrayinskij-vijni-v- b orotb i-za-iniczi atyvu/.

2. Захист кінцевих точок. - [https://iitd.com.ua]. - Режим доступу: https://iitd.com.ua/ zashchita-konechnyh-tochek/.

3. Експертні знання: EDR, XDR, NDR І MDR. - [https://b2b-cyber-security.de]. - Режим доступу: https://b2b-cyber-security.de/uk/expertenwissen-edr-xdr-ndr-und-mdr/.

4. Експертні знання: EDR, XDR, NDR І MDR. - [https://eska.global]. - Режим доступу: https://eska.global/blog/edr-erp-i-xdr-vasha-podmoga-v-zashite-konechnyh-tochek.

5. Постанова Кабінету Міністрів України “ Деякі питання забезпечення функціонування системи виявлення вразливостей і реагування на кіберінциденти та кібератаки” (зі змінами) від 23.12.2020 № 1295. - [https://zakon.rada.gov.ua]. - Режим доступу: https:// zakon.rada.gov.ua/laws/show/1295-2020-%D0%BF#Text

6. Cтаття “При Держспецзв'язку запрацював центр реагування на кіберзагрози” від 02.02.2018. - [https://www.ukrinform.ua]. - Режим доступу: https://www.ukrinform.ua/rubric- technology/2394827-pri-rnbo-zapracuvav-centr-reaguvanna-na-kiberzagrozi.html

7. Закон України “Про основні засади забезпечення кібербезпеки України” (зі змінами) від 05.10.2017 № 2163-VIII. - [https://zakon.rada.gov.ua]. - Режим доступу: https://zakon. rada.gov.ua/laws/show/2163-19#Text.

8. Експертний висновок замовлення на створення інформаційно-комунікаційних систем від 29.09.2023 №323/139-ЕВ.

References

1. Zaluzhniy, V.F. (2024). On the Modern Design of Military Operations in the Russian- Ukrainian War: In the Struggle for Initiative [On the Modern Design of Military Operations in the Russian-Ukrainian War: In the Struggle for Initiative]. zsu.gov.ua. Retrieved from https:// www.zsu.gov.ua/2024/02/stattya-golovnokomaduvacha-zs-ukrayiny-generala-valeriyazaluzhnogo- shhodo-suchasnogo-dyzaj nu-vij skovyh-operaczij -u-rosij sko-ukrayinskij -vij ni-v-borotbi-za- inicziatyvu/ [in Ukrainian].

3. Endpoint protection [Endpoint protection]. iitd.com.ua. Retrieved from https://iitd.com.ua/ zashchita-konechnyh-tochek/ [in Ukrainian].

4. Expert knowledge: EDR, XDR, NDR AND MDR [Expert knowledge: EDR, XDR, NDR AND MDR]. b2b-cyber-security.de. Retrieved from https://b2b-cyber-security.de/uk/expertenwissen - edr-xdr-ndr-und-mdr/ [in Germany].

5. Expert knowledge: EDR, XDR, NDR AND MDR [Expert knowledge: EDR, XDR, NDR AND MDR]. eska.global. Retrieved from https://eska.global/blog/edr-erp-i-xdr-vasha-podmoga- v-zashite-konechnyh-tochek/ [in Ukrainian].

6. Postanova Kabinetu Ministriv Ukrainy “Some issues of ensuring the functioning of the system of identifying and responding to cyber threats and cyber-attacks” (with changes) of 23.12.2020 № 1295 [Resolution of the Cabinet of Ministers of Ukraine “Some issues of ensuring the functioning of the system of identifying and responding to cyber threats and cyber-attacks” (with changes) of 23.12.2020 № 1295]. zakon.rada.gov.ua. Retrieved from https://zakon. rada.gov.ua/laws/show/1295-2020-%D0%BF#Text [in Ukrainian].

7. Article “The state secretary's office has established a center for responding to cyber threats” of 02.02.2018 [Paper “The state secretary's office has established a center for responding to cyber threats” of 02.02.2018]. ukrinform.ua. Retrieved from https://www.ukrinform.ua/rubric- technology/2394827-pri-rnbo-zapracuvav-centr-reaguvanna-na-kiberzagrozi.html [in Ukrainian].

8. Zakon Ukrainy “On the basic principles of ensuring Ukraine's cyber security” (with changes) of 05.10.2017 № 2163-VIII [The Law of Ukraine “On the basic principles of ensuring Ukraine's cyber security” (with changes) of 05.10.2017 № 2163-VIII]. zakon.rada.gov.ua. Retrieved from https://zakon.rada.gov.ua/laws/show/2163-19#Text. [in Ukrainian].

9. Expert Opinion of the tender for the creation of information and communication systems No. 323/139-ЕВ dated September 29, 2023 [in Ukrainian].

Размещено на Allbest.ru