Η Meta προτείνει ανανεωμένη προσέγγιση στα πλαίσια Online Kill Chain Frameworks

Δύο ερευνητές της μητρικής Meta του Facebook πρότειναν μια νέα προσέγγιση πλαισίου για την αντιμετώπιση διαδικτυακών απειλών, η οποία χρησιμοποιεί ένα κοινό μοντέλο για τον εντοπισμό, την περιγραφή, τη σύγκριση και τη διακοπή των επιμέρους φάσεων μιας αλυσίδας επίθεσης.

Η βάση του νέου τους «Online Operations Kill Chain» είναι η ιδέα ότι όλες οι διαδικτυακές επιθέσεις — όσο διαφορετικές και ανεξάρτητα από τα κίνητρά τους — συχνά μοιράζονται πολλά από τα ίδια κοινά βήματα. Για να ξεκινήσει οποιαδήποτε διαδικτυακή καμπάνια, για παράδειγμα, ένας εισβολέας θα απαιτούσε τουλάχιστον μια διεύθυνση IP, πιθανότατα ένα email ή ένα κινητό τηλέφωνο για επαλήθευση και δυνατότητες για απόκρυψη των περιουσιακών στοιχείων του. Αργότερα στην αλυσίδα επίθεσης, ο παράγοντας απειλής θα χρειαζόταν δυνατότητες συλλογής πληροφοριών, δοκιμής άμυνας στόχων, εκτέλεσης της πραγματικής επίθεσης, αποφυγής ανίχνευσης και παραμονής επίμονος.

Κοινή Ταξινόμηση και Λεξιλόγιο

Η χρήση μιας κοινής ταξινόμησης και λεξιλογίου για την απομόνωση και την περιγραφή καθεμιάς από αυτές τις φάσεις μπορεί να βοηθήσει τους υπερασπιστές να κατανοήσουν καλύτερα μια εκτυλισσόμενη επίθεση, ώστε να μπορούν να αναζητήσουν ευκαιρίες για να την διακόψουν πιο γρήγορα, είπαν οι ερευνητές του Meta.

«Θα τους επιτρέψει επίσης να συγκρίνουν πολλαπλές επιχειρήσεις σε ένα πολύ ευρύτερο φάσμα απειλών από ό,τι ήταν δυνατό μέχρι τώρα, για να εντοπίσουν κοινά πρότυπα και αδυναμίες στην επιχείρηση», έγραψαν οι δύο ερευνητές του Meta, Ben Nimmo και Eric Hutchins, σε ένα νέο. λευκό χαρτί στην αλυσίδα θανάτωσης τους. «Θα επιτρέψει σε διαφορετικές ομάδες έρευνας σε όλη τη βιομηχανία, την κοινωνία των πολιτών και την κυβέρνηση να μοιραστούν και να συγκρίνουν τις γνώσεις τους σχετικά με τις επιχειρήσεις και τους παράγοντες απειλών σύμφωνα με μια κοινή ταξινόμηση», σημείωσαν.

Ο Nimmo είναι ο ηγέτης πληροφοριών παγκόσμιας απειλής της Meta. Έχει βοηθήσει στην αποκάλυψη ξένων εκλογικών παρεμβάσεων στις Ηνωμένες Πολιτείες, το Ηνωμένο Βασίλειο και τη Γαλλία. Ο Χάτσινς, ερευνητής μηχανικός ασφαλείας στην ομάδα επιχειρήσεων επιρροής του Μέτα, ήταν ο συν-συγγραφέας των επιδράσεων της Lockheed Martin Πλαίσιο Cyber ​​Kill Chain για τον εντοπισμό και την προστασία από εισβολές στον κυβερνοχώρο.

Οι δύο ερευνητές περιγράφουν το Online Operations Kill Chain της Meta ως κάτι που είναι ζωτικής σημασίας για την ενοποίηση των προσπαθειών στην καταπολέμηση όλων των μορφών διαδικτυακών απειλών, που κυμαίνονται από εκστρατείες παραπληροφόρησης και παρέμβασης έως απάτες, απάτες και ασφάλεια των παιδιών. Επί του παρόντος, οι ομάδες ασφαλείας και ο ερευνητής που αντιμετωπίζουν αυτές τις διαφορετικές λειτουργίες απειλών τις προσεγγίζουν ως ξεχωριστά προβλήματα, αν και όλα έχουν κοινά στοιχεία, λέει ο Nimmo στο Dark Reading.

