Meta proponuje ulepszone podejście do ram łańcuchów zabijania online

Dwóch badaczy z Meta, rodzica Facebooka, zaproponowało nowe podejście ramowe do radzenia sobie z zagrożeniami internetowymi, które wykorzystuje wspólny model do identyfikowania, opisywania, porównywania i zakłócania poszczególnych faz łańcucha ataków.

Podstawą ich nowego „Łańcucha zabijania operacji online” jest idea, że ​​wszystkie ataki online — niezależnie od tego, jak różne i niezależnie od ich motywacji — często mają wiele wspólnych kroków. Na przykład, aby uruchomić jakąkolwiek kampanię online, osoba atakująca potrzebowałaby co najmniej adresu IP, prawdopodobnie adresu e-mail lub telefonu komórkowego w celu weryfikacji oraz możliwości ukrycia swoich aktywów. Na późniejszym etapie łańcucha ataków atakujący będzie potrzebował możliwości gromadzenia informacji, testowania obrony celu, przeprowadzania rzeczywistego ataku, unikania wykrycia i pozostawania wytrwałym.

Wspólna taksonomia i słownictwo

Wykorzystanie wspólnej taksonomii i słownictwa do wyodrębnienia i opisania każdej z tych faz może pomóc obrońcom lepiej zrozumieć rozwijający się atak, aby mogli szukać okazji do szybszego przerwania go, twierdzą badacze Meta.

„Umożliwi im również porównanie wielu operacji w znacznie szerszym zakresie zagrożeń niż było to możliwe do tej pory, w celu zidentyfikowania wspólnych wzorców i słabych punktów w operacji” – napisali dwaj badacze Meta, Ben Nimmo i Eric Hutchins w nowym biała księga na ich łańcuchu zabijania. „Umożliwi to różnym zespołom dochodzeniowym z branży, społeczeństwa obywatelskiego i rządu dzielenie się i porównywanie swoich spostrzeżeń na temat operacji i cyberprzestępców zgodnie ze wspólną taksonomią” – zauważyli.

Nimmo jest globalnym liderem Meta ds. analizy zagrożeń. Pomógł ujawnić zagraniczną ingerencję w wybory w Stanach Zjednoczonych, Wielkiej Brytanii i Francji. Hutchins, śledczy inżynier bezpieczeństwa w zespole operacyjnym Mety, był współautorem wpływowej Ramy Cyber ​​Kill Chain do wykrywania i ochrony przed cyberatakami.

Obaj badacze opisują łańcuch zabijania operacji online Meta jako coś, co ma kluczowe znaczenie dla zjednoczenia wysiłków w walce ze wszystkimi formami zagrożeń internetowych, począwszy od kampanii dezinformacyjnych i ingerencji, a skończywszy na oszustwach, oszustwach i bezpieczeństwie dzieci. Obecnie zespoły ds. bezpieczeństwa i badacze zajmujący się tymi różnymi operacjami związanymi z zagrożeniami traktują je jako oddzielne problemy, chociaż wszystkie mają wspólne elementy, mówi Nimmo Dark Reading.

Rozbijanie silosów

„Rozmawiamy z wieloma różnymi zespołami dochodzeniowymi na temat cyberszpiegostwa, oszustw i oszustw internetowych i raz po raz słyszymy, że „twoi źli ludzie robią to samo, co nasi źli”” — mówi Nimmo. Zespoły dochodzeniowe często nie zauważają znaczących podobieństw, które mogą występować między różnymi operacjami związanymi z zagrożeniami, ponieważ obrońcy pracują w silosach, mówi.

Nimmo i Hutchins odróżniają swój nowy łańcuch zabijania od mnóstwa innych obecnie dostępnych struktur łańcuchów zabijania, ponieważ jest on bardziej skoncentrowany na zagrożeniach internetowych i zapewnia wspólną taksonomię i słownictwo dla wszystkich z nich.

Na przykład Lockheed Martin łańcuch zabijania włamańThe Framework MITER ATT & CK, łańcuch eliminacji oszustw internetowych firmy Optiv oraz proponowany łańcuch ataków do przejmowania ataków z Digital Shadows są dostosowane do konkretnych zagrożeń internetowych. Nie odnoszą się do pełnego spektrum zagrożeń internetowych, które ma łańcuch zabijania Meta, argumentowali Nimmo i Hutchins. 

Podobnie żadne z nich nie rozwiązuje problemów spowodowanych brakiem wspólnej taksonomii i słownictwa dla różnych typów zagrożeń. Na przykład w obszarze internetowej ingerencji politycznej obrońcy często używają terminów „dezinformacja”, „operacje informacyjne”, „incydenty dezinformacji”, „niewłaściwe informacje” i „operacje wywierania wpływu” zamiennie, chociaż każdy termin może mieć inne znaczenie. odrębne znaczenie.

