Improving Cybersecurity Incident Analysis Workflow with Analytical Provenance

Logo poskytovatele
Autoři

RUSŇÁK Vít JANEČKOVÁ Lenka DRGOŇ Filip DOMBAJOVÁ Anna-Marie KUDĚLKOVÁ Veronika

Rok publikování 2022
Druh Článek ve sborníku
Fakulta / Pracoviště MU

Ústav výpočetní techniky

Citace
Klíčová slova cybersecurity, incident analysis, analytical provenance, explorative data analysis
Přiložené soubory
Popis Analýza kybernetických bezpečnostních incidentů je průzkumný proces založený na datech ze záznamů a protokolů z nástrojů pro monitorování sítě. Tento proces je málokdy lineární a často se rozpadá do několika větví vyšetřování. Analytici dokumentují všechny kroky a získané poznatky a navrhují zmírnění. Současné nástroje však poskytují pouze omezenou podporu pro analytickou provenienci. V důsledku toho musí analytici zaznamenávat všechny podrobnosti týkající se provedených kroků a poznámek do samostatných dokumentů. Takový postup zvyšuje jejich kognitivní nároky a je přirozeně náchylný k chybám. Tento článek navrhuje koncepční návrh analytického nástroje implementujícího prostředky analytické provenience do pracovních postupů analýzy kybernetických bezpečnostních incidentů. Identifikovali jsme požadavky uživatelů a navrhli a implementovali prototyp aplikace Incident Analyzer, která je důkazem konceptu. Kvalitativní zpětná vazba od čtyř odborníků z dané oblasti potvrdila, že náš přístup je slibný a může výrazně zlepšit současné postupy analýzy kybernetických a síťových incidentů.
Související projekty:

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.

Další info