ЕКСПЕРИМЕНТИ ТА ПРАКТИЧНІ РІШЕННЯ ПОБУДОВИ ТЕСТОВОГО СЕРЕДОВИЩА ДЛЯ ПЕРЕВІРКИ РІВНЯ БЕЗПЕКИ НА РІВНІ ДОДАТКІВ

Євгеній Скуратоський; Андрій Аносов; Віталій Стрельніков; Микола Кучерявий

doi:10.28925/2663-4023.2025.31.1014

Автор(и)

Євгеній Скуратоський Київський столичний університет імені Бориса Грінченка https://orcid.org/0009-0000-0432-9784
Андрій Аносов Київський столичний університет імені Бориса Грінченка https://orcid.org/0000-0002-2973-6033
Віталій Стрельніков Київський столичний університет імені Бориса Грінченка https://orcid.org/0000-0003-3439-3220
Микола Кучерявий Інститут проблем математичних машин та систем https://orcid.org/0009-0005-0017-9797

DOI:

https://doi.org/10.28925/2663-4023.2025.31.1014

Ключові слова:

тестове середовище; безпека додатків; Burp Suite; Splunk; Wazuh; DevSecOps; Zero Trust; кіберзагрози.

Анотація

У статті розглянуто експериментальні підходи та практичні рішення до побудови тестового середовища для перевірки рівня безпеки на рівні додатків. Метою дослідження є створення ізольованої лабораторної інфраструктури, що імітує структуру корпоративної мережі з DMZ-зоною, внутрішнім сегментом та середовищем атак, для об’єктивної оцінки ефективності сучасних засобів захисту. Тестове середовище реалізовано на базі віртуалізації VMware Workstation Pro з інтеграцією таких інструментів, як Burp Suite Pro, AppScan, ZAP Proxy, Acunetix, Splunk, Wazuh, LogRhythm. Проведено серію експериментів, що включали імітацію типових атак на рівні додатків (SQL-ін’єкція, XSS, CSRF, brute force, мережеве сканування), збір та аналіз логів подій. Результати експериментів показали, що Burp Suite Pro та Splunk мають найвищу комплексну ефективність, тоді як Wazuh і ZAP Proxy забезпечують прийнятну якість при мінімальних витратах ресурсів. Встановлено, що поєднання засобів сканування, моніторингу та реагування в межах багаторівневої моделі безпеки значно підвищує стійкість системи до атак. На основі отриманих даних розроблено практичні рекомендації щодо впровадження комбінованих стратегій захисту на рівні додатків, заснованих на принципах Zero Trust Architecture та DevSecOps. Запропонована модель забезпечує баланс між безпекою й продуктивністю та може бути використана для побудови ефективних систем моніторингу, тестування вразливостей і навчання фахівців з кібербезпеки. Розроблене середовище може бути адаптоване для тестування нових інструментів захисту та моделювання складних сценаріїв атак. Подальші дослідження передбачають удосконалення системи автоматизованого аналізу результатів тестування та розширення функціональності середовища.

Завантаження

Дані завантаження ще не доступні.

Посилання

Acunetix. (2025, 05 жовтня). Web Vulnerability Scanner. https://www.acunetix.com/

Cisco. (2025, 05 жовтня). Системи виявлення вторгнень. Режим доступу: https://www.cisco.com/c/en/us/products/security/ids-ips/

IBM Security. (2025, 05 жовтня). IBM AppScan: Application Security Testing. https://www.ibm.com/security/application-security

MITRE Corporation. (2025, 05 жовтня). MITRE ATT&CK Framework. https://attack.mitre.org/

NVD. (2025, 05 жовтня). National Institute of Standards and Technology (NIST). Режим доступу: https://nvd.nist.gov

OWASP Foundation. (2025, 05 жовтня). OWASP Dependency-Check. https://owasp.org/www-project-dependency-check

OWASP. (2025, 05 жовтня). OWASP Top Ten Security Risks. https://owasp.org/www-project-top-ten/

SANS Institute. (2025, 05 жовтня). DevSecOps: Інтеграція безпеки в розробку. https://www.sans.org/cyber-security-courses/devsecops/

SolarWinds. (2025, 05 жовтня). Security Event Manager (SEM). https://www.solarwinds.com/security-event-manager

Splunk. (2025, 05 жовтня). SIEM та XDR для захисту додатків. https://www.splunk.com/en_us/products/enterprise-security.html

Wazuh Inc. (2025, 05 жовтня). Security Information and Event Management (SIEM). https://wazuh.com

Zero Trust Architecture. (2025, 05 жовтня). Національний інститут стандартів і технологій США. https://www.nist.gov/publications/zero-trust-architecture

Kostiuk, Y., Skladannyi, P., Rzaeva , S., Mazur , N., Cherevyk, V., & Anosov, A. (2025). FEATURES OF NETWORK ATTACK IMPLEMENTATION THROUGH TCP/IP PROTOCOLS. Electronic Professional Scientific Journal «Cybersecurity: Education, Science, Technique», 1(29), 571–597. https://doi.org/10.28925/2663-4023.2025.29.915

Tsekhmeister, R., Platonenko, A., Vorokhob , M., Cherevyk, V., & Semeniaka, S. (2025). RESEARCH OF INFORMATION SECURITY PROVISION METHODS IN A VIRTUAL ENVIRONMENT. Electronic Professional Scientific Journal «Cybersecurity: Education, Science, Technique», 3(27), 63–71. https://doi.org/10.28925/2663-4023.2025.27.703

Vorokhob, M., Kyrychok, R., Yaskevych, V., Dobryshyn, Y., & Sydorenko, S. (2023). MODERN PERSPECTIVES OF APPLYING THE CONCEPT OF ZERO TRUST IN BUILDING A CORPORATE INFORMATION SECURITY POLICY. Electronic Professional Scientific Journal «Cybersecurity: Education, Science, Technique», 1(21), 223–233. https://doi.org/10.28925/2663-4023.2023.21.223233Kriuchkova, L., Skladannyi, P., & Vorokhob, M. (2023). Pre-project solutions for building an authorization system based on the zero trust concept. Cybersecurity: Education, Science, Technique, 3(19), 226–242. https://doi.org/10.28925/2663-4023.2023.13.226242

Skuratovskyi, Y., Anosov, A., Kozachok, V., & Brzhevska, Z. (2025). DEVELOPMENT OF A TEST ENVIRONMENT FOR EVALUATING THE EFFECTIVENESS OF IMPLEMENTED APPLICATION-LEVEL SECURITY MEASURES. Electronic Professional Scientific Journal «Cybersecurity: Education, Science, Technique», 2(30), 89–98. https://doi.org/10.28925/2663-4023.2025.30.954