Datordrošības automatizācija ar incidentu reaģēšanas platformām, izmantojot atvērtā koda rīkus

Abstract

Datordrošības incidentu novēršana joprojām ir lielākoties manuāls process. Daļa no manuālajiem uzdevumiem ir ļoti ikdienišķi un pat administrēšanas uzdevumi. Viens no datordrošības produktiem, kas tiecas palielināt speciālistu efektivitāti un piedāvā lielu funkcionalitāti reaģēšanai uz incidentiem, ir incidentu reaģēšanas platformas. Šajā darbā tiek apskatītas komerciālās incidentu reaģēšanas platformas un trīs alternatīvas starp atvērtā koda rīkiem – The Hive, SCOT un Cyphon. Darba mērķis ir noskaidrot, vai ar atvērtā koda rīkiem ir iespējams izveidot alternatīvu komerciālajām incidentu reaģēšanas platformām. Testējot atvērtā koda incidentu reaģēšanas platformas, tajās atklājās vairākas problēmas, kuras jārisina, platformas paplašinot vai arī arhitektūrā ieviešot papildu starpprogrammatūru.

There are still many manual processes in Cyber security incident remediation. Part of manual tasks are casual every day taks and even administration tasks. Incident response platform is one of cyber security products which seeks to increase effiency of experts and offers big functionality for incident responders. This work examines the commercial incident response platforms and three open source alternatives – The Hive, SCOT un Cyphon. The objective of this work is to find out whether there is possibility to make complete open source alternative for commercial incident response platforms. Testing of open source incident response platforms helped to find out several problems which can be solved by extending platforms or by adding additional middleware to systems where platform is used in.