Похожие презентации:
Темы проектных практикумов. Осенний семестр 2023. UDV Group
1.
Темы проектных практикумовОсенний семестр 2023
UDV Group
2.
Обнаружение аномальной активности сетевых узлов (безагентный EDR)Описание проекта
В информационной безопасности технологических процессов и предприятий является важным возможность обнаружения отклонения от
нормального поведения в сетях АСУТП и IoT, при этом есть требование к сохранению целостности защищаемой системы, поэтому опираться
можно только на копию сетевого трафика.
Для реализации совместно с куратором проекта от UDV Group будет выбран один из перечисленных ниже методов (также возможно, что будет
выбран какой-то иной метод по результатам предварительного совместного обсуждения задачи):
импульсная нейронная сеть для создания эмбеддингов и Байесовская сеть для принятия решения;
автокодировщик на основе LSTM;
оконный OCSVM для полезной нагрузки;
Команда проекта должна будет изучить выбранный метод (куратором проекта будет предложена литература) и реализовать его в виде Jupyterноутбука на Python. Для заданного дампа сетевого трафика нужно будет оценить качество работы разработанного прототипа. Разработанное
решение может быть применено в продукте Thymus (https://cyberlympha.ru/products/cl-thymus).
В проекте большая научно-исследовательская составляющая, результаты могут быть использованы для написания статей и дипломов.
Цель
Разработать метод обнаружения атак «нулевого дня» в сетях АСУ ТП и IoT.
Результат (продукт)
Jupyter-ноутбук, реализующий метод обнаружения аномальной сетевой активности. Конкретный метод будет выбран по согласованию с
руководителем проекта
3.
Изучение и прототип использования инструмента NetzobОписание проекта
В сетях АСУТП и IoT встречаются протоколы, спецификация которых неизвестна. Для их анализа применяются
методы APRE (Automatic Protocol Reverse Engineering), один из вариантов реализован в продукте CyberLympha
Thymus (https://cyberlympha.ru/products/cl-thymus).
Для повышения качества работы Thymus требуется изучить открытое программное обеспечение Netzob
(https://github.com/netzob/netzob), оценить качество его работы на заданном дампе трафика. Изученные идеи
реализовать в виде программного кода.
Разработанное решение может быть применено в продукте CyberLympha Thymus.
В проекте большая научно-исследовательская составляющая, результаты могут быть использованы для написания
статей и дипломов.
Цель
Реализован метод восстановления структуры сетевого трафика с нулевым априорным знанием, используемый
Netzob
Результат (продукт)
Jupyter-ноутбук на Python, реализующий метод реверс-инжиниринга сетевого трафика «Netzob»
4.
Изучение и прототип использования инструмента NEMESYS (NEMETYL)Описание проекта
В сетях АСУТП и IoT встречаются протоколы, спецификация которых неизвестна. Для их анализа применяются
методы APRE (Automatic Protocol Reverse Engineering), один из вариантов реализован в продукте CyberLympha
Thymus (https://cyberlympha.ru/products/cl-thymus/).
Для повышения качества работы Thymus требуется изучить и реализовать метод NEMESYS (NEMETYL)
(https://github.com/vs-uulm/nemesys), оценить качество его работы на заданном дампе трафика.
Разработанное решение может быть применено в продукте CyberLympha Thymus.
В проекте большая научно-исследовательская составляющая, результаты могут быть использованы для написания
статей и дипломов.
Цель
Реализован метод восстановления структуры сетевого трафика с нулевым априорным знанием, используемый
NEMESYS (NEMETYL)
Результат (продукт)
Jupyter-ноутбук на Python, реализующий метод реверс-инжиниринга сетевого трафика NEMESYS (NEMETYL)
5.
Создание задач для CTFОписание проекта
Соревновательный формат CTF (Capture The Flag) используется для практического освоения навыков кибербезопасности, сетевых технологий ИТ и
других. Существуют различные платформы, предлагающие практические задачи с возрастающим уровнем сложности, например: Hack The Box
(https://www.hackthebox.eu), Try2Hack (http://www.try2hack.nl), Smash The Stack (http://smashthestack.org/wargames.html), Root Me (https://www.rootme.org), Defend the Web (https://defendtheweb.net).
