РОЗРОБКА ТЕСТОВОГО СЕРЕДОВИЩА ДЛЯ ПЕРЕВІРКИ ЕФЕКТИВНОСТІ ВПРОВАДЖЕНИХ ЗАХОДІВ БЕЗПЕКИ НА РІВНІ ДОДАТКІВ

Євгеній Скуратовський; Андрій Аносов; Валерій Козачок; Зореслава Бржевська

doi:10.28925/2663-4023.2025.30.954

Автор(и)

Євгеній Скуратовський Київський столичний університет імені Бориса Грінченка https://orcid.org/0000-0002-2973-6033
Андрій Аносов Київський столичний університет імені Бориса Грінченка https://orcid.org/0000-0002-2973-6033
Валерій Козачок Київський столичний університет імені Бориса Грінченка https://orcid.org/0000-0003-0072-2567
Зореслава Бржевська Київський столичний університет імені Бориса Грінченка https://orcid.org/0000-0002-7029-9525

DOI:

https://doi.org/10.28925/2663-4023.2025.30.954

Ключові слова:

методи забезпечення безпеки, веб-додаток, API-інтерфейса, мікросерверна архітектура, механізми контролю доступу, моніторинг активності користувачів, тестове середовище, рівень додатків, ефективність заходів безпеки.

Анотація

У статті розглядається проблема забезпечення кібербезпеки корпоративних інформаційно-комунікаційних систем на рівні додатків, де зосереджується найбільша кількість сучасних атак. Автори підкреслюють обмеженість традиційних засобів, таких як мережеві брандмауери чи антивірусне ПЗ, у протидії загрозам, що експлуатують уразливості веб-додатків, API та мікросервісної архітектури. Обґрунтовано необхідність створення тестового середовища, яке дозволяє комплексно перевіряти ефективність упроваджених механізмів захисту, включно з контролем доступу, шифруванням, моніторингом активності користувачів, виявленням та запобіганням уразливостям, а також реагуванням на інциденти в режимі реального часу. Запропонована модель середовища побудована на базі віртуалізації із використанням VMware Workstation Pro та Oracle VirtualBox і включає три логічні зони (DMZ, внутрішню мережу та інструментальну). Використання інструментів Burp Suite, OWASP ZAP, sqlmap, Splunk, Wazuh, Metasploit забезпечує проведення як активного пентестування, так і пасивного моніторингу. У середовищі реалізовано сценарії типових атак (SQL-ін’єкції, XSS, CSRF, brute force, мережеве сканування тощо), що дозволяє оцінити точність виявлення загроз, рівень хибнопозитивних спрацювань, продуктивність системи та інтеграцію різних засобів. Середовище відповідає міжнародним стандартам ISO/IEC 27001 та NIST SP 800-53, а його ключовими перевагами є гнучкість у масштабуванні, відтворюваність експериментів і можливість застосування як у наукових дослідженнях, так і в освітньому процесі. Результати підтверджують доцільність інтеграції концепції DevSecOps і сучасних технологій SIEM, XDR, SOAR для підвищення рівня захисту додатків. Запропонований підхід формує надійну основу для оцінювання та вдосконалення заходів кіберзахисту в умовах реальних корпоративних середовищ.

Завантаження

Дані завантаження ще не доступні.

Посилання

Kostiuk, Yu. V., Skladannyi, P. M., Bebeshko, B. T., Khorolska, K. V., Rzaieva, S. L., & Vorokhob, M. V. (2025). Information and communication systems security. [Textbook] Kyiv: Borys Grinchenko Kyiv Metropolitan University.

Kostiuk, Yu. V., Skladannyi, P. M., Hulak, H. M., Bebeshko, B. T., Khorolska, K. V., & Rzaieva, S. L. (2025). Information security systems. [Textbook] Kyiv: Borys Grinchenko Kyiv Metropolitan University.

Hulak, H. M., Zhyltsov, O. B., Kyrychok, R. V., Korshun, N. V., & Skladannyi, P. M. (2023). Enterprise information and cyber security. [Textbook] Kyiv: Borys Grinchenko Kyiv Metropolitan University.

