Meta pakub uuendatud lähenemisviisi veebipõhisele tapmisahela raamistikule

Kaks Facebooki emaettevõtte Meta teadlast on pakkunud välja uue raamistiku lähenemisviisi võrguohtudega tegelemiseks, mis kasutab jagatud mudelit ründeahela üksikute faaside tuvastamiseks, kirjeldamiseks, võrdlemiseks ja katkestamiseks.

Nende uue "Online Operations Kill Chain" aluseks on idee, et kõigil võrgurünnakutel – olenemata nende erinevatest ja ajendist – on sageli palju samu ühiseid samme. Näiteks mis tahes võrgukampaania käivitamiseks vajab ründaja vähemalt IP-aadressi, tõenäoliselt kinnitamiseks e-posti või mobiiltelefoni, ja võimalust oma varade varjamiseks. Rünnakuahelas hiljem vajaks ohus osaleja võimeid koguda teavet, testida sihtmärgi kaitsemehhanisme, sooritada tegelik rünnak, vältida avastamist ja jääda püsivaks.

Ühine taksonoomia ja sõnavara

Ühise taksonoomia ja sõnavara kasutamine nende faaside eraldamiseks ja kirjeldamiseks võib aidata kaitsjatel arenevat rünnakut paremini mõista, et nad saaksid otsida võimalusi selle kiiremaks katkestamiseks, ütlesid Meta teadlased.

"Samuti võimaldab see võrrelda mitut operatsiooni palju laiemate ohtude puhul, kui on seni olnud võimalik, et tuvastada operatsiooni ühised mustrid ja nõrkused," kirjutasid kaks Meta teadlast Ben Nimmo ja Eric Hutchins uues ajakirjas. valge paber nende tapmisahela kohta. "See võimaldab erinevatel tööstuse, kodanikuühiskonna ja valitsuse uurimisrühmadel jagada ja võrrelda oma teadmisi operatsioonide ja ohus osalejate kohta vastavalt ühisele taksonoomiale," märkisid nad.

Nimmo on Meta globaalsete ohtude luurejuht. Ta on aidanud paljastada välisriikide valimistesse sekkumist Ameerika Ühendriikides, Ühendkuningriigis ja Prantsusmaal. Hutchins, Meta mõjuoperatsioonide meeskonna turvainsener-uurija, oli Lockheed Martini mõjuka teose kaasautor. Cyber ​​Kill Chain raamistik kübersissetungi tuvastamiseks ja nende eest kaitsmiseks.

Kaks teadlast kirjeldavad Meta võrguoperatsioonide tapmisahelat kui midagi, mis on ülioluline jõupingutuste ühendamiseks võitluses igasuguste võrguohtude vastu, alates desinformatsiooni- ja sekkumiskampaaniatest kuni pettuste, pettuste ja laste turvalisuseni. Praegu käsitlevad neid erinevaid ohuoperatsioone käsitlevad turvameeskonnad ja uurijad neid kui eraldi probleeme, kuigi neil kõigil on ühised elemendid, räägib Nimmo Dark Readingile.

Silohoidlate lõhkumine

"Räägime nii paljude erinevate uurimisrühmadega küberspionaaži, pettuste ja võrgupettuste teemal ning ikka ja jälle kuuleme, et "teie pahad teevad sama, mida meie pahalased"," ütleb Nimmo. Ta ütleb, et uurimisrühmad võivad sageli kahe silma vahele jätta tähenduslikud ühisjooned, mis võivad esineda erinevate ohuoperatsioonide vahel, kuna kaitsjad töötavad silohoidlates.

Nimmo ja Hutchins eristavad oma uut tapmisahelat paljudest muudest praegu saadaolevatest tapmisahela raamistikest selle põhjal, et see keskendub laiemalt veebiohtudele ning pakub neile kõigile ühtset taksonoomiat ja sõnavara.

Näiteks Lockheed Martini oma sissetungi tapmise kett, MITER ATT&CK raamistik, Optivi küberpettuste tapmisahel ja kavandatav tapmisahel rünnakute ülevõtmiseks Digital Shadowsilt on kõik kohandatud konkreetsete võrguohtude jaoks. Nimmo ja Hutchins väitsid, et need ei käsitle kõiki veebiohtusid, mida Meta tapmiskett teeb. 

Samuti ei käsitle ükski neist probleeme, mis on põhjustatud erinevate ohutüüpide ühise taksonoomia ja sõnavara puudumisest. Näiteks on võrgupoliitilise sekkumise puhul tavaline, et kaitsjad kasutavad mõisteid "desinformatsioon", "teabeoperatsioonid", "desinformatsioonijuhtumid", "vääreinformatsioon" ja "mõjutamistoimingud" vaheldumisi, kuigi igal terminil võib olla oma tähendus. selge tähendus.