В лаборатории кибербезопаности NEO Lab ИРИТ РТФ УрФУ уже существует инфраструктура и программное обеспечение, которое можно использовать
для создания задач: образы типовых систем, гипервизор Proxmox, аппаратные серверы и СХД. Также разработан прототип информационной системы,
обеспечивающей автоматизацию работы с инфраструктурой (автоматизированное развертывание необходимого ПО) через пользовательский
графический интерфейс.
Задача проекта состоит в создании новых оригинальных сценариев задач CTF, их реализации в виде образов виртуальных машин, docker-контейнеров
или скриптов автоматизации развертывания (ansible, teraform) и интеграции в платформу NEO Lab LMS. Планируется привлечение в проект команд УГИ
УрФУ для придумывания оригинальных содержательных сценариев с ролевыми моделями, в этом случае можно объединить усилия с внешней
командой сценаристов, обеспечивая техническую реализацию сценария.
Цель
Создание оригинальных задач CTF различного уровня сложности и их интеграция в платформу NEO Lab LMS.
Результат
Придуман сценарий, создана инфраструктура для задачи (образ виртуальной машины, docker-контейнер, крипты автоматизации развертывания),
выполнена интеграция с NEO Lab LMS, проведены испытания.
Максимальное количество экземпляров проекта
До 15 студентов (каждый минимум по одной задаче).
6.
Изучение инструментов эмуляции инфраструктуры для задач NEO Lab LMSЦель
Изучить и применить на практике программное обеспечение для эмуляции различных элементов ИТ-инфраструктуры предприятия на
оборудовании лаборатории кибербезопасности ИРИТ РТФ УрФУ.
Результат
От участников проекта ожидается выполнение следующих задач:
1. Подобрать программное обеспечение для эмуляции ИТ-оборудования и сервисов.
2. Установить и настроить программное обеспечение.
3. Оказать содействие в интеграции изученного программного обеспечения в общую систему лаборатории кибербезопасности ИРИТ РТФ
УрФУ для создания комбинированных стендов с эмуляцией комплексной ИТ-инфраструктуры типового предприятия.
4. Написать инструкцию по использованию эмулятора.
5. Провести демонстрацию.
Критерии приемки: настроено программное обеспечение, написана документация, проведена презентация.
Описание проекта
Задача проекта состоит в исследовании и применении отдельных компонентов общего стенда для эмуляции работы комплексной системы.
Для этого необходимо использовать эмуляторы различных устройств, например:
Межсетевые экраны,
Маршрутизаторы,
Криптошлюзы,
Коммутаторы разного уровня,
Рабочие станции Linux, Windows
Системы управления ИБП,
Программируемые логические контроллеры.
7.
Создание киберполигона SOC в лаборатории кибербезопасности NEO LabЦель
Выполнение проекта связано с изучением работы центров реагирования на события информационной безопасности SOC (содержание работы, задачи, программное
обеспечение) и создании на базе NEO Lab (лаборатория кибербезопасности ИРИТ РТФ УрФУ) стенда SOC и виртуальной инфраструктуры защищаемого объекта, с
возможностью автоматизированной генерации событий для мониторинга и анализа в SOC.
Результат (продукт)
Изучена информация о работе SOC
Изучены типовые инструмента, применяемые в SOC
Изучены программные продукты, используемые в SOC УЦСБ, сценарии их применения
В лаборатории кибербезопасности NEO Lab в ИРИТ РТФ УрФУ
o создана виртуальная инфраструктура SOC, установлено и настроено программное обеспечение, написана инструкция по развертыванию
o создана виртуальная инфраструктура защищаемого объекта, небольшого предприятия, с эмуляцией основных компонентов: АРМ, серверы, оборудование
o реализованы скрипты автоматизации для имитации действий людей и оборудования
o реализованы скрипты для злонамеренных действий
o виртуальная среда защищаемого предприятия поставлена на мониторинг SOC, реализованы сценарии обнаружения злонамеренных действий, инцидентов.