Breaking Down the Silos

«Συζητάμε με τόσες διαφορετικές ερευνητικές ομάδες για την κατασκοπεία στον κυβερνοχώρο, την απάτη και τις διαδικτυακές απάτες, και ξανά και ξανά ακούμε «οι κακοί σας κάνουν το ίδιο πράγμα με τους κακούς μας», λέει ο Nimmo. Οι ερευνητικές ομάδες μπορεί συχνά να χάνουν τα ουσιαστικά κοινά σημεία που μπορεί να υπάρχουν μεταξύ διαφορετικών επιχειρήσεων απειλών, επειδή οι υπερασπιστές εργάζονται σε σιλό, λέει.

Οι Nimmo και Hutchins διαφοροποιούν τη νέα τους αλυσίδα kill από το πλήθος άλλων πλαισίων αλυσίδας kill που είναι διαθέσιμα αυτήν τη στιγμή, με βάση το ότι εστιάζει ευρύτερα σε διαδικτυακές απειλές και παρέχει μια κοινή ταξινόμηση και λεξιλόγιο σε όλα αυτά.

Για παράδειγμα, η Lockheed Martin's αλυσίδα σκοτώματος εισβολής, τη Πλαίσιο MITER ATT & CK, η αλυσίδα εξόντωσης απάτης στον κυβερνοχώρο της Optiv και μια προτεινόμενη αλυσίδα εξόντωσης για εξαγορές επιθέσεων από το Digital Shadows είναι όλα προσαρμοσμένα για συγκεκριμένες διαδικτυακές απειλές. Δεν αντιμετωπίζουν όλο το φάσμα των διαδικτυακών απειλών που κάνει η αλυσίδα εξόντωσης του Meta, υποστήριξαν οι Nimmo και Hutchins. 

Ομοίως, κανένα από αυτά δεν αντιμετωπίζει τα προβλήματα που προκαλούνται από την έλλειψη κοινής ταξινόμησης και λεξιλογίου σε διαφορετικούς τύπους απειλών. Για παράδειγμα, στο χώρο της διαδικτυακής πολιτικής παρέμβασης, είναι σύνηθες οι υπερασπιστές να χρησιμοποιούν τους όρους «παραπληροφόρηση», «επιχειρήσεις πληροφόρησης», «περιστατικά παραπληροφόρησης», «κακοπληροφόρηση» και «επιχειρήσεις επιρροής» εναλλακτικά, αν και κάθε όρος μπορεί να έχει ξεχωριστό νόημα.

Ένας χάρτης και ένα λεξικό

Ο Nimmo περιγράφει το νέο Online Operations Kill Chain ως παρέχοντας έναν κοινό χάρτη και ένα είδος λεξικού που μπορούν να χρησιμοποιήσουν οι ομάδες ασφαλείας για να κατανοήσουν λογικά τη σειρά μιας εκστρατείας απειλής, ώστε να μπορούν να αναζητήσουν τρόπους να τη διαταράξουν. «Ο στόχος είναι πραγματικά να επιτραπεί όσο το δυνατόν περισσότερο δομημένη και διαφανής ανταλλαγή πληροφοριών», για να βοηθήσει στην καλύτερη άμυνα, λέει ο Nimmo.

Ο Hutchins λέει ότι το πλαίσιο της Meta επεκτείνει το εύρος των υπαρχουσών αλυσίδων θανάτωσης, ενώ εξακολουθεί να επικεντρώνεται σε αυτό που κάνει ο αντίπαλος - την ίδια αρχή πίσω από τα άλλα πλαίσια. Θεωρεί ότι το μοντέλο επιτρέπει σε ειδικούς σε θέματα ασφάλειας σε όλο τον κλάδο να μοιράζονται πιο εύκολα πληροφορίες που μπορεί να είχαν συγκεντρώσει από τα συγκεκριμένα πλεονεκτήματα τους. «Παρέχει μια ευκαιρία να συνδυάσουμε αυτά τα διαφορετικά κομμάτια με έναν τρόπο που δεν μπορούσαμε πριν», λέει ο Hutchins.

Το Online Operations Kills Chain της Meta αναλύει μια διαδικτυακή εκστρατεία απειλών σε 10 διαφορετικές φάσεις — τρεις περισσότερες από την αλυσίδα δολοφονίας της Lockheed Martin. Οι 10 φάσεις είναι:

1. Απόκτηση περιουσιακού στοιχείου: Αυτό συμβαίνει όταν ο παράγοντας της απειλής αποκτά περιουσιακά στοιχεία που απαιτούνται για την έναρξη μιας επιχείρησης. Τα περιουσιακά στοιχεία μπορεί να κυμαίνονται από διευθύνσεις IP και email έως λογαριασμούς μέσων κοινωνικής δικτύωσης, εργαλεία κακόβουλου λογισμικού, τομείς Ιστού, ακόμη και φυσικά κτίρια και χώρους γραφείων.

