Magazín KPI
Časopis Katedry počítačov a informatiky FEI TUKE
kpi

Téma: HELK

Detekcia ransomvéru SIEM systémom HELK

Médiami často prebiehajú správy o opätovných útokoch ransomvérom, pri ktorých došlo k zašifrovaniu dôležitých dát, kľúčových pre fungovanie súkromnej spoločnosti, štátnej inštitúcie, alebo inej spoločenskej organizácie. Útočníkmi sú potom požadované obrovské sumy peňazí pre výmenu za šifrovací kľúč, ktorým je možné dáta odšifrovať a takto získať späť. V tomto článku je popísané riešenie detekcie ransomvéru pomocou SIEM systému HELK, pomocou ktorého bola dosiahnutá citlivosť detekcie 65,22% a špecifickosť 100%. Riešenie bolo vytvorené v rámci diplomovej práce „Detekcia bezpečnostných hrozieb“.

SIEM systém HELK

SIEM (Security information and event management) systémy slúžia na zbieranie bezpečnostných dát zo sieťových zariadení, serverov, osobných počítačov a iných zariadení. Vykonávajú ich normalizáciu, agregáciu a analýzy s cieľom objavovať trendy a detegovať ohrozenia. Týmto spôsobom je možné včas odhaliť ohrozenie bezpečnosti a zmierniť následky prienikov. Tento článok sa venuje popisu, inštalácii a ukážke niektorých funkcií systému HELK (The Hunting ELK). Jedná sa o open source SIEM systém, ktorý ako základ využíva ELK stack, ale navyše umožňuje pokročilú analýzu dát.