McAfee ATR piensa en gráficos


0. Introducción

John Lambert, un distinguido investigador especializado en inteligencia de amenazas en Microsoft, dijo una vez estas palabras que cambió de perspectiva: “Los defensores piensan en listas. Los atacantes piensan en gráficos ". Esto es cierto y, mientras siga siendo así, los atacantes ganarán la mayor parte del tiempo. Sin embargo, el verdadero poder de los gráficos no solo reside en construirlos, sino también en cómo los construimos y qué hacemos con ellos. Para eso, necesitamos reflexionar sobre la naturaleza de los datos y cómo podemos usar gráficos para darle sentido. I presentado sobre esta premisa en la MITRE ATT & CKcon Power Hour celebrada en enero de 2021.

En McAfee Advanced Threat Research (ATR), toda la inteligencia de amenazas relacionada con las campañas actuales, las amenazas potenciales y los ataques pasados ​​y presentes se recopila y normaliza en una única verdad, a saber, una instancia de base de datos relacional altamente redundante y escalable, y se distribuye en diferentes categorías. , incluyendo pero no limitado a Técnicas MITRE ATT & CK involucrados, herramientas utilizadas, actor de amenazas responsable y países y sectores objetivo. Esta información es un subconjunto de los datos disponibles en McAfee MVISION Insights. Se puede aprender mucho al observar los datos históricos de ataques, pero ¿cómo podemos juntar toda esta información para identificar nuevas relaciones entre amenazas y ataques? Hemos estado recopilando y procesando datos durante muchos años, pero identificar patrones rápidamente y dar sentido al conjunto de datos completo en su conjunto ha demostrado ser un verdadero desafío.

En nuestros esfuerzos recientes, hemos adoptado el análisis de inteligencia de amenazas utilizando representaciones gráficas. Una conclusión clave es que no se trata solo de mapear la inteligencia sobre campañas y amenazas en gráficos; la fortaleza radica en estudiar nuestros conjuntos de datos y aplicar algoritmos de gráficos para responder preguntas sobre los datos.

En este documento, proporcionamos una descripción extensa del conjunto de datos derivado de la inteligencia de amenazas que recopilamos. Establecemos la metodología aplicada para validar nuestro conjunto de datos y construir nuestras representaciones gráficas. Luego mostramos los resultados obtenidos de nuestro viaje de investigación como defensores que piensan en gráficos en lugar de listas.

La primera sección explica el tipo de datos que tenemos a nuestra disposición. La segunda sección describe el objetivo de nuestra investigación y el tipo de preguntas que queremos responder. Las secciones 3 y 4 establecen la metodología utilizada para procesar nuestro conjunto de datos y para validar que realmente podemos hacer algo útil con él mediante el uso de gráficos. La quinta sección describe el proceso de creación de gráficos, y la sección 6 muestra cómo usamos estos gráficos para responder las preguntas planteadas en la sección 2. La sección 7 presenta un elemento de investigación adicional para agregar más granularidad a nuestro experimento, y la sección 8 comparte las limitaciones de nuestra investigación y posibles formas de compensarlos. Las secciones 9 y 10 concluyen esta investigación con algunas reflexiones y propuestas de trabajo futuro.

Sección 1. Conjunto de datos

Nuestro conjunto de datos consiste en inteligencia de amenazas, ya sea recopilada o compartida con nuestro equipo, que se canaliza a nuestro MISP instancia y publicado para las partes interesadas relevantes. Estos datos se refieren a información sobre campañas, crimeware o ataques de estados-nación que están ocurriendo actualmente en el mundo, de amenazas potenciales o recurrentes (grupos). Los datos se dividen en varias categorías que se utilizan para establecer todo lo que sabemos sobre las cuatro preguntas básicas de qué, quién, dónde y cómo. Por ejemplo, el grupo ha llevado a cabo ciertos ataques contra países de Oriente Medio. Agua Fangosa y se han dirigido a varias empresas de las industrias del petróleo, el gas y las telecomunicaciones, aprovechando las campañas de spear phishing. El conjunto de datos utilizado para esta investigación es una recopilación de las respuestas a estas cuatro preguntas básicas sobre cada evento.