Описание проекта
Security Operation Center (SOC) это подразделение, занимающееся выявлением инцидентов информационной безопасности и реагированием на них. Специалисты SOC
анализируют информацию, поступающую от систем мониторинга безопасности (EDR/XDR, SIEM, IDS/IPS, WAF, и другие), а также агрегированную и обработанную
информацию (нормализация, корреляция) и принимают решение о подтверждении наличия инцидента и принятии мер реагирования. Обычно специалисты SOC
делятся на несколько уровней поддержки:
специалисты 1-й линии: это служба круглосуточного (как правило именно такой формат зафиксирован в соглашении о качестве поддержки, SLA, Service Level
Agreement) мониторинга самые, они первые обнаруживают инцидент, первично его анализируют, отсеивают ложные сработки (False Positive), по возможности
(если инцидент типовой) реагируют в соответствии с инструкциями о поддержке (например, уведомляют заказчика), если инцидент
нетипичный/сложный/относится к конкретному продукту/специфичен для конкретного заказчика, то его передают на следующие линии,
специалисты 2-й линии осуществляют более глубокий анализ инцидента, занимаются нетипичными инцидентами, для которых не существует инструкций первой
линии поддержки, как правило, на этом уровне есть специализация по конкретным продуктам или направлениям, инциденты распределяются для анализа с
учетом экспертизы специалистов,
специалисты 3-й линии подключаются в ситуации, когда зафиксировано аномальное, подозрительное, но необъяснимое существующими правилами поведение,
они участвуют в расследовании инцидентов, в реагировании на нетипичные инциденты, в аудите и настройке систем защиты.
SOC компании «УЦСБ» выполняет задачи с использованием различного программного обеспечения, в том числе производства UDV Group (DataPK, eplat4m). В рамках
проекта необходимо воссоздать стенд SOC УЦСБ на оборудовании лаборатории кибербезопасности NEO Lab в ИРИТ РТФ УрФУ, а также виртуальную структуру
защищаемого предприятия. На созданном стенде необходимо провести эксперименты, реализовать несколько сценариев, демонстрирующих работу SOC.
Выполненную работу необходимо документировать, обеспечивая возможность быстрого развертывания подобной системы в будущем.
8.
Установка, настройка и использование макета DataPKОписание проекта
Продукт «DataPK» является одним из основных в продуктовой линейке UDV Group, предназначен для сбора и анализа сетевых данных для
выявления киберугроз. DataPK используется во многих компаниях для мониторинга и анализа событий кибербезопасности, например, является
важной частью Security Operation Center компании «УЦСБ».
При выполнении проекта потребуется изучить документацию DataPK, установить и настроить программное обеспечение DataPK на виртуальные
серверы в лаборатории кибербезопасности ИРИТ РТФ УрФУ, создать инфраструктуру для мониторинга и несколько типовый сценариев
применения DataPK на практике.
При успешной реализации этапа развертывания и применения DataPK команда проекта можем перейти к более сложной задаче воссоздания
инфраструктуры технологического предприятия, мониторинг которого осуществляется в SOC, в т.ч. с применением DataPK. При этом
понадобится применять средства автоматизации действий пользователей и систем для симуляции рабочего трафика, а также генерировать
злонамеренные ситуации (сбои в работе систем, атаки) для их отслеживания в DataPK.
Цель
Установить и настроить программное обеспечение DataPK в лаборатории кибербезопасности ИРИТ РТФ УрФУ (ауд Р-443), изучить
документацию.
Создать инфраструктуру для реализации нескольких типовых сценариев применения (желательно из области безопасности АСУТП).
Сохранить созданную инфраструктуру и документацию в виде лабораторной работы для будущего использования в ИРИТ РТФ.
Представить полученные результаты.
Результат (продукт)
Установленное и настроенное ПО ДатаПК
Готовая инфраструктура для эксплуатации ДатаПК
Сохраненные образы и документация лабораторной работы
Презентация на митапе UDV Group и заготовка статьи на habr.