Facebook ana şirketi Meta’daki iki araştırmacı, çevrimiçi tehditlerle başa çıkmak için, bir saldırı zincirinin bireysel aşamalarını tanımlamak, açıklamak, karşılaştırmak ve bozmak için paylaşılan bir model kullanan yeni bir çerçeve yaklaşımı önerdi.
Yeni “Çevrimiçi İşlemler Öldürme Zinciri”nin temeli, tüm çevrimiçi saldırıların – ne kadar farklı olursa olsun ve motivasyonları ne olursa olsun – genellikle aynı ortak adımların çoğunu paylaştığı fikridir. Örneğin, herhangi bir çevrimiçi kampanya başlatmak için, bir saldırganın en azından bir IP adresi, muhtemelen doğrulama için bir e-posta veya cep telefonu ve varlıklarını gizleme yetenekleri gerekir. Saldırı zincirinin ilerleyen kısımlarında, tehdit aktörü bilgi toplama, hedef savunmalarını test etme, gerçek saldırıyı gerçekleştirme, tespitten kaçma ve kalıcı kalma yeteneklerine ihtiyaç duyacaktır.
Paylaşılan Taksonomi ve Kelime Bilgisi
Meta araştırmacıları, bu aşamaların her birini izole etmek ve tanımlamak için ortak bir taksonomi ve kelime dağarcığı kullanmanın, savunucuların gelişen bir saldırıyı daha iyi anlamalarına yardımcı olabilir, böylece daha hızlı bir şekilde bozmak için fırsatlar arayabilirler, dedi Meta araştırmacıları.
İki Meta araştırmacısı Ben Nimmo ve Eric Hutchins, yeni bir yazıda, “Ayrıca, operasyondaki ortak kalıpları ve zayıflıkları belirlemek için şimdiye kadar mümkün olandan çok daha geniş bir tehdit yelpazesinde birden fazla operasyonu karşılaştırmalarını sağlayacak.” öldürme zincirlerinde beyaz kağıt. “Sektör, sivil toplum ve hükümet genelinde farklı araştırma ekiplerinin ortak bir taksonomiye göre operasyonlar ve tehdit aktörleri hakkındaki içgörülerini paylaşmalarına ve karşılaştırmalarına olanak tanıyacak” dediler.
Nimmo, Meta’nın küresel tehdit istihbarat lideridir. Amerika Birleşik Devletleri, İngiltere ve Fransa’daki yabancı seçim müdahalesinin ortaya çıkarılmasına yardımcı oldu. Meta’nın etki operasyonları ekibinde bir güvenlik mühendisi müfettişi olan Hutchins, Lockheed Martin’in etkili kitabının ortak yazarıydı. Cyber Kill Chain çerçevesi Siber saldırıları tespit etmek ve bunlara karşı korunmak için.
İki araştırmacı, Meta’nın Çevrimiçi Operasyonlar Öldürme Zincirini, dezenformasyon ve müdahale kampanyalarından dolandırıcılık, dolandırıcılık ve çocuk güvenliğine kadar her türlü çevrimiçi tehdide karşı mücadelede çabaları birleştirmek için hayati önem taşıyan bir şey olarak tanımlıyor. Nimmo, Dark Reading’e şu anda bu farklı tehdit operasyonlarını ele alan güvenlik ekipleri ve araştırmacının, hepsinin ortak unsurları olmasına rağmen bunlara ayrı sorunlar olarak yaklaştığını söylüyor.
Siloları Yıkmak
Nimmo, “Siber casusluk, dolandırıcılık ve çevrimiçi dolandırıcılık hakkında pek çok farklı soruşturma ekibiyle konuşuyoruz ve zaman zaman ‘sizin kötü adamlarınız bizim kötü adamlarımızla aynı şeyi yapıyor’ diye duyuyoruz” diyor. Savunucuların silolar halinde çalışması nedeniyle, soruşturma ekiplerinin farklı tehdit operasyonları arasında mevcut olabilecek anlamlı ortaklıkları sıklıkla gözden kaçırabileceğini söylüyor.
Nimmo ve Hutchins, yeni öldürme zincirlerini, daha geniş bir şekilde çevrimiçi tehditlere odaklanması ve hepsinde ortak bir taksonomi ve kelime dağarcığı sağlaması temelinde, şu anda mevcut olan diğer öldürme zinciri çerçevelerinden ayırıyor.
Örneğin, Lockheed Martin’in saldırı önleme zinciri, MITRE ATT&CK çerçevesi, Optiv’in siber dolandırıcılık önleme zinciri ve Digital Shadows’tan saldırı devralmaları için önerilen bir öldürme zincirinin tümü belirli çevrimiçi tehditler için uyarlanmıştır. Nimmo ve Hutchins, Meta’nın öldürme zincirinin yaptığı tüm çevrimiçi tehditleri ele almıyorlar.
Benzer şekilde, hiçbiri farklı tehdit türleri arasında ortak bir taksonomi ve sözcük dağarcığı eksikliğinden kaynaklanan sorunları ele almıyor. Örneğin, çevrimiçi siyasi müdahale alanında, savunucuların “dezenformasyon”, “bilgi operasyonları”, “yanlış bilgilendirme olayları”, “yanlış bilgilendirme” ve “etki operasyonları” terimlerini birbirinin yerine kullanması yaygın bir durumdur, ancak her terimin bir anlamı olabilir. ayrı anlam.
