Simulering av APT-grupper og innhenting av Windows logger

FFI jobber med anvendte problemstillinger innenfor datadrevet deteksjon av cyberangrep, og har tett samarbeid med både Forsvaret og andre nasjonale miljø for håndtering av hendelser i det digitale rom. En utfording her er tilgang på "merkede datasett" (hvor alle datapunktene er merket som normal eller mistenkelig) som kan brukes til å trene opp en maskinlæringsmodell for deteksjon. En måte man kan oppnå dette er ved å simularere angrep og samtidig merke data som logges. Dette masterprosjektet fokuserer på å legge til rette for deteksjon av Advanced Persistent Threats (APT)-grupper gjennom simulering av Windows-relevante angrepsteknikker og innhenting av endepunkt-logger (som merkes). Dette presenterer en rekke utfordringer som omfatter: Evaluering av programvarens evne til å emulere APT-grupper med tilgjengelige angrepsteknikker, definering av hvilken infrastruktur som dette krever, hvilken endepunkt-baserte datakilder som bør samles inn, hvordan dette skal samles inn og hvordan oppnå merking med god nok granularitet.