Examining the crime prevention claims of crime prevention through environmental design on system-trespassing behaviors: a randomized experiment

Crime prevention through environmental design (CPTED) is a non-punitive method for reducing crime through the design of the built environment. The relevance of CPTED strategies however is less clear in the context of computing environments. Building upon prior research indicating that computing environments may change computer users’ behaviors, this study tests the effectiveness of CPTED based approaches in mitigating system trespassing events. Findings from this randomized controlled field trial demonstrate that specific CPTED strategies can mitigate hacking events by: reducing the number of concurrent activities on the target computer, attenuating the number of commands typed in the attacked computer, and decreasing the likelihood of hackers returning to a previously hacked environment. Our findings suggest some novel and readily implemented strategies for reducing cybercrime

Honeypots : l'art de la Guerra

En el present projecte es pretén implementar i configurar diversos Honeypots per tal de poder analitzar els atacs que esperem rebre i així observar com es reacciona davant d'aquests. Basant-nos en els resultats obtinguts comprovarem si els Honeypots realment ens ajuden en la detecció i prevenció d'atacs i, per tant, si són una eina amb la qual podem mantenir de forma continua la seguretat del nostre sistema. Arran dels resultats que obtindrem de la realització dels atacs, es realitzarà un anàlisi per determinar si realment és òptim per una empresa dedicar el seu temps i els seus recursos en la implementació d'un Honeypot.En el presente proyecto se pretende implementar y configurar varios Honeypots para poder analizar los ataques que esperamos recibir y así observar cómo se reacciona ante estos. Basándonos en los resultados obtenidos comprobaremos si los Honeypots realmente nos ayudan en la detección y prevención de ataques y, por tanto, si son una herramienta con la que podemos mantener la seguridad de nuestro sistema. A raíz de los resultados que obtengamos de la realización de los ataques, se realizará un análisis para determinar si es óptimo para una empresa dedicar su tiempo y sus recursos en la implementación de un Honeypot.The present project seeks to implement and configure various Honeypots in order to analyze the attacks we expect to receive and to see how they react to them. Based on the results obtained we will check if the Honeypots really help us in the detection and prevention of attacks and, therefore, if it's a tool with which we can maintain the security of our system. Based on the results obtained from the attacks, an analysis will be performed to determine if it's really optimal for a company to spend their time and resources on implementing a Honeypot

Three Decades of Deception Techniques in Active Cyber Defense -- Retrospect and Outlook

Deception techniques have been widely seen as a game changer in cyber defense. In this paper, we review representative techniques in honeypots, honeytokens, and moving target defense, spanning from the late 1980s to the year 2021. Techniques from these three domains complement with each other and may be leveraged to build a holistic deception based defense. However, to the best of our knowledge, there has not been a work that provides a systematic retrospect of these three domains all together and investigates their integrated usage for orchestrated deceptions. Our paper aims to fill this gap. By utilizing a tailored cyber kill chain model which can reflect the current threat landscape and a four-layer deception stack, a two-dimensional taxonomy is developed, based on which the deception techniques are classified. The taxonomy literally answers which phases of a cyber attack campaign the techniques can disrupt and which layers of the deception stack they belong to. Cyber defenders may use the taxonomy as a reference to design an organized and comprehensive deception plan, or to prioritize deception efforts for a budget conscious solution. We also discuss two important points for achieving active and resilient cyber defense, namely deception in depth and deception lifecycle, where several notable proposals are illustrated. Finally, some outlooks on future research directions are presented, including dynamic integration of different deception techniques, quantified deception effects and deception operation cost, hardware-supported deception techniques, as well as techniques developed based on better understanding of the human element.Comment: 19 page

Nuevas perspectivas en el estudio de amenazas persistentes avanzadas

[ES] Una amenaza persistente avanzada es un ataque sofisticado, dirigido, selectivo y personalizado, que representa un riesgo para todas las organizaciones, especialmente aquellas que gestionan datos confidenciales o son infraestructuras críticas. En los últimos años, el análisis de estas amenazas ha llamado la atención de la comunidad científica; los investigadores han estudiado el comportamiento de esta amenaza para crear modelos y herramientas que permitan la detección temprana de estos ataques. El uso de la inteligencia artificial y el aprendizaje automático pueden ayudar a detectar, alertar y predecir automáticamente este tipo de amenazas y reducir el tiempo que el atacante puede permanecer en la red de la organización. El objetivo de esta tesis es desarrollar un modelo teórico que permita detectarlas amenazas persistentes avanzadas de manera temprana, basado en el ciclo de vida del ataque y utilizando métodos y técnicas de aprendizaje automático. La metodología que se ha seguido para la realización de este trabajo comenzó con una revisión bibliográfica de los conceptos de amenaza persistente avanzada y de las aplicaciones de detección en el contexto de la ciberseguridad. Además, se analizaron los ciclos de vida existentes que explican el proceso que siguen estas amenazas durante su ejecución. Posteriormente, se desarrolló un modelo para la detección temprana de las amenazas persistentes avanzadas basado en un ciclo de vida de 6 etapas, que han sido divididas en etapas activas, pasivas y recurrentes; además, se han utilizado técnicas de aprendizaje automático para la detección de URL maliciosas, phishing y anomalías en la red. En conclusión, los ataques de amenazas persistentes avanzadas son difíciles de detectar debido a la capacidad y los recursos con los que cuentan los grupos que las desarrollan. El objetivo de estos ataques es permanecer activos el mayor tiempo posible durante la ejecución de la intrusión. Uno de los problemas detectados durante la realización de este trabajo ha sido que no se encuentran disponibles conjuntos de datos reales que permitan el entrenamiento de los algoritmos de aprendizaje automático de forma eficiente, por lo que ha sido necesario crear conjuntos de datos semi reales a partir de muestras de malware. Finalmente, como trabajo futuro, se recomienda que el modelo que ha sido propuesto en este trabajo sea probado en un entorno informático controlado, para evitar ocasionar perjuicios