Mapa i słownik

Nimmo opisuje nowy Łańcuch Zabijania Operacji Online jako wspólną mapę i rodzaj słownika, z którego zespoły bezpieczeństwa mogą korzystać, aby logicznie zrozumieć sekwencję kampanii zagrożeń, aby szukać sposobów na jej przerwanie. „Celem jest tak naprawdę umożliwienie jak najbardziej uporządkowanego i przejrzystego udostępniania informacji”, aby pomóc lepiej informować obronę, mówi Nimmo.

Hutchins mówi, że ramy Meta rozszerzają zakres istniejących łańcuchów zabijania, jednocześnie koncentrując się na tym, co robi przeciwnik — ta sama zasada jest stosowana w przypadku innych ram. Postrzega ten model jako umożliwiający ekspertom ds. bezpieczeństwa z całej branży łatwiejsze udostępnianie informacji, które mogli zebrać z ich określonych punktów obserwacyjnych. „Daje to możliwość połączenia tych różnych elementów w sposób, w jaki nie byliśmy w stanie wcześniej” — mówi Hutchins.

Meta Online Operations Kills Chain dzieli kampanię zagrożeń online na 10 różnych faz — o trzy więcej niż łańcuch zabijania firmy Lockheed Martin. 10 faz to:

1. Nabycie aktywów: W tym momencie cyberprzestępca nabywa aktywa wymagane do rozpoczęcia operacji. Zasoby mogą obejmować adresy IP i e-mail, konta w mediach społecznościowych, narzędzia złośliwego oprogramowania, domeny internetowe, a nawet fizyczne budynki i powierzchnie biurowe.

2. Ukrywanie majątku: Ta faza obejmuje działania podejmowane przez cyberprzestępców, aby ich złośliwe zasoby wyglądały na autentyczne, na przykład poprzez wykorzystywanie fałszywych i generowanych przez sztuczną inteligencję zdjęć profilowych oraz podszywanie się pod prawdziwe osoby i organizacje.

3. Zbieranie informacji: Może to obejmować korzystanie z dostępnych na rynku narzędzi nadzoru do przeprowadzania rekonesansu celu, zbierania informacji publicznych i zbierania danych z kont w mediach społecznościowych.

4. Koordynacja i planowanie: Przykłady obejmują działania cyberprzestępców mające na celu koordynację działań mających na celu nękanie ludzi i podmiotów za pośrednictwem botów internetowych oraz publikowanie list celów i hashtagów.

5. Testowanie zabezpieczeń platformy: Celem na tym etapie jest przetestowanie zdolności obrońców do wykrycia i przerwania złośliwej operacji — na przykład poprzez wysyłanie e-maili typu spear phishing do konkretnych osób lub testowanie nowego złośliwego oprogramowania w silnikach wykrywania.

6. Unikanie wykrycia: Środki na tym etapie mogą obejmować korzystanie z sieci VPN do kierowania ruchem, edytowania obrazów i geofencingu odbiorców witryn internetowych.

7. Masowe zaangażowanie: Dzieje się tak, gdy cyberprzestępca może angażować się w działania, które nie mają na celu dotarcia do grupy docelowej. „W efekcie jest to strategia„ publikuj i módl się ”, polegająca na umieszczaniu ich treści w Internecie i pozostawianiu ich użytkownikom do znalezienia”, według badaczy Meta.

8. Ukierunkowane zaangażowanie: Etap operacji online, w którym cyberprzestępca kieruje szkodliwą aktywność do określonych osób i organizacji.

9. Kompromitacja aktywów: W tej fazie cyberprzestępca przejmuje lub próbuje przejąć konta lub informacje, na przykład wykorzystując phishing i inne metody inżynierii społecznej w celu uzyskania danych uwierzytelniających lub instalując złośliwe oprogramowanie w systemie ofiary.

10. Umożliwianie długowieczności: Część, w której cyberprzestępca podejmuje działania mające na celu przetrwanie poprzez próby usunięcia. Przykłady obejmują zastępowanie wyłączonych kont nowymi, usuwanie dzienników i tworzenie nowych złośliwych domen internetowych.

Ramy nie określają żadnych konkretnych środków obronnych ani nie pomagają obrońcom zrozumieć celów kampanii, mówi Nimmo. „Łańcuch zabijania nie jest srebrną kulą. To nie jest magiczna różdżka – mówi. „Jest to sposób na uporządkowanie naszego myślenia o tym, jak dzielić się informacjami”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
• Źródło: https://www.darkreading.com/application-security/meta-proposes-revamped-kill-chain-framework-online-threats