Bir Harita ve Sözlük
Nimmo, yeni Çevrimiçi Operasyonlar Öldürme Zincirini, güvenlik ekiplerinin bir tehdit kampanyasının sırasını mantıksal olarak anlamak için kullanabilecekleri ortak bir harita ve bir tür sözlük sağladığını ve böylece onu bozmanın yollarını arayabileceğini açıklıyor. Nimmo, “Amaç, gerçekten mümkün olduğunca çok yapılandırılmış ve şeffaf bilgi paylaşımını mümkün kılmaktır”, diyor Nimmo.
Hutchins, Meta’nın çerçevesinin mevcut öldürme zincirlerinin kapsamını genişletirken, rakibin ne yaptığına odaklanmaya devam ettiğini söylüyor – diğer çerçevelerin arkasındaki ilke aynı. Modelin, sektördeki güvenlik uzmanlarının kendi özel bakış açılarından toplamış olabilecekleri bilgileri daha kolay paylaşmalarına izin verdiğini düşünüyor. Hutchins, “Bu farklı parçaları daha önce yapamadığımız bir şekilde bir araya getirme fırsatı sağlıyor” diyor.
Meta’nın Çevrimiçi Operasyonları Öldürme Zinciri, bir çevrimiçi tehdit kampanyasını 10 farklı aşamaya ayırır – Lockheed Martin’in öldürme zincirinden üç fazla. 10 aşama şunlardır:
1. Varlık edinimi: Bu, tehdit aktörünün bir operasyon başlatmak için gerekli varlıkları edindiği zamandır. Varlıklar, bir IP ve e-posta adreslerinden sosyal medya hesaplarına, kötü amaçlı yazılım araçlarına, Web etki alanlarına ve hatta fiziksel binalara ve ofis alanlarına kadar değişebilir.
2. Varlıkları gizlemek: Bu aşama, tehdit aktörünün, örneğin sahte ve yapay zeka tarafından oluşturulmuş profil resimleri kullanarak ve gerçek kişi ve kuruluşları taklit ederek kötü amaçlı varlıklarını gerçekmiş gibi gösterme çabalarını içerir.
3. Bilgi toplama: Bu, hedef keşfi yapmak, kamuya açık bilgileri kazımak ve sosyal medya hesaplarından veri toplamak için ticari olarak mevcut gözetleme araçlarını kullanmayı içerebilir.
4. Koordinasyon ve planlama: Örnekler, tehdit aktörlerinin çevrimiçi botlar ve hedef ve hashtag listeleri yayınlama yoluyla insanları ve varlıkları taciz etme çabalarını koordine etme çabalarını içerir.
5. Platform savunmalarını test etme: Bu aşamadaki amaç, savunucuların kötü amaçlı bir işlemi tespit etme ve bozma yeteneğini test etmektir – örneğin, bireyleri hedeflemek için hedef odaklı kimlik avı e-postaları göndererek veya tespit motorlarına karşı yeni kötü amaçlı yazılımları test ederek.
6. Kaçınma Tespiti: Bu aşamadaki önlemler, trafiği yönlendirmek, görüntüleri düzenlemek ve web sitesi izleyicilerini coğrafi olarak sınırlamak için VPN’lerin kullanılmasını içerebilir.
7. Ayrım gözetmeyen angajman: Bu, bir tehdit aktörünün hedef kitleye ulaşmak için hiçbir çaba sarf etmeyen faaliyetlerde bulunabileceği zamandır. Meta araştırmacılarına göre, “Aslında, içeriklerini internete bırakarak ve onu bulmayı kullanıcılara bırakarak bir ‘gönder ve dua et’ stratejisidir.”
8. Hedeflenen etkileşim: Tehdit aktörünün kötü amaçlı etkinliği belirli bireylere ve kuruluşlara yönlendirdiği çevrimiçi bir operasyondaki aşama.
9. Varlık tavizi: Bu aşamada, tehdit aktörü örneğin kimlik bilgilerini elde etmek için kimlik avı ve diğer sosyal mühendislik yöntemlerini kullanarak veya bir kurban sistemine kötü amaçlı yazılım yükleyerek hesapları veya bilgileri devralır veya ele geçirmeye çalışır.
10. Uzun ömürlülüğü sağlamak: Bir tehdit aktörünün alt etme girişimlerinde ısrar etmek için önlemler aldığı kısım. Örnekler arasında devre dışı bırakılan hesapların yenileriyle değiştirilmesi, günlüklerin silinmesi ve yeni kötü amaçlı Web etki alanlarının oluşturulması yer alır.
Nimmo, çerçevenin herhangi bir özel savunma önlemi öngörmediğini ve savunucuların bir kampanyanın hedeflerini anlamalarına yardımcı olma iddiasında olmadığını söylüyor. “Öldürme zinciri sihirli değnek değil. Sihirli bir değnek değil” diyor. “Bilgiyi nasıl paylaşacağımıza dair düşüncemizi yapılandırmanın bir yolu.”