<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE article PUBLIC "-//NLM//DTD JATS (Z39.96) Journal Publishing DTD v1.3 20210610//EN" "JATS-journalpublishing1-3.dtd">
<article article-type="research-article" dtd-version="1.3" xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xml:lang="ru"><front><journal-meta><journal-id journal-id-type="publisher-id">izvestswsu</journal-id><journal-title-group><journal-title xml:lang="ru">Известия Юго-Западного государственного университета</journal-title><trans-title-group xml:lang="en"><trans-title>Proceedings of the Southwest State University</trans-title></trans-title-group></journal-title-group><issn pub-type="ppub">2223-1560</issn><issn pub-type="epub">2686-6757</issn><publisher><publisher-name>ЮЗГУ</publisher-name></publisher></journal-meta><article-meta><article-id pub-id-type="doi">10.21869/2223-1560-2025-29-1-96-106</article-id><article-id custom-type="elpub" pub-id-type="custom">izvestswsu-1414</article-id><article-categories><subj-group subj-group-type="heading"><subject>Research Article</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="ru"><subject>Информатика, вычислительная техника и управление</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="en"><subject>Computer science, computer engineering and IT managment</subject></subj-group></article-categories><title-group><article-title>Модель поверхности атак для сложных систем на основе микросервисной архитектуры</article-title><trans-title-group xml:lang="en"><trans-title>Attack surface model for complex systems based on microservice architecture</trans-title></trans-title-group></title-group><contrib-group><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Миронова</surname><given-names>В. Г.</given-names></name><name name-style="western" xml:lang="en"><surname>Mironova</surname><given-names>V. G.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Миронова Валентина Григорьевна - кандидат технических наук, доцент кафедры информационной безопасности киберфизических систем.</p><p>Ул. Мясницкая, д. 20, Москва 101000</p></bio><bio xml:lang="en"><p>Valentina G. Mironova - Cand. of Sci. (Engineering), Associate Professor of Information Security of Cyber-Physical Systems Department.</p><p>20, Myasnitskaya str., Moscow 101000</p></bio><email xlink:type="simple">vgmironova@hse.ru</email><xref ref-type="aff" rid="aff-1"/></contrib></contrib-group><aff-alternatives id="aff-1"><aff xml:lang="ru"><institution>Московский институт электроники и математики им. А.Н. Тихонова (Национальный исследовательский университет «Высшая школа экономики»)</institution></aff><aff xml:lang="en"><institution>Moscow Institute of Electronics and Mathematics named after A.N. Tikhonov (National Research University Higher School of Economics)</institution></aff></aff-alternatives><pub-date pub-type="collection"><year>2025</year></pub-date><pub-date pub-type="epub"><day>11</day><month>06</month><year>2025</year></pub-date><volume>29</volume><issue>1</issue><fpage>96</fpage><lpage>106</lpage><permissions><copyright-statement>Copyright &amp;#x00A9; Миронова В.Г., 2025</copyright-statement><copyright-year>2025</copyright-year><copyright-holder xml:lang="ru">Миронова В.Г.</copyright-holder><copyright-holder xml:lang="en">Mironova V.G.</copyright-holder><license xml:lang="ru" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>Данная работа распространяется под лицензией Creative Commons Attribution 4.0.</license-p></license><license xml:lang="en" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>This work is licensed under a Creative Commons Attribution 4.0 License.</license-p></license></permissions><self-uri xlink:href="https://izvestswsu.elpub.ru/jour/article/view/1414">https://izvestswsu.elpub.ru/jour/article/view/1414</self-uri><abstract><sec><title>Цель исследования</title><p>Цель исследования: повышение уровня безопасности информации, обрабатываемой в информационных системах, основанных на микросервисной архитектуре; путём создания эффективной системы защиты, спроектированной на знаниях, полученных в результате создания модели поверхности атак.</p></sec><sec><title>Методы</title><p>Методы. В ходе проведения анализа были рассмотрены виды информационных систем (ИС), среди них выделены сложные ИС, созданные на основе микросервисной архитектуры. Рассмотрены российские и иностранные технологии, программное обеспечение, позволяющие автоматизировать процесс обработки информации. Предложена теоретико-множественная модель построения поверхности атаки для информационных систем, построенных на основе микросервисной архитектуры.