Kaart ja sõnaraamat

Nimmo kirjeldab uut võrguoperatsioonide tapmisahelat kui ühist kaarti ja sõnaraamatut, mida turvameeskonnad saavad kasutada ohukampaania järjestuse loogiliseks mõistmiseks, et otsida võimalusi selle katkestamiseks. "Eesmärk on tõesti võimaldada võimalikult palju struktureeritud ja läbipaistvat teabe jagamist," selgitab Nimmo.

Hutchins ütleb, et Meta raamistik laiendab olemasolevate tapmisahelate ulatust, keskendudes samal ajal sellele, mida vastane teeb - sama põhimõte on teiste raamistike taga. Ta tajub, et mudel võimaldab kogu tööstuse turbeekspertidel hõlpsamini jagada teavet, mille nad võisid oma konkreetsetest vaatepunktidest koguda. "See annab võimaluse need erinevad tükid kokku panna viisil, mida me varem pole suutnud," ütleb Hutchins.

Meta võrguoperatsioonide tapmiskett jagab veebiohukampaania 10 erinevaks faasiks – kolm rohkem kui Lockheed Martini tapmiskett. 10 faasi on:

1. Varade soetamine: See on siis, kui ohus osaleja omandab operatsiooni alustamiseks vajalikud varad. Varad võivad ulatuda IP-st ja e-posti aadressidest sotsiaalmeedia kontode, pahavara tööriistade, veebidomeenide ja isegi füüsiliste hoonete ja kontoriruumideni.

2. Varjavad varad: See etapp hõlmab ohus osaleja jõupingutusi, et muuta oma pahatahtlikud varad autentseks, kasutades näiteks võltsitud ja tehisintellekti loodud profiilipilte ning kehastades tegelikke inimesi ja organisatsioone.

3. Teabe kogumine: See võib hõlmata kaubanduslikult saadaolevate seirevahendite kasutamist sihtmärgiga tutvumiseks, avaliku teabe kraapimist ja andmete kogumist sotsiaalmeedia kontodelt.

4. Koordineerimine ja planeerimine: Näited hõlmavad ohus osalejate jõupingutusi inimeste ja üksuste ahistamise koordineerimiseks veebirobotite kaudu ning sihtmärkide ja hashtagide loendite avaldamise kohta.

5. Platvormi kaitsemehhanismide testimine: Selles etapis on eesmärk testida kaitsjate võimet pahatahtlikku toimingut tuvastada ja häirida – näiteks saates üksikisikutele suunatud andmepüügimeile või testides uut pahavara tuvastusmootorite vastu.

6. Tuvastamisest kõrvalehoidmine: Selles etapis võetavad meetmed võivad hõlmata VPN-ide kasutamist liikluse suunamiseks, piltide redigeerimiseks ja veebisaidi vaatajaskondade geotara piiramiseks.

7. Valimatu seotus: See on siis, kui ohus osaleja võib tegeleda tegevustega, mis ei pinguta sihtrühmani jõudmiseks. "Tegelikult on see "postita ja palveta" strateegia, mille sisu puistatakse Internetti ja jäetakse kasutajatele selle leidmiseks, " ütlesid Meta teadlased.

8. Sihitud seotus: Võrguoperatsiooni etapp, kus ohus osaleja suunab pahatahtliku tegevuse konkreetsete isikute ja organisatsioonide pihta.

9. Varade kompromiss: Selles faasis võtab ohustaja üle kontosid või teavet või püüab neid üle võtta, kasutades näiteks andmepüügi ja muid sotsiaalse manipuleerimise meetodeid, et hankida mandaate või installida ohvrisüsteemi pahavara.

10. Pikaealisuse võimaldamine: See osa, kus ohus osaleja võtab mahavõtmiskatsete kaudu meetmeid, et püsida. Näited hõlmavad keelatud kontode asendamist uutega, logide kustutamist ja uute pahatahtlike veebidomeenide loomist.

Raamistik ei näe ette ühtegi konkreetset kaitsemeedet ega aita kaitsjatel mõista kampaania eesmärke, ütleb Nimmo. "Tapmiskett ei ole hõbekuul. See ei ole võluvits,” ütleb ta. "See on viis struktureerida oma mõtteid teabe jagamise kohta."

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
• Allikas: https://www.darkreading.com/application-security/meta-proposes-revamped-kill-chain-framework-online-threats