Combined method of uav cyber assets security assessment by use of procedures imeca and penetration testing

Артем Абакумов; Вячеслав Харченко

doi:10.30837/0135-1710.2025.187.200

Автор(и)

Артем Абакумов Національний аерокосмічний університет "Харківський авіаційний інститут", Україна https://orcid.org/0000-0002-7742-6515
Вячеслав Харченко Національний аерокосмічний університет "Харківський авіаційний інститут", Україна https://orcid.org/0000-0001-5352-077X

DOI:

https://doi.org/10.30837/0135-1710.2025.187.200

Ключові слова:

кіберактиви БпЛА, ІМЕСА-аналіз, комбінований метод, симуляції режимів вторгнення, тестування на проникнення

Анотація

Предмет вивчення – методи й засоби оцінювання безпеки кіберактивів безпілотних літальних апаратів (БпЛА). На підставі аналізу публікацій зроблено висновок про певний розрив між теоретичними методами оцінювання ризиків і практичними інструментами тестування на проникнення (ТнП) кіберактивів БпЛА. Наявні інструменти ТнП призначені для відтворення атак, але не надають методології оцінювання їх впливу в динамічних умовах застосування. Мета дослідження – розробити комбінований метод і елементи технології достовірного виявлення вразливостей з можливістю верифікації процесу й обґрунтування вибору контрзаходів. Завдання роботи: обґрунтування доцільності комбінованого застосування різних методів і засобів оцінювання кібербезпеки БпЛА; розроблення моделей і методу оцінювання, який поєднує аналітичні та експерементальні процедури; практичне відпрацювання методу з використанням тестового середовища. Упроваджені методи: ризик-орієнтований аналіз режимів вторгнення, наслідків і критичності (IMECA-аналіз) і ТнП. Результати дослідження: обґрунтовано структуру й послідовність комбінованого оцінювання кібербезпеки; запропоновано функціональну IDEF0‑модель, що забезпечує повноту оцінювання безпеки кіберактивів БпЛА й містить такі етапи: збір інформації та оцінювання вразливостей, реплікація режимів вторгнення, ІМЕСА-аналіз (зокрема з підготовчим і апостеріорним ІМЕСА-аналізом) і вибір контрзаходів; розгорнуто й апробовано тестове середовище на базі симулятора DVD, який здатний відтворювати 80 % пріоритетних режимів вторгнення. Висновки: комбінований метод оцінювання безпеки кіберактивів БпЛА інтегрує процедури IMECA з практикою ТнП, що дає змогу подолати обмеження статичних методів оцінювання ризиків та ізольованих технічних тестів, створюючи замкнутий цикл верифікації та захисту бортових систем. Подальші дослідження пов’язані з проведенням повномасштабної серії експериментів для всіх ідентифікованих режимів вторгнення, побудовою апостеріорних матриць критичності та вибору контрзаходів.

Біографії авторів

Артем Абакумов, Національний аерокосмічний університет "Харківський авіаційний інститут"

фахівець зі спеціальності "Інформаційні вимірювальні системи", аспірант кафедри комп’ютерних систем, мереж і кібербезпеки

Вячеслав Харченко, Національний аерокосмічний університет "Харківський авіаційний інститут"

член-кореспондент Національної академії наук України, доктор технічних наук, професор, завідувач кафедри комп’ютерних систем, мереж і кібербезпеки

Посилання

Tlili, F., Fourati, L. C., Ayed, S., Ouni, B. (2022), "Investigation on vulnerabilities, threats and attacks prohibiting UAVs charging and depleting UAVs batteries: Assessments & countermeasures". Ad Hoc Networks. Vol. 129, p. 102805. DOI: https://doi.org/10.1016/j.adhoc.2022.102805

Freedberg Jr, S. J. (2023), "Dumb and cheap: When facing electronic warfare in Ukraine, small drones’ quantity is quality". BreakingDefense.com. Available at: https://breakingdefense.com/2023/06/dumb-and-cheap-when-facing-electronic-warfare-in-ukraine-small-drones-quantity-is-quality/ (Accessed: 30 November 2025).

Hartmann, K., Giles, K. (2016), "UAV exploitation: A new domain for cyber power". 2016 8th International Conference on Cyber Conflict (CyCon), Tallinn, Estonia, pp. 205–221. DOI: https://doi.org/10.1109/CYCON.2016.7529436

FP Explainers (2025), "Indian Army’s ‘Make in India’ drones hacked in border areas: Report". Firstpost.com. Available at: https://www.firstpost.com/india/indian-army-make-in-india-drones-hacked-in-border-areas-report-13859474.html (Accessed: 30 November 2025).

Yaacoub, J.-P., Noura, H., Salman, O., Chehab, A. (2020), "Security analysis of drones systems: Attacks, limitations, and recommendations". Internet of Things. Vol. 11, p. 100218. DOI: 10.1016/j.iot.2020.100218

The New Geopolitics Research Network (2024), "Ukrainian Drones vs Russian Jamming". NewGeopolitics.org. Available at: https://www.newgeopolitics.org/2024/06/10/ukrainian-drones-vs-russian-jamming/ (Accessed: 30 November 2025).

Royal United Services Institute for Defence and Security Studies (2023), "Meatgrinder: Russian Tactics in the Second Year of Its Invasion of Ukraine". RUSI. Available at: https://static.rusi.org/403-SR-Russian-Tactics-web-final.pdf (Accessed: 30 November 2025).