Netwave. (n.d.). Zakhyst korporatyvnykh merezh vid zahroz: zasoby ta metody [Protection of corporate networks from threats: tools and methods]. Retrieved from https://netwave.ua/zahist-korporativnih-merezh-vid-zagroz-zasobi-ta-metodi/

Pidruchnyky dlia vuziv onlain. (n.d.). Bezpeka informatsiinykh system [Information systems security]. Retrieved from https://pidru4niki.com/74227/informatika/bezpeka_informatsiynih_sistem

OWASP. (2024). OWASP Top Ten Security Risks. Retrieved from https://owasp.org/www-project-top-ten/

The MITRE Corporation. (2024). CWE – Common Weakness Enumeration. Retrieved from https://cwe.mitre.org/

National Institute of Standards and Technology (NIST). (2024). National Vulnerability Database (NVD). Retrieved from https://nvd.nist.gov

SANS Institute. (2024). Application security risks. Retrieved from https://www.sans.org/top25-software-errors

Microsoft. (2024). Microsoft Security Development Lifecycle (SDL). Retrieved from https://www.microsoft.com/security/blog/security-development-lifecycle/

OWASP. (2024). Input validation in web applications. Retrieved from https://owasp.org/www-project-input-validation/

NIST. (2024). Digital identity guidelines (SP 800-63-3). Retrieved from https://csrc.nist.gov/publications/detail/sp/800-63/3/final

SSL Labs. (2024). TLS and encryption in web applications. Retrieved from https://www.ssllabs.com/ssltest/

NIST. (2024). Vulnerability management and software updates. Retrieved from https://nvd.nist.gov/

Cisco Systems. (2024). Intrusion Detection and Prevention Systems (IDS/IPS). Retrieved from https://www.cisco.com/c/en/us/products/security/ids-ips/

SANS Institute. (2024). DevSecOps: Integrating security into development. Retrieved from https://www.sans.org/cyber-security-courses/devsecops/

OWASP. (2024). Application Security Verification Standard (ASVS). Retrieved from https://owasp.org/www-project-application-security-verification-standard/

Splunk Inc. (2024). SIEM and XDR for application protection. Retrieved from https://www.splunk.com/en_us/products/enterprise-security.html

NIST. (2024). Recommendation for key management (SP 800-57). Retrieved from https://csrc.nist.gov/publications/detail/sp/800-57/

VirusTotal. (2024). Antivirus software vulnerabilities. Retrieved from https://www.virustotal.com/gui/home/

SANS Institute. (2024). Challenges of implementing DevSecOps in modern companies. Retrieved from https://www.sans.org/cyber-security-courses/devsecops/

Microsoft Security. (2024). Issues of multi-factor authentication (MFA). Retrieved from https://www.microsoft.com/security/blog/

NIST. (2024). Software update and vulnerability management. Retrieved from https://nvd.nist.gov/

OWASP. (2024). Limitations of automated application security testing. Retrieved from https://owasp.org/www-project-application-security-verification-standard/

Cisco Systems. (2024). Intrusion detection and prevention systems: Limitations and challenges. Retrieved from https://www.cisco.com/c/en/us/products/security/ids-ips/

Kostiuk, Y., Skladannyi, P., Rzaeva, S., Mazur, N., Cherevyk, V., & Anosov, A. (2025). Features of Network Attack Implementation ThrougH TCP/IP Protocols. Electronic Professional Scientific Journal «Cybersecurity: Education, Science, Technique», 1(29), 571–597. https://doi.org/10.28925/2663-4023.2025.29.915

Tsekhmeister, R., Platonenko, A., Vorokhob, M., Cherevyk, V., & Semeniaka, S. (2025). Research of Information Security Provision Methods in a Virtual Environment. Electronic Professional Scientific Journal «Cybersecurity: Education, Science, Technique», 3(27), 63–71. https://doi.org/10.28925/2663-4023.2025.27.703