Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Meta đề xuất cách tiếp cận được cải tiến đối với khung chuỗi tiêu diệt trực tuyến

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 69

Hai nhà nghiên cứu tại Meta, công ty mẹ của Facebook, đã đề xuất một phương pháp khung mới để xử lý các mối đe dọa trực tuyến, sử dụng một mô hình được chia sẻ để xác định, mô tả, so sánh và phá vỡ các giai đoạn riêng lẻ của chuỗi tấn công.

Cơ sở của “Chuỗi tiêu diệt các hoạt động trực tuyến” mới của họ là ý tưởng rằng tất cả các cuộc tấn công trực tuyến - dù khác nhau và bất kể động cơ của chúng là gì - thường chia sẻ nhiều bước chung giống nhau. Chẳng hạn, để khởi chạy bất kỳ chiến dịch trực tuyến nào, kẻ tấn công sẽ yêu cầu ít nhất một địa chỉ IP, có thể là email hoặc điện thoại di động để xác minh và khả năng che giấu tài sản của chúng. Sau đó trong chuỗi tấn công, tác nhân đe dọa sẽ cần các khả năng thu thập thông tin, kiểm tra khả năng phòng thủ của mục tiêu, thực hiện cuộc tấn công thực tế, tránh bị phát hiện và duy trì sự kiên trì.

Chia sẻ phân loại và từ vựng

Các nhà nghiên cứu Meta cho biết, việc sử dụng phân loại và từ vựng được chia sẻ để cô lập và mô tả từng giai đoạn này có thể giúp những người bảo vệ hiểu rõ hơn về một cuộc tấn công đang diễn ra để họ có thể tìm kiếm cơ hội phá vỡ nó nhanh hơn.

Hai nhà nghiên cứu của Meta, Ben Nimmo và Eric Hutchins, đã viết trong một báo cáo mới: “Nó cũng sẽ cho phép họ so sánh nhiều hoạt động với phạm vi đe dọa rộng hơn nhiều so với khả năng có thể cho đến nay, để xác định các mô hình và điểm yếu chung trong hoạt động”. giấy trắng về chuỗi tiêu diệt của họ. “Nó sẽ cho phép các nhóm điều tra khác nhau trong ngành, xã hội dân sự và chính phủ chia sẻ và so sánh những hiểu biết của họ về các hoạt động và các tác nhân đe dọa theo một nguyên tắc phân loại chung,” họ lưu ý.

Nimmo là trưởng nhóm tình báo mối đe dọa toàn cầu của Meta. Ông đã giúp vạch trần sự can thiệp bầu cử nước ngoài ở Hoa Kỳ, Vương quốc Anh và Pháp. Hutchins, một điều tra viên kỹ sư bảo mật trong nhóm điều hành ảnh hưởng của Meta, là đồng tác giả của cuốn sách ảnh hưởng của Lockheed Martin. Hệ thống Cyber ​​Kill Chain để phát hiện và bảo vệ chống lại sự xâm nhập mạng.

Hai nhà nghiên cứu mô tả Chuỗi tiêu diệt các hoạt động trực tuyến của Meta là thứ rất quan trọng để hợp nhất các nỗ lực trong cuộc chiến chống lại tất cả các hình thức đe dọa trực tuyến, từ các chiến dịch can thiệp và thông tin sai lệch đến lừa đảo, gian lận và an toàn cho trẻ em. Hiện tại, các nhóm bảo mật và nhà nghiên cứu giải quyết các hoạt động đe dọa khác nhau này tiếp cận chúng như những vấn đề riêng biệt mặc dù chúng đều có những yếu tố chung, Nimmo nói với Dark Reading.

Phá vỡ các Silo

Nimmo nói: “Chúng tôi nói chuyện với rất nhiều nhóm điều tra khác nhau về gián điệp mạng, lừa đảo và lừa đảo trực tuyến, và hết lần này đến lần khác chúng tôi nghe thấy 'những kẻ xấu của bạn đang làm điều tương tự như những kẻ xấu của chúng tôi'. Ông nói, các nhóm điều tra thường có thể bỏ lỡ những điểm chung có ý nghĩa có thể có giữa các hoạt động đe dọa khác nhau vì những người bảo vệ làm việc trong các silo.

Nimmo và Hutchins phân biệt chuỗi giết người mới của họ với hàng loạt khuôn khổ chuỗi giết người khác hiện có, trên cơ sở nó tập trung rộng rãi hơn vào các mối đe dọa trực tuyến và cung cấp cách phân loại và từ vựng chung cho tất cả chúng.

Ví dụ, Lockheed Martin's chuỗi tiêu diệt xâm nhập, Các Khung ATT & CK MITER, chuỗi tiêu diệt gian lận mạng của Optiv và chuỗi tiêu diệt được đề xuất để tiếp quản cuộc tấn công từ Digital Shadows đều được điều chỉnh cho các mối đe dọa trực tuyến cụ thể. Nimmo và Hutchins lập luận rằng chúng không giải quyết được toàn bộ các mối đe dọa trực tuyến mà chuỗi tiêu diệt của Meta thực hiện. 

Tương tự, không có giải pháp nào giải quyết các vấn đề do thiếu phân loại và từ vựng chung giữa các loại mối đe dọa khác nhau. Ví dụ: trong không gian can thiệp chính trị trực tuyến, những người bảo vệ thường sử dụng các thuật ngữ “thông tin sai lệch”, “hoạt động thông tin”, “sự cố thông tin sai lệch”, “thông tin sai lệch” và “hoạt động gây ảnh hưởng” thay thế cho nhau, mặc dù mỗi thuật ngữ có thể có một ý nghĩa riêng biệt.

