Αποτελεσματική διοικητική υποστήριξη ασφαλείας δικτύων και επικοινωνιών: αναγνώριση και αντιμετώπιση περιστατικών

Abstract

This work approaches a series of issues related to security incident identification and response, as well as the capability of information technology and communication systems security through effective management and technical mechanisms. We initially propose a taxonomy that includes the main concepts of the research area, by defining relative terminology and examining the interrelationships between the basic terms. We discuss in detail the main issues of incident identification and response within a corporate environment, while we propose a management framework based on academic and applied research, as well as international best practices, security standards and technical implementations. Furthermore, we propose a structured methodology and discuss in detail every distinct phase of this methodology. Furthermore, we approach the technical issues related to incident identification and response, while we propose and discuss in detail the requirements of an incident identification and response system. We then propose and present the Incident Response Intelligence System - IRIS, a system performing topological analysis to vulnerabilities identified by associated tools, scoring their significance with a standardized method, while also correlates the relative exploit code and defines the corresponding intrusion detection signatures for these vulnerabilities Finally, we evaluate IRIS implementation against the design specifications, present and discuss a series of experimental data and we evaluate IRIS functionality in real world scenarios.

Στη διατριβή αυτή εξετάζεται το πρόβλημα της αναγνώρισης και αντιμετώπισης περιστατικών ασφάλειας και προσεγγίζεται η δυνατότητα διασφάλισης υπολογιστικών και δικτυακών επικοινωνιών προτείνοντας διοικητικές και τεχνικές προσεγγίσεις που βασίζονται σε μια σειρά μηχανισμών και μεθοδολογιών ασφάλειας. Αρχικά παρουσιάζεται μια εννοιολογική θεμελίωση για το σύνολο των όρων που χρησιμοποιούνται στην ερευνητική περιοχή της αντιμετώπισης περιστατικών ασφάλειας, μέσα από μια ταξονομία που κατηγοριοποιεί τους όρους αυτούς, καθώς και τις μεταξύ τους συσχετίσεις. Στη συνέχεια αναλύονται εκτενώς τα ζητήματα αντιμετώπισης περιστατικών ασφάλειας πληροφοριών σε ένα εταιρικό περιβάλλον, ενώ προτείνεται ένα πρότυπο διοικητικό μοντέλο που βασίζεται τόσο σε ακαδημαϊκή όσο και σε εφαρμοστέα έρευνα, όσο και σε βέλτιστες διεθνείς πρακτικές , πρότυπα ασφάλειας πληροφοριών και τεχνολογικές υλοποιήσεις. Επίσης, προτείνεται μια δομημένη μεθοδολογία για το χειρισμό περιστατικών ασφάλειας και παρουσιάζονται αναλυτικά οι διάφορες φάσεις της συγκεκριμένης μεθοδολογίας. Στη συνέχεια, προσεγγίζεται η επίλυση τεχνικών ζητημάτων στην αντιμετώπιση περιστατικών ασφάλειας, μέσω καθορισμού των απαραίτητων πληροφοριών ασφάλειας, ενώ προτείνονται και αναλύονται εκτενώς οι απαιτήσεις ενός συστήματος αντιμετώπισης περιστατικών. Προτείνεται και παρουσιάζεται το Σύστημα Ευφυούς Αντιμετώπισης Περιστατικών (Incident Response Intelligence System - IRIS) το οποίο κατανοεί το γενικότερο περιβάλλον των αδυναμιών ασφάλειας που ανακαλύπτονται από εργαλεία αυτόματης αξιολόγησης επικινδυνότητας, βαθμολογεί τη σημαντικότητα τους με προτυποποιημένο τρόπο, βρίσκει και συσχετίζει τον κώδικα αθέμιτης εκμετάλλευσης που σχετίζεται με αυτές τις αδυναμίες και καθορίζει τις απαραίτητες υπογραφές ανίχνευσης παρεισφρήσεων. Τέλος, αξιολογείται η ορθότητα της υλοποίησης του IRIS, παρουσιάζονται και αξιολογούνται μια σειρά από πειραματικά δεδομένα για τον έλεγχο των αποτελεσμάτων του συστήματος και αξιολογείται η λειτουργία του IRIS σε πραγματικό περιβάλλον.