</p></sec><sec><title>Результаты</title><p>Результаты. Предложен оригинальный подход к описанию вектора и поверхности атаки, включающие в себя перечень часто встречающихся уязвимостей, способов и инструментов реализации атаки, а также перечень возможных объектов воздействия. Разработана теоретико-множественная модель построения поверхности атаки для информационных систем, построенных на основе микросервисной архитектуры.</p></sec><sec><title>Заключение</title><p>Заключение. Проведение исследования и разработка модели поверхности атак для сложных ИС, построенных на микросервисной архитектуре, позволят повысить уровень знаний в области информационной безопасности (ИБ) и обеспечить безопасность обрабатываемых данных, путём построения эффективной системы защит информации, учитывающей актуальные угрозы и методы воздействия на ИС.</p></sec></abstract><trans-abstract xml:lang="en"><sec><title>Purpose of research</title><p>Purpose of research. Increasing the level of security of information processed in information systems based on microservice architecture; by creating an effective protection system designed on the basis of knowledge obtained as a result of creating an attack surface model.</p></sec><sec><title>Methods</title><p>Methods. During the analysis, types of information systems (IS) were considered, among them complex IS created on the basis of microservice architecture were highlighted. Russian and foreign technologies, software allowing to automate the process of information processing were considered. A set-theoretic model of constructing an attack surface for information systems built on the basis of microservice architecture was proposed.</p></sec><sec><title>Results</title><p>Results. An original approach to the description of the attack vector and surface is proposed, including a list of frequently encountered vulnerabilities, methods and tools for implementing an attack, as well as a list of possible objects of influence. A set-theoretic model for constructing an attack surface for information systems built on the basis of a microservice architecture is developed.</p></sec><sec><title>Results</title><p>Results. Conducting research and developing an attack surface model for complex information systems built on a microservice architecture will improve the level of knowledge in the field of information security (IS) and ensure the security of processed data by building an effective information security system that takes into account current threats and methods of influencing the information system.</p></sec></trans-abstract><kwd-group xml:lang="ru"><kwd>поверхность атаки</kwd><kwd>безопасность</kwd><kwd>тактика</kwd><kwd>техника</kwd><kwd>уязвимость</kwd></kwd-group><kwd-group xml:lang="en"><kwd>attack surface</kwd><kwd>security</kwd><kwd>tactics</kwd><kwd>technique</kwd><kwd>vulnerability</kwd></kwd-group></article-meta></front><back><ref-list><title>References</title><ref id="cit1"><label>1</label><citation-alternatives><mixed-citation xml:lang="ru">Что такое Threat Intelligence и как применять? URL: http://www.sberbank.ru/ru/person/kibrary/articles/chto_takoe_threat_intelligence (дата обращения 10.11.2024).</mixed-citation><mixed-citation xml:lang="en">What is Threat Intelligence and how to use it? (In Russ.). Available at: http://www.sberbank.ru/ru/person/kibrary/articles/chto_takoe_threat_intelligence (accessed 10.11.2024).</mixed-citation></citation-alternatives></ref><ref id="cit2"><label>2</label><citation-alternatives><mixed-citation xml:lang="ru">Целевые атаки: этапы, инструменты, методы. URL: http://www.sberbank.ru/ru/person/kibrary/articles/celevye-ataki-ehtapy-instrumenty-metody (дата обращения 10.11.2024).</mixed-citation><mixed-citation xml:lang="en">Targeted attacks: stages, tools, methods. (In Russ.). Available at: http://www.sberbank.ru/ru/person/kibrary/articles/celevye-ataki-ehtapy-instrumenty-metody (accessed 10.11.2024).</mixed-citation></citation-alternatives></ref><ref id="cit3"><label>3</label><citation-alternatives><mixed-citation xml:lang="ru">Этапы проведения кибератак методы. URL: https://vasexperts.ru/blog/bezopasnost/etapy-provedeniya-kiberatak/ (дата обращения 10.11.2024).</mixed-citation><mixed-citation xml:lang="en">Stages of cyber attacks methods. (In Russ.). Available at: https://vasexperts.ru/blog/bezopasnost/etapy-provedeniya-kiberatak/ (accessed 10.11.2024).</mixed-citation></citation-alternatives></ref><ref id="cit4"><label>4</label><citation-alternatives><mixed-citation xml:lang="ru">Связанные одной цепью: Kill Chain – этапы кибератак и как их предотвратить – URL: https://securitymedia.org/info/svyazannye-odnoy-tsepyu-kill-chain-etapy-kiberatak-ikak-ikh-predotvratit.html (дата обращения 10.11.2024).