Meta predlaga prenovljen pristop k spletnim ogrodjem verige ubijanja

Dva raziskovalca pri Facebookovem staršu Meta sta predlagala nov okvirni pristop za obravnavo spletnih groženj, ki uporablja skupni model za identifikacijo, opisovanje, primerjavo in prekinitev posameznih faz verige napadov.

Osnova njihove nove »verige ubijanja spletnih operacij« je zamisel, da imajo vsi spletni napadi – ne glede na to, ali so različni in kakšni so motivi – pogosto enake. Za zagon kakršne koli spletne kampanje bi napadalec na primer potreboval vsaj naslov IP, verjetno e-pošto ali mobilni telefon za preverjanje, in zmogljivosti za prikrivanje svojih sredstev. Kasneje v verigi napada bi akter grožnje potreboval zmogljivosti za zbiranje informacij, preizkušanje obrambe tarče, izvedbo dejanskega napada, izogibanje odkrivanju in ohranjanje vztrajnosti.

Skupna taksonomija in besednjak

Uporaba skupne taksonomije in besedišča za izolacijo in opis vsake od teh faz lahko pomaga branilcem bolje razumeti razvijajoči se napad, tako da lahko iščejo priložnosti, da ga hitreje motijo, so povedali raziskovalci Mete.

"Prav tako jim bo omogočilo primerjavo več operacij v veliko širšem obsegu groženj, kot je bilo mogoče doslej, da bi prepoznali skupne vzorce in slabosti v operaciji," sta raziskovalca Mete, Ben Nimmo in Eric Hutchins, zapisala v novem beli papir na njihovi verigi ubijanja. "Omogočil bo različnim preiskovalnim skupinam v industriji, civilni družbi in vladi, da delijo in primerjajo svoje vpoglede v operacije in akterje groženj v skladu s skupno taksonomijo," so opozorili.

Nimmo je Metin vodja globalnega obveščanja o grožnjah. Pomagal je razkriti tuje vmešavanje v volitve v ZDA, Združenem kraljestvu in Franciji. Hutchins, preiskovalec varnostnega inženirja v Metini skupini za vplivne operacije, je bil soavtor vplivnega Lockheed Martinovega Ogrodje Cyber ​​Kill Chain za odkrivanje in zaščito pred kibernetskimi vdori.

Raziskovalca opisujeta Metino verigo ubijanja spletnih operacij kot nekaj, kar je bistvenega pomena za združevanje prizadevanj v boju proti vsem oblikam spletnih groženj, od kampanj dezinformacij in vmešavanja do prevar, goljufij in varnosti otrok. Trenutno varnostne ekipe in raziskovalci, ki obravnavajo te različne operacije groženj, obravnavajo kot ločene težave, čeprav imajo vsi skupne elemente, Nimmo pove za Dark Reading.

Razbijanje silosov

»Pogovarjamo se s toliko različnimi preiskovalnimi ekipami o kibernetskem vohunjenju, goljufijah in spletnih goljufijah in vedno znova slišimo 'vaši negativci počnejo isto stvar kot naši negativci',« pravi Nimmo. Preiskovalne skupine lahko pogosto spregledajo pomembne skupne značilnosti, ki bi lahko bile prisotne med različnimi operacijami groženj, ker branilci delajo v silosih, pravi.

Nimmo in Hutchins svojo novo verigo ubijanja razlikujeta od kopice drugih ogrodij verige uničenja, ki so trenutno na voljo, na podlagi tega, da je širše osredotočena na spletne grožnje in zagotavlja skupno taksonomijo in besednjak za vse.

Na primer Lockheed Martin's veriga ubijanja vdoraje Okvir MITER ATT & CK, Optivova veriga uničenja kibernetske goljufije in predlagana veriga uničenja za napade, ki prevzemajo Digital Shadows, so vsi prilagojeni za specifične spletne grožnje. Nimmo in Hutchins sta trdila, da ne obravnavajo celotnega spektra spletnih groženj, kot jih Metina veriga ubijanja. 

Podobno nobena od njih ne obravnava težav, ki jih povzroča pomanjkanje skupne taksonomije in besedišča za različne vrste groženj. Na primer, znotraj prostora spletnega političnega vmešavanja je običajno, da zagovorniki izmenično uporabljajo izraze »dezinformacije«, »informacijske operacije«, »dezinformacijski incidenti«, »napačne informacije« in »vplivne operacije«, čeprav ima lahko vsak izraz izrazit pomen.

