CRUSOE 1.1: A Toolset for Cyber Situational Awareness and Decision Support in Incident Handling Inspired by the OODA Loop

Kód výsledku v IS VaVaI

<a href="https://www.isvavai.cz/riv?ss=detail&h=RIV%2F00216224%3A14610%2F24%3A00138555" target="_blank" >RIV/00216224:14610/24:00138555 - isvavai.cz</a>

Výsledek na webu

<a href="https://github.com/CSIRT-MU/CRUSOE" target="_blank" >https://github.com/CSIRT-MU/CRUSOE</a>

DOI - Digital Object Identifier

—

Jazyk výsledku

angličtina

Název v původním jazyce

CRUSOE 1.1: A Toolset for Cyber Situational Awareness and Decision Support in Incident Handling Inspired by the OODA Loop

Popis výsledku v původním jazyce

The growing size and complexity of today's computer network make it hard to achieve and maintain so-called cyber situational awareness, i.e., the ability to perceive and comprehend the cyber environment and be able to project the situation in the near future. The cybersecurity teams and operation centers should be aware of the security situation in the network to effectively prevent or mitigate cyber attacks and avoid mistakes in the process. The CRUSOE toolset supports the cybersecurity teams in iterating through the OODA loop (Observe, Orient, Decide, Act) and achieving cyber situational awareness in a large and heterogeneous environment. CRUSOE toolset in the 1.1 version composes of the tools developed in the project of the same name, but was extended with novel features. The first public version used a combination of active and passive network monitoring to enumerate cyber assets and discover their vulnerabilities, visualize the collected data in a dashboard, conduct a risk assessment to recommend the most resilient infrastructure configuration, and facilitate attack mitigation. It also used novel approaches, such as a graph database for storing the data on cyber assets, which essentially became a knowledge graph for network security management. In the recent development, additional recommender systems and attack impact assessment capabilities and their visualizations were implemented. Further, the deployment was automated and several sample datasets were created to facilitate the demonstration of the toolset.

Název v anglickém jazyce

CRUSOE 1.1: A Toolset for Cyber Situational Awareness and Decision Support in Incident Handling Inspired by the OODA Loop

Popis výsledku anglicky

The growing size and complexity of today's computer network make it hard to achieve and maintain so-called cyber situational awareness, i.e., the ability to perceive and comprehend the cyber environment and be able to project the situation in the near future. The cybersecurity teams and operation centers should be aware of the security situation in the network to effectively prevent or mitigate cyber attacks and avoid mistakes in the process. The CRUSOE toolset supports the cybersecurity teams in iterating through the OODA loop (Observe, Orient, Decide, Act) and achieving cyber situational awareness in a large and heterogeneous environment. CRUSOE toolset in the 1.1 version composes of the tools developed in the project of the same name, but was extended with novel features. The first public version used a combination of active and passive network monitoring to enumerate cyber assets and discover their vulnerabilities, visualize the collected data in a dashboard, conduct a risk assessment to recommend the most resilient infrastructure configuration, and facilitate attack mitigation. It also used novel approaches, such as a graph database for storing the data on cyber assets, which essentially became a knowledge graph for network security management. In the recent development, additional recommender systems and attack impact assessment capabilities and their visualizations were implemented. Further, the deployment was automated and several sample datasets were created to facilitate the demonstration of the toolset.

Druh

R - Software

CEP obor

—

OECD FORD obor

10200 - Computer and information sciences

Projekt

<a href="/cs/project/EH22_010%2F0003229" target="_blank" >EH22_010/0003229: MSCAfellow5_MUNI</a><br>

Návaznosti

P - Projekt vyzkumu a vyvoje financovany z verejnych zdroju (s odkazem do CEP)

Rok uplatnění

2024

Kód důvěrnosti údajů

S - Úplné a pravdivé údaje o projektu nepodléhají ochraně podle zvláštních právních předpisů

Interní identifikační kód produktu

CRUSOE 1.1

Technické parametry

Software implementuje sadu algoritmů pro sběr dat o počítačové síti a podporu rozhodování kyberbezpečnostního týmu. Software propojuje různé datové zdroje poskytující informace o zařízeních v síti a jejich zranitelnostech. Uživatelé tak nemusí aktivně sledovat hlášení o zranitelnostech a ručně vyhledávat zranitelné prvky infrastruktury, ale dostanou k dispozici automaticky generovaný soupis aktivních prvků v síti s vyznačením prvků zranitelných, případně potenciálně zranitelných. Dalším vstupem je formální reprezentace služeb, které zajišťují kritické procesy pro organizaci provozující danou počítačovou síť nebo informační systém, a jejich mapování na zařízení a služby v síti. Díky těmto informacím dokáže software navrhnout nejodolnější konfiguraci počítačových infrastruktur vzhledem k potřebám organizace. Software dále implementuje doporučovací systém pro odhad šíření útoku v počítačové síti, webové rozhraní s vizualizacemi a jednotné rozhraní pro ovládání aktivních síťových prvků sloužících k mitigaci útoků

Ekonomické parametry

Tržní segment představují organizace, které provozují kritickou informační infrastrukturu nebo jinou infrastrukturu s vysokými požadavky na důvěrnost, dostupnost a integritu, případně organizace provozující vlastní kyberbzepčnostní tým (CSIRT/CERT) nebo operační centrum (SOC), případně zprostředkovávají kybernetickou bezpečnost jako službu. Výsledek umožňuje uživatelům a provozovatelům sítí a služeb získat rychlý přehled o aktuálním stavu chráněné sítě, zejména pak o výskytu zranitelností v síti. Software umožňuje uživatelům rychlejší orientaci při řešení bezpečnostního incidentu a poskytuje potřebná data pro rozhodování o prioritizaci incidentů a jejich řešení. Výsledek tak přináší úsporu v čase řešení kyberbezpečnostních problémů, což snižuje nároky na lidské zdroje, případně umožňuje uživatelům zvládat více úkolů za stejný čas. Výsledek tak zkracuje dobu reakce na kyberbezpečnostní incident, čímž přispívá k obecnému zvýšení úrovně kyberbezpečnosti v organizaci. Využití výsledku je licencováno bez poplatku.

IČO vlastníka výsledku

00216224

Název vlastníka

Masarykova univerzita