</mixed-citation><mixed-citation xml:lang="en">Linked by one chain: Kill Chain stages of cyber attacks and how to prevent them. (In Russ.). Available at: https://securitymedia.org/info/svyazannye-odnoy-tsepyu-kill-chainetapy-kiberataki-kak-ikh-predotvratit.html (accessed 10.11.2024).</mixed-citation></citation-alternatives></ref><ref id="cit5"><label>5</label><citation-alternatives><mixed-citation xml:lang="ru">Подходы к оценке поверхности атаки и фаззингу веб-браузеров. URL: https://cyberleninka.ru/article/n/podhody-k-otsenke-poverhnosti-ataki-i-fazzingu-vebbrauzerov (дата обращения 10.11.2024).</mixed-citation><mixed-citation xml:lang="en">Approaches to assessing the attack surface and fuzzing web browsers. (In Russ.). Available at: https://cyberleninka.ru/article/n/podhody-k-otsenke-poverhnosti-ataki-ifazzingu-veb-brauzerov (accessed 10.11.2024).</mixed-citation></citation-alternatives></ref><ref id="cit6"><label>6</label><citation-alternatives><mixed-citation xml:lang="ru">Вектор атаки. URL: https://encyclopedia.kaspersky.ru/glossary/attack-vector/ (дата обращения 10.11.2024).</mixed-citation><mixed-citation xml:lang="en">Attack vector. (In Russ.). Available at: https://encyclopedia.kaspersky.ru/glossary/attack-vector/ (accessed 10.11.2024).</mixed-citation></citation-alternatives></ref><ref id="cit7"><label>7</label><citation-alternatives><mixed-citation xml:lang="ru">MITRE ATT&amp;CK. URL: https://attack.mitre.org/(дата обращения 10.11.2024).</mixed-citation><mixed-citation xml:lang="en">MITRE ATT&amp;CK. Available at: https://attack.mitre.org/ (accessed 10.11.2024).</mixed-citation></citation-alternatives></ref><ref id="cit8"><label>8</label><citation-alternatives><mixed-citation xml:lang="ru">CVE. URL: https://cve.mitre.org/ (дата обращения 10.11.2024).</mixed-citation><mixed-citation xml:lang="en">CVE. Available at: https://cve.mitre.org/ (accessed 10.11.2024).</mixed-citation></citation-alternatives></ref><ref id="cit9"><label>9</label><citation-alternatives><mixed-citation xml:lang="ru">Адаптация подхода S.T.R.I.D.E. для моделирования угроз. URL: https://osday.ru/2022/presentations/Moiseev.pdf (дата обращения 10.11.2024).</mixed-citation><mixed-citation xml:lang="en">Adaptation of the S.T.R.I.D.E. approach for threat modeling. (In Russ.). Available at: https://osday.ru/2022/presentations/Moiseev.pdf (accessed 11/10/2024).</mixed-citation></citation-alternatives></ref><ref id="cit10"><label>10</label><citation-alternatives><mixed-citation xml:lang="ru">PASTA Threat Modeling. URL: https://threat-modeling.com/pasta-threat-modeling/ (дата обращения 10.11.2024).</mixed-citation><mixed-citation xml:lang="en">PASTA Threat Modeling. Available at: https://threat-modeling.com/pasta-threatmodeling/ (accessed 10.11.2024).</mixed-citation></citation-alternatives></ref><ref id="cit11"><label>11</label><citation-alternatives><mixed-citation xml:lang="ru">Крупные кибератаки и утечки первой половины 2024 года в России. URL: https://blog.cortel.cloud/2024/05/23/krupnye-kiberataki-i-utechki-pervoj-poloviny-2024goda-v-rossii/ (дата обращения: 15.10.2024).</mixed-citation><mixed-citation xml:lang="en">Major cyberattacks and leaks in the first half of 2024 in Russia. (In Russ.). Available at: https://blog.cortel.cloud/2024/05/23/krupnye-kiberataki-i-utechki-pervoj-poloviny-2024goda-v-rossii/ (accessed 15.10.2024).</mixed-citation></citation-alternatives></ref><ref id="cit12"><label>12</label><citation-alternatives><mixed-citation xml:lang="ru">Разработка архитектуры киберполигона для повышения качества и результативности учебного процесса в исследовании атак на информационные системы и сети Г. А. Остапенко, С. С. Куликов, А. В. Коноплин, А. А. Остапенко // Информация и безопасность. 2023. Т. 26. № 1. С. 101-108. https://doi.org/10.36622/VSTU.2023.26.1.012.</mixed-citation><mixed-citation xml:lang="en">Ostapenko G. A., Kulikov S. S., Konoplin A. V., Ostapenko A. A. Development of cyber polygon architecture to improve the quality and effectiveness of the educational process in the study of attacks on information systems and networks. Informatsiya i bezopasnost = Information and security. 2023; 26(1): 101-108. (In Russ.). https://doi.org/10.36622/VSTU.2023.26.1.012.</mixed-citation></citation-alternatives></ref><ref id="cit13"><label>13</label><citation-alternatives><mixed-citation xml:lang="ru">Демьянов А. Тестирование кибербезопасности встроенных систем с помощью их цифрового двойника // Электроника: наука, технология, безопасность. 