Analysis implementation and evaluation of cybersecurity process automation infrastructure
Φόρτωση...
Ημερομηνία
2025-10-07
Συγγραφείς
Τίτλος Εφημερίδας
Περιοδικό ISSN
Τίτλος τόμου
Εκδότης
ΕΛΜΕΠΑ, Σχολή Μηχανικών (ΣΜΗΧ), Τμήμα Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών
Επιβλέπων
Περίληψη
The rise of social engineering attacks continues to pose a significant threat to individuals and organizations. The past few years, research has focused not only on developing effective cybersecurity defense strategies and mitigation approaches but also on the assessment of an individual’s awareness of such attack scenarios. Several approaches have been used, ranging from traditional methods, such as questionnaires designed to assess cybersecurity risky behavior, susceptibility to persuasion, and so on, to more modern practices, such as simulated social engineering campaigns, which include Phishing Campaigns, among others. More often than not, Simulated Phishing Campaigns require human intervention, which can be time and cost consuming as well as prone to error. This thesis proposes the use of Robotic Process Automation (RPA) technology to automate Simulated Phishing Campaigns and, thus, enhance the efficiency and effectiveness of cybersecurity defense strategies. The proposed system includes a user interface and back-end logic that automates the process of sending phishing emails and enumerating interactions, with the goal to assess phishing awareness of a group of individuals that may be the personnel of an organization. Furthermore, the proposed system takes as an input the result of an initial persuasion susceptibility assessment and employs persuasion principles, commonly used as phishing techniques, with the aim to target specific aspects of the human personality and provide an enhanced assessment of one’s phishing susceptibility by considering both the initial persuasion susceptibility assessment and the actual susceptibility recorded through the campaign. To evaluate the system, a realistic use case scenario was employed to conduct an experiment in lab environment and evaluate phishing awareness of a group of individuals using the proposed solution. The results of this thesis demonstrate the potential offered by RPA technology in automating Simulated Phishing Campaigns and thus, enhancing phishing awareness assessment strategies.
Η άνοδος των επιθέσεων Social Engineering συνεχίζει να αποτελεί σημαντική απειλή τόσο για μεμονωμένους χρήστες του διαδικτύου όσο και για οργανισμούς. Τα τελευταία χρόνια, η έρευνα επικεντρώνεται όχι μόνο στην ανάπτυξη αποτελεσματικών αμυντικών στρατηγικών στον κυβερνοχώρο, αλλά και στην αξιολόγηση της γνώσης ενός ατόμου για τέτοια σενάρια επίθεσης. Μέχρι σήμερα έχουν χρησιμοποιηθεί διάφορες προσεγγίσεις, που κυμαίνονται από παραδοσιακές μεθόδους, όπως ερωτηματολόγια, που έχουν σχεδιαστεί για την αξιολόγηση επικίνδυνων συμπεριφορών στον κυβερνοχώρο, της ευαισθησίας σε τεχνικές πειθούς, έως πιο σύγχρονες πρακτικές, όπως προσομοιώσεις επιθέσεων Phishing. Τις περισσότερες φορές, αυτές οι προσομοιώσεις απαιτούν ανθρώπινη παρέμβαση, η οποία μπορεί να είναι χρονοβόρα και δαπανηρή καθώς και επιρρεπής σε σφάλματα. Αυτή η πτυχιακή προτείνει τη χρήση της τεχνολογίας Robotic Process Automation (RPA) για την αυτοματοποίηση τέτοιων προσομοιώσεων Phishing και, ως εκ τούτου, τη βελτίωση της αποτελεσματικότητας και της αξιοπιστίας τους. Το προτεινόμενο σύστημα περιλαμβάνει μια διεπαφή χρήστη και την λογική υποστήριξης που αυτοματοποιεί τη διαδικασία αποστολής Phishing email και απαρίθμησης αλληλεπιδράσεων, με στόχο την αξιολόγηση της κατάστασης μιας ομάδας ατόμων που μπορεί να αποτελεί το προσωπικό ενός οργανισμού. Επιπλέον, το προτεινόμενο σύστημα λαμβάνει το αποτέλεσμα μιας αρχικής αξιολόγησης πάνω σε πιθανή ευαισθησία σε συγκεκριμένες αρχές πειθούς. Έπειτα, χρησιμοποιεί αυτές τις αρχές, με σκοπό να στοχεύσει συγκεκριμένες πτυχές της ανθρώπινης προσωπικότητας και να παρέχει μια βελτιωμένη αξιολόγηση της ευαισθησίας κάποιου στο Phishing, λαμβάνοντας υπόψη τόσο την αρχική αξιολόγηση ευαισθησίας πειθούς όσο και την ευαισθησία που καταγράφηκε μέσω της προσομοίωσης. Για την αξιολόγηση του συστήματος, χρησιμοποιήθηκε ένα ρεαλιστικό σενάριο για τη διεξαγωγή πειράματος σε εργαστηριακό περιβάλλον και την αξιολόγηση κατάστασης μιας ομάδας ατόμων κάνοντας χρήση της προτεινόμενης λύσης. Τα αποτελέσματα αυτής της πτυχιακής καταδεικνύουν τις δυνατότητες που προσφέρει η τεχνολογία RPA στην αυτοματοποίηση προσομοιώσεων Phishing και, κατά συνέπεια, στην ενίσχυση των μεθόδων αξιολόγησης καταστάσεων επιρρέπειας σε Phishing επιθέσεις.