Bản đồ & Từ điển

Nimmo mô tả Chuỗi tiêu diệt hoạt động trực tuyến mới cung cấp một bản đồ chung và một từ điển các loại mà các nhóm bảo mật có thể sử dụng để hiểu một cách logic trình tự của một chiến dịch đe dọa, để họ có thể tìm cách phá vỡ nó. Nimmo nói: “Mục tiêu thực sự là cho phép chia sẻ thông tin có cấu trúc và minh bạch nhất có thể,” để giúp cung cấp thông tin cho hệ thống phòng thủ tốt hơn.

Hutchins cho biết khuôn khổ của Meta mở rộng phạm vi của các chuỗi tiêu diệt hiện có trong khi vẫn tập trung vào những gì kẻ thù đang làm — nguyên tắc tương tự đằng sau các khuôn khổ khác. Ông nhận thấy mô hình này cho phép các chuyên gia bảo mật trong toàn ngành chia sẻ thông tin dễ dàng hơn mà họ có thể đã thu thập được từ các điểm thuận lợi cụ thể của họ. Hutchins nói: “Nó mang đến cơ hội để ghép những phần khác nhau này lại với nhau theo cách mà chúng tôi chưa từng làm được trước đây.

Chuỗi tiêu diệt hoạt động trực tuyến của Meta chia chiến dịch đe dọa trực tuyến thành 10 giai đoạn khác nhau — nhiều hơn ba giai đoạn so với chuỗi tiêu diệt của Lockheed Martin. 10 giai đoạn là:

1. Mua lại tài sản: Đây là khi tác nhân đe dọa có được tài sản cần thiết để khởi động một hoạt động. Nội dung có thể bao gồm từ địa chỉ IP và email đến tài khoản mạng xã hội, công cụ phần mềm độc hại, miền Web và thậm chí cả các tòa nhà vật lý và không gian văn phòng.

2. Ngụy trang tài sản: Giai đoạn này bao gồm các nỗ lực của tác nhân đe dọa nhằm làm cho tài sản độc hại của chúng trông giống thật, chẳng hạn như bằng cách sử dụng ảnh hồ sơ giả và do AI tạo cũng như mạo danh người và tổ chức thực.

3. Thu thập thông tin: Điều này có thể bao gồm việc sử dụng các công cụ giám sát có sẵn trên thị trường để tiến hành trinh sát mục tiêu, thu thập thông tin công khai và thu thập dữ liệu từ các tài khoản mạng xã hội.

4. Phối hợp và lập kế hoạch: Các ví dụ bao gồm nỗ lực của các tác nhân đe dọa nhằm phối hợp nỗ lực quấy rối mọi người và tổ chức thông qua bot trực tuyến và xuất bản danh sách các mục tiêu và thẻ bắt đầu bằng #.

5. Kiểm tra khả năng phòng thủ của nền tảng: Mục tiêu ở giai đoạn này là kiểm tra khả năng của những người bảo vệ trong việc phát hiện và phá vỡ hoạt động độc hại — ví dụ: bằng cách gửi email lừa đảo trực tiếp đến các cá nhân mục tiêu hoặc thử nghiệm phần mềm độc hại mới chống lại các công cụ phát hiện.

6. Trốn tránh sự phát hiện: Các biện pháp ở giai đoạn này có thể bao gồm sử dụng VPN để định tuyến lưu lượng truy cập, chỉnh sửa hình ảnh và định vị đối tượng trang web.

7. Dấn thân bừa bãi: Đây là lúc kẻ đe dọa có thể tham gia vào các hoạt động mà không cần nỗ lực tiếp cận đối tượng mục tiêu. “Trên thực tế, đó là một chiến lược 'đăng và cầu nguyện', đưa nội dung của họ lên internet và để người dùng tìm thấy nó," theo các nhà nghiên cứu của Meta.

8. Cam kết có mục tiêu: Giai đoạn trong một hoạt động trực tuyến nơi tác nhân đe dọa hướng hoạt động độc hại vào các cá nhân và tổ chức cụ thể.

9. Thỏa thuận tài sản: Trong giai đoạn này, tác nhân đe dọa tiếp quản hoặc cố gắng chiếm đoạt tài khoản hoặc thông tin chẳng hạn bằng cách sử dụng các phương pháp lừa đảo và kỹ thuật xã hội khác để lấy thông tin đăng nhập hoặc cài đặt phần mềm độc hại trên hệ thống nạn nhân.

10. Kéo dài tuổi thọ: Phần khi một tác nhân đe dọa thực hiện các biện pháp để tồn tại thông qua các nỗ lực gỡ xuống. Các ví dụ bao gồm thay thế tài khoản bị vô hiệu hóa bằng tài khoản mới, xóa nhật ký và tạo miền Web độc hại mới.

Nimmo cho biết, khuôn khổ này không quy định bất kỳ biện pháp phòng thủ cụ thể nào, cũng như không nhằm mục đích giúp những người phòng thủ hiểu được mục tiêu của một chiến dịch. “Chuỗi tiêu diệt không phải là viên đạn bạc. Nó không phải là một cây đũa thần,” anh nói. “Đó là một cách để cấu trúc suy nghĩ của chúng ta về cách chia sẻ thông tin.”

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.