2. Συγκάλυψη περιουσιακών στοιχείων: Αυτή η φάση περιλαμβάνει προσπάθειες από τον παράγοντα απειλών να κάνει τα κακόβουλα περιουσιακά του στοιχεία να φαίνονται αυθεντικά, για παράδειγμα, χρησιμοποιώντας ψεύτικες φωτογραφίες προφίλ και φωτογραφίες προφίλ που δημιουργούνται από AI και πλαστοπροσωπώντας πραγματικούς ανθρώπους και οργανισμούς.

3. Συλλογή πληροφοριών: Αυτό μπορεί να περιλαμβάνει τη χρήση εμπορικά διαθέσιμων εργαλείων επιτήρησης για τη διεξαγωγή αναγνώρισης στόχων, την απόξεση δημόσιων πληροφοριών και τη συλλογή δεδομένων από λογαριασμούς μέσων κοινωνικής δικτύωσης.

4. Συντονισμός και προγραμματισμός: Τα παραδείγματα περιλαμβάνουν προσπάθειες από φορείς απειλών να συντονίσουν τις προσπάθειες παρενόχλησης ατόμων και οντοτήτων μέσω διαδικτυακών ρομπότ και τη δημοσίευση λιστών στόχων και hashtag.

5. Δοκιμή άμυνας πλατφόρμας: Ο στόχος σε αυτό το στάδιο είναι να δοκιμαστεί η ικανότητα των υπερασπιστών να ανιχνεύουν και να διακόπτουν μια κακόβουλη λειτουργία — για παράδειγμα, στέλνοντας μηνύματα ηλεκτρονικού ψαρέματος (spear-phishing) για να στοχεύουν άτομα ή δοκιμάζοντας νέο κακόβουλο λογισμικό έναντι μηχανών ανίχνευσης.

6. Ανίχνευση αποφυγής: Τα μέτρα σε αυτό το στάδιο μπορούν να περιλαμβάνουν τη χρήση VPN για τη δρομολόγηση της επισκεψιμότητας, την επεξεργασία εικόνων και τη γεωγραφική παράθεση κοινού ιστοτόπων.

7. Αδιάκριτη δέσμευση: Αυτό συμβαίνει όταν ένας παράγοντας απειλής μπορεί να εμπλακεί σε δραστηριότητες που δεν κάνουν καμία προσπάθεια να προσεγγίσουν ένα κοινό-στόχο. «Στην πραγματικότητα, είναι μια στρατηγική «ανάρτηση και προσευχή», που ρίχνει το περιεχόμενό τους στο διαδίκτυο και αφήνει στους χρήστες να το βρουν», σύμφωνα με τους ερευνητές του Meta.

8. Στοχευμένη δέσμευση: Το στάδιο σε μια διαδικτυακή επιχείρηση όπου ο παράγοντας απειλής κατευθύνει την κακόβουλη δραστηριότητα σε συγκεκριμένα άτομα και οργανισμούς.

9. Συμβιβασμός περιουσιακών στοιχείων: Σε αυτή τη φάση, ο παράγοντας απειλής αναλαμβάνει ή επιχειρεί να αναλάβει λογαριασμούς ή πληροφορίες, για παράδειγμα, χρησιμοποιώντας phishing και άλλες μεθόδους κοινωνικής μηχανικής για την απόκτηση διαπιστευτηρίων ή εγκατάσταση κακόβουλου λογισμικού σε ένα σύστημα θύματος.

10. Επιτρέποντας τη μακροζωία: Το μέρος κατά το οποίο ένας παράγοντας απειλής λαμβάνει μέτρα για να επιμείνει μέσω προσπαθειών κατάργησης. Παραδείγματα περιλαμβάνουν την αντικατάσταση απενεργοποιημένων λογαριασμών με νέους, τη διαγραφή αρχείων καταγραφής και τη δημιουργία νέων κακόβουλων τομέων Ιστού.

Το πλαίσιο δεν ορίζει κάποιο συγκεκριμένο αμυντικό μέτρο, ούτε υποτίθεται ότι βοηθά τους υπερασπιστές να κατανοήσουν τους στόχους μιας εκστρατείας, λέει ο Nimmo. «Η αλυσίδα θανάτωσης δεν είναι μια ασημένια σφαίρα. Δεν είναι μαγικό ραβδί», λέει. «Είναι ένας τρόπος να δομήσουμε τη σκέψη μας για το πώς να μοιραζόμαστε πληροφορίες».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/application-security/meta-proposes-revamped-kill-chain-framework-online-threats