Η άνοδος των επιθέσεων Social Engineering συνεχίζει να αποτελεί σημαντική απειλή τόσο για μεμονωμένους χρήστες του διαδικτύου όσο και για οργανισμούς. Τα τελευταία χρόνια, η έρευνα επικεντρώνεται όχι μόνο στην ανάπτυξη αποτελεσματικών αμυντικών στρατηγικών στον κυβερνοχώρο, αλλά και στην αξιολόγηση της γνώσης ενός ατόμου για τέτοια σενάρια επίθεσης. Μέχρι σήμερα έχουν χρησιμοποιηθεί διάφορες προσεγγίσεις, που κυμαίνονται από παραδοσιακές μεθόδους, όπως ερωτηματολόγια, που έχουν σχεδιαστεί για την αξιολόγηση επικίνδυνων συμπεριφορών στον κυβερνοχώρο, της ευαισθησίας σε τεχνικές πειθούς, έως πιο σύγχρονες πρακτικές, όπως προσομοιώσεις επιθέσεων Phishing. Τις περισσότερες φορές, αυτές οι προσομοιώσεις απαιτούν ανθρώπινη παρέμβαση, η οποία μπορεί να είναι χρονοβόρα και δαπανηρή καθώς και επιρρεπής σε σφάλματα. Αυτή η πτυχιακή προτείνει τη χρήση της τεχνολογίας Robotic Process Automation (RPA) για την αυτοματοποίηση τέτοιων προσομοιώσεων Phishing και, ως εκ τούτου, τη βελτίωση της αποτελεσματικότητας και της αξιοπιστίας τους. Το προτεινόμενο σύστημα περιλαμβάνει μια διεπαφή χρήστη και την λογική υποστήριξης που αυτοματοποιεί τη διαδικασία αποστολής Phishing email και απαρίθμησης αλληλεπιδράσεων, με στόχο την αξιολόγηση της κατάστασης μιας ομάδας ατόμων που μπορεί να αποτελεί το προσωπικό ενός οργανισμού. Επιπλέον, το προτεινόμενο σύστημα λαμβάνει το αποτέλεσμα μιας αρχικής αξιολόγησης πάνω σε πιθανή ευαισθησία σε συγκεκριμένες αρχές πειθούς. Έπειτα, χρησιμοποιεί αυτές τις αρχές, με σκοπό να στοχεύσει συγκεκριμένες πτυχές της ανθρώπινης προσωπικότητας και να παρέχει μια βελτιωμένη αξιολόγηση της ευαισθησίας κάποιου στο Phishing, λαμβάνοντας υπόψη τόσο την αρχική αξιολόγηση ευαισθησίας πειθούς όσο και την ευαισθησία που καταγράφηκε μέσω της προσομοίωσης. Για την αξιολόγηση του συστήματος, χρησιμοποιήθηκε ένα ρεαλιστικό σενάριο για τη διεξαγωγή πειράματος σε εργαστηριακό περιβάλλον και την αξιολόγηση κατάστασης μιας ομάδας ατόμων κάνοντας χρήση της προτεινόμενης λύσης. Τα αποτελέσματα αυτής της πτυχιακής καταδεικνύουν τις δυνατότητες που προσφέρει η τεχνολογία RPA στην αυτοματοποίηση προσομοιώσεων Phishing και, κατά συνέπεια, στην ενίσχυση των μεθόδων αξιολόγησης καταστάσεων επιρρέπειας σε Phishing επιθέσεις.
Περιγραφή
Λέξεις-κλειδιά
Κυβερνοασφάλεια, Κυβερνοεπίθεση, Αυτοματισμός, Cybersecurity, Cyber attack, Automation