Zemljevid in slovar

Nimmo opisuje novo Online Operations Kill Chain kot zagotavljanje skupnega zemljevida in nekakšnega slovarja, ki ga varnostne ekipe lahko uporabijo za logično razumevanje zaporedja groženjske kampanje, tako da lahko iščejo načine, kako jo motiti. "Cilj je v resnici omogočiti čim več strukturirane in pregledne izmenjave informacij," da bi pripomogli k boljši obrambi, pravi Nimmo.

Hutchins pravi, da Metin okvir razširja obseg obstoječih uničevalnih verig, medtem ko je še vedno osredotočen na to, kar počne nasprotnik – isto načelo za drugimi okviri. Po njegovem mnenju model omogoča varnostnim strokovnjakom v celotni panogi lažjo izmenjavo informacij, ki so jih morda zbrali s svojih posebnih izhodišč. »Zagotavlja priložnost, da te različne dele združimo na način, ki ga prej nismo mogli,« pravi Hutchins.

Meta's Online Operations Kills Chain razdeli spletno kampanjo groženj na 10 različnih faz - tri več kot veriga ubijanja Lockheed Martina. 10 faz je:

1. Pridobitev sredstev: Takrat akter grožnje pridobi sredstva, potrebna za začetek operacije. Sredstva lahko obsegajo vse od IP-ja in e-poštnih naslovov do računov družbenih medijev, orodij za zlonamerno programsko opremo, spletnih domen in celo fizičnih zgradb in pisarniških prostorov.

2. Prikrivanje sredstev: Ta faza vključuje prizadevanja akterja grožnje, da bi njihova zlonamerna sredstva izgledala pristna, na primer z uporabo ponarejenih profilnih slik in profilov, ustvarjenih z umetno inteligenco, ter lažnim predstavljanjem resničnih ljudi in organizacij.

3. Zbiranje informacij: To lahko vključuje uporabo komercialno dostopnih nadzornih orodij za izvajanje izvidovanja ciljev, strganje javnih informacij in zbiranje podatkov iz računov družbenih medijev.

4. Koordinacija in načrtovanje: Primeri vključujejo prizadevanja akterjev groženj za usklajevanje prizadevanj za nadlegovanje ljudi in subjektov prek spletnih botov ter objavljanje seznamov tarč in hashtagov.

5. Testiranje obrambe platforme: Cilj na tej stopnji je preizkusiti sposobnost zagovornikov, da odkrijejo in prekinejo zlonamerno operacijo - na primer s pošiljanjem e-poštnih sporočil z lažnim predstavljanjem ciljnim posameznikom ali preizkušanjem nove zlonamerne programske opreme proti motorjem za odkrivanje.

6. Izmikanje zaznavanju: Ukrepi na tej stopnji lahko vključujejo uporabo VPN-jev za usmerjanje prometa, urejanje slik in geografsko omejevanje občinstva spletnega mesta.

7. Nediskriminatorno sodelovanje: Takrat se akter grožnje lahko vključi v dejavnosti, ki ne poskušajo doseči ciljne skupine. »Pravzaprav gre za strategijo 'objavi in ​​moli', pri čemer njihovo vsebino spustijo na internet in prepustijo uporabnikom, da jo najdejo,« pravijo raziskovalci Mete.

8. Ciljno udejstvovanje: Faza v spletni operaciji, kjer akter grožnje usmerja zlonamerno dejavnost na določene posameznike in organizacije.

9. Kompromis sredstev: V tej fazi akter grožnje prevzame ali poskuša prevzeti račune ali informacije tako, da na primer uporabi lažno predstavljanje in druge metode socialnega inženiringa za pridobitev poverilnic ali namestitev zlonamerne programske opreme v sistem žrtve.

10. Omogočanje dolgoživosti: Del, ko akter grožnje sprejme ukrepe, da vztraja pri poskusih odstranitve. Primeri vključujejo zamenjavo onemogočenih računov z novimi, brisanje dnevnikov in ustvarjanje novih zlonamernih spletnih domen.

Nimmo pravi, da okvir ne predpisuje nobenega posebnega obrambnega ukrepa, niti ne pomaga branilcem razumeti cilje kampanje. »Ubijalska veriga ni srebrna krogla. To ni čarobna palica,« pravi. "To je način za strukturiranje našega razmišljanja o tem, kako deliti informacije."

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
• vir: https://www.darkreading.com/application-security/meta-proposes-revamped-kill-chain-framework-online-threats