Mekdad, Y., Arış, A., Babun, L., El Fergougui, A., Conti, M., Lazzeretti, R., Uluagac, S. (2023), "A survey on security and privacy issues of UAVs". Computer Networks. Vol. 224, p. 109626. DOI: https://doi.org/10.1016/j.comnet.2023.109626

Yu, Z., Wang, Z., Yu, J., Liu, D., Song, H. H., Li, Z. (2024), "Cybersecurity of Unmanned Aerial Vehicles: A Survey". IEEE Aerospace and Electronic Systems Magazine. Vol. 39, No. 9, pp. 182–215. DOI: https://doi.org/10.1109/MAES.2023.3318226

Kong, P.-Y. (2021), "A Survey of Cyberattack Countermeasures for Unmanned Aerial Vehicles". IEEE Access. Vol. 9, pp. 148244–148263. DOI: https://doi.org/10.1109/ACCESS.2021.3124996

Zemlianko, H., Kharchenko, V. (2023), "Cybersecurity risk analysis of multifunctional UAV fleet systems: a conceptual model and IMECA-based technique". Radioelectronic and Computer Systems. No. 4, pp. 152–170. DOI: https://doi.org/10.32620/reks.2023.4.11

Torianyk, V., Kharchenko, V., Zemlianko, H. (2021), "IMECA based assessment of Internet of Drones systems cyber security considering radio frequency vulnerabilities". Proc. 2nd Int. Workshop on Intelligent Information Technologies and Systems of Information Security (IntelITSIS’2021), Khmelnytskyi, Ukraine. Available at: https://ceur-ws.org/Vol-2853/paper50.pdf (Accessed: 30 November 2025).

Branco, B., Silva, J. S., Correia, M. (2024), "D3S: A Drone Security Scoring System". Information. Vol. 15, No. 12, p. 811. DOI: https://doi.org/10.3390/info15120811

Ficco, M., Granata, D., Palmieri, F., Rak, M. (2024), "A systematic approach for threat and vulnerability analysis of unmanned aerial vehicles". Internet Things. Vol. 26, p. 101180. DOI: https://doi.org/10.1016/j.iot.2024.101180

Veerappan, C. S., Keong, P. L. K., Balachandran, V., Fadilah, M. S. B. M. (2021), "DRAT: A Penetration Testing Framework for Drones". 2021 IEEE 16th Conference on Industrial Electronics and Applications (ICIEA), Chengdu, China, pp. 498–503. DOI: https://doi.org/10.1109/ICIEA51954.2021.9516363

Abakumov, A., Kharchenko, V. (2023), "Combining experimental and analytical methods for penetration testing of AI-powered robotic systems". Proc. 7th Int. Conf. on Computational Linguistics and Intelligent Systems (COLINS 2023), Kharkiv, Ukraine. Vol. 3403, pp. 470–481. Available at: https://ceur-ws.org/Vol-3403/paper40.pdf (Accessed: 08 April 2025).

Veprytska, O., Kharchenko, V. (2023), "Extended IMECA Technique for Assessing Risks of Successful Cyberattacks". 2023 13th International Conference on Dependable Systems, Services and Technologies (DESSERT), Athens, Greece, pp. 1–7. DOI: https://doi.org/10.1109/DESSERT61349.2023.10416447

Abakumov, A., Kharchenko, V. (2022), "Combining IMECA analysis and penetration testing to assess the cybersecurity of industrial robotic systems". 2022 12th International Conference on Dependable Systems, Services and Technologies (DESSERT), Athens, Greece, pp. 1–6. DOI: https://doi.org/10.1109/DESSERT58054.2022.10018823

Abakumov, A., Kharchenko, V., Popov, P. (2025), "A Hybrid Cybersecurity Assessment Framework for Unmanned Aircraft Vehicles Based on IMECA and Penetration Testing". 2025 55th Annual IEEE/IFIP International Conference on Dependable Systems and Networks Workshops (DSN-W), Naples, Italy, pp. 7–14. DOI: https://doi.org/10.1109/DSN-W65791.2025.00032

Sanghavi, P., Kaur, H. (2023), "A Comprehensive Study on Cyber Security in Unmanned Aerial Vehicles". 2023 10th International Conference on Computing for Sustainable Global Development (INDIACom), New Delhi, India, pp. 804–809. Available at: https://ieeexplore.ieee.org/document/10112549 (Accessed: 09 December 2025).

The Penetration Testing Execution Standard (2017), "PTES Technical Guidelines". Pentest-standard.org. Available at: http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines (Accessed: 30 November 2025).

Herzog, P. (2010), "OSSTMM 3: The Open-Source Security Testing Methodology Manual – Contemporary Security Testing and Analysis". ISECOM. Available at: https://www.isecom.org/OSSTMM.3.pdf (Accessed: 30 November 2025).

Scarfone, K., Souppaya, M., Cody, A., Orebaugh, A. (2008), "Technical Guide to Information Security Testing and Assessment: Recommendations of the National Institute of Standards and Technology". NIST Special Publication 800-115. Gaithersburg, MD: National Institute of Standards and Technology. Available at: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-115.pdf (Accessed: 30 November 2025).

OWASP (2024), "Web Security Testing Guide". owasp.org. Available at: https://owasp.org/www-project-web-security-testing-guide/ (Accessed: 30 November 2025).

Babeshko, I., Illiashenko, O., Kharchenko, V., Leontiev, K. (2022), "Towards Trustworthy Safety Assessment by Providing Expert and Tool-Based XMECA Techniques". Mathematics. Vol. 10, p. 2297. DOI: https://doi.org/10.3390/math10132297

Aleks, N. (2023), "Damn Vulnerable Drone (DVD)". GitHub repository. Available at: https://github.com/nicholasaleks/Damn-Vulnerable-Drone (Accessed: 29 November 2025).