2021. № 7 (208). С. 126−29.</mixed-citation><mixed-citation xml:lang="en">Demyanov A. Testing the cybersecurity of embedded systems using their digital counterpart. Elektronika: nauka, tekhnologiya, bezopasnost' = Electronics: science, technology, safety. 2021; (7): 126-29. (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit14"><label>14</label><citation-alternatives><mixed-citation xml:lang="ru">Ульянов А.Н., Столяров М.Г., Стельмах И.В. Качество плюс наглядность применение технологий виртуализации вычислительных ресурсов в информационно-образовательной среде // ВВО. 2021. № 6 (33).</mixed-citation><mixed-citation xml:lang="en">Ulyanov A.N., Stolyarov M.G., Stelmakh I.V. Quality plus visibility the use of virtualization technologies for computing resources in the information and educational environment. BBO. 2021; (6). (In Russ.).</mixed-citation></citation-alternatives></ref><ref id="cit15"><label>15</label><citation-alternatives><mixed-citation xml:lang="ru">Монахов М.Ю., Тельный А.В., Мишин Д.В. О возможностях использования киберполигонов в качестве оценочных средств определения уровня сформированности компетенций // Информационное противодействие угрозам терроризма. 2015. Т. 1, № 25. С. 269-277.</mixed-citation><mixed-citation xml:lang="en">Monakhov M.Yu., Telny A.V., Mishin D.V. On the possibilities of using cyber polygons as assessment tools for determining the level of competence formation. Informatsionnoe protivodeistvie ugrozam terrorizma = Information counteraction to terrorist threats. 2015; 1(25): 269-277 (In Russ).</mixed-citation></citation-alternatives></ref><ref id="cit16"><label>16</label><citation-alternatives><mixed-citation xml:lang="ru">НКЦКИ: существует угроза кибератак на российские информационные ресурсы // Интернет-портал по информационной безопасности в сети. 2022. URL: https://safesurf.ru/specialists/news/675925/ (дата обращения: 15.10.2024).</mixed-citation><mixed-citation xml:lang="en">NCC: There is a threat of cyber attacks on Russian information resources. An online information security portal on the web. 2022 (In Russ). Available at: https://safesurf.ru/specialists/news/675925 / (accessed: 10/15/2024).</mixed-citation></citation-alternatives></ref><ref id="cit17"><label>17</label><citation-alternatives><mixed-citation xml:lang="ru">«Лаборатория Касперского»: количество киберинцидентов в российских компаниях увеличилось в 4 раза // «Лаборатория Касперского»: [сайт]. 2022. URL: https://www. kaspersky.ru/about/press-releases/2022_laboratoriya-kasperskogokolichestvokiberincidentov-v-rossijskih-kompaniyah-uvelichilos-v-4raza (дата обращения: 15.10.2024).</mixed-citation><mixed-citation xml:lang="en">Kaspersky Lab: the number of cyber incidents in Russian companies has increased 4 times. Kaspersky Lab: [website]. 2022. (In Russ). Available at: https://www.kaspersky.ru/about/press-releases/2022_laboratoriya-kasperskogokolichestvo-kiberincidentov-v-rossijskihkompaniyah-uvelichilos-v-4raza (accessed: 10/15/2024).</mixed-citation></citation-alternatives></ref><ref id="cit18"><label>18</label><citation-alternatives><mixed-citation xml:lang="ru">Монахов М.Ю., Тельный А.В., Мишин Д.В. О возможностях использования киберполигонов в качестве оценочных средств определения уровня сформированности компетенций // Информационное противодействие угрозам терроризма. 2015. Т. 1, № 25. С. 269-277.</mixed-citation><mixed-citation xml:lang="en">Monakhov M.Yu., Telny A.V., Mishin D.V. On the possibilities of using cyber ranges as assessment tools for determining the level of competence development. Informatsionnoe protivodeistvie ugrozam terrorizma = Information counteraction to terrorist threats. 2015; 1(25): 269-277 (In Russ).</mixed-citation></citation-alternatives></ref><ref id="cit19"><label>19</label><citation-alternatives><mixed-citation xml:lang="ru">Архангельский О.Д., Сютов Д.В., Кузнецов А.В. Практические подходы к созданию инфраструктуры индустриального киберполигона // Автоматизация в промышленности. 2020. № 1. С. 52−57.</mixed-citation><mixed-citation xml:lang="en">Arkhangelsky O.D., Syutov D.V., Kuznetsov A.V. Practical approaches to creating the infrastructure of an industrial cyberpolygon. Avtomatizatsiya v promyshlennosti = Automation in industry. 2020; (1): 52-57. (In Russ.).</mixed-citation></citation-alternatives></ref></ref-list><fn-group><fn fn-type="conflict"><p>The authors declare that there are no conflicts of interest present.</p></fn></fn-group></back></article>