Sección 2. Objetivo de la investigación

La cantidad de datos que tenemos hace que sea casi imposible que tengan sentido de una sola pasada. La información se encuentra dispersa en cientos de eventos, en una base de datos que no necesariamente nos permite conectar cada pieza de información que tenemos en patrones relevantes. El objetivo de esta investigación es crear una metodología para que podamos conectar y visualizar información rápidamente, identificar patrones en nuestros datos que podrían revelar tendencias en, por ejemplo, el comportamiento del actor o el uso de la técnica MITRE. En este artículo, nos centramos específicamente en las tendencias de los actores y el uso de la técnica MITRE.

Al proporcionar tales herramientas, podemos responder preguntas sobre la frecuencia de los actores o las técnicas, la popularidad de las técnicas entre los actores y los patrones de comportamiento en el uso de la técnica entre los actores. Estas preguntas se presentan como tales:

Frecuencia

  • ¿Qué técnicas se observan con más frecuencia?
  • ¿Qué actores son los más activos?

Popularidad

  • ¿Qué técnicas son las más comunes entre los actores?

Patrones

  • ¿Podemos identificar grupos de actores utilizando las mismas técnicas?
  • ¿Los actores están usando técnicas de la misma manera?

Estas preguntas no son exhaustivas de todo lo que se puede lograr con esta metodología, pero revelan un ejemplo de lo que es posible.

Sección 3. Metodología

Dado que proponemos una forma de crear gráficos para dar sentido a los datos que tenemos, primero debemos validar nuestro conjunto de datos para asegurarnos de que los gráficos brinden algo útil. Para eso, necesitamos mirar la densidad esperada y la conectividad del gráfico. Si nuestro conjunto de datos es demasiado denso y está demasiado conectado, la creación de gráficos no dará como resultado algo que pueda tener sentido.

Después de establecer que nuestro conjunto de datos es graficable, podemos centrarnos en cómo lo graficaremos exactamente. Necesitamos establecer cuáles son nuestros nodos y qué define nuestros bordes. En este caso, proponemos dos representaciones: una visión centrada en eventos y una visión centrada en el actor, tomando respectivamente los eventos y los actores como puntos de referencia.

Una vez que hemos construido nuestros gráficos, investigamos diferentes técnicas y algoritmos para responder a las preguntas planteadas en la sección anterior. Este experimento nos proporciona información sobre nuestros datos, pero también sobre lo que nos falta en nuestros datos que podría darnos aún más información.

Las herramientas utilizadas para esta investigación son una herramienta interna denominada Graph Playground que brinda a los usuarios la posibilidad de crear visualizaciones gráficas no dirigidas del lado del cliente en su navegador, basadas en archivos CSV o JSON. Este software también ofrece una caja de herramientas con técnicas de análisis y algoritmos para usar en los gráficos.

Sección 4. Validación del conjunto de datos

Antes de crear representaciones gráficas adecuadas, debemos evaluar si el conjunto de datos se ajusta bien. Hay algunas métricas que pueden indicar que el conjunto de datos no es necesariamente apto para gráficos, uno de los cuales es el número promedio de conexiones (bordes) por nodo:

Este promedio nos da una indicación aproximada de cuántos bordes por nodo podemos esperar. Otra métrica útil es densidad del gráfico, definido como el número de aristas dividido por el número total de aristas posibles para un gráfico simple no dirigido. Normalmente se calcula mediante la siguiente fórmula:

Es una ecuación simple, pero ya puede brindar una gran comprensión de cómo se verá la gráfica. Un gráfico con alta densidad podría ser un gráfico superconectado en el que cada nodo se relaciona entre sí de alguna manera. Puede ser excelente para la visualización, pero no nos proporcionará nada útil a la hora de identificar patrones o diferenciar los diferentes componentes del gráfico.

Sección 5. Creación de gráficos

Con base en los datos disponibles, una forma intuitiva de crear gráficos es usar un evento de amenaza como nodo central y nodos conectados que representan técnicas MITRE, actores de amenazas, herramientas, países y sectores para ese nodo de evento.

Figura 1: Representación gráfica de los datos

La Figura 1 muestra la representación gráfica inicial usando cada evento y los metadatos asociados registrados en MISP. Las relaciones entre los nodos de eventos y otros nodos se definen de la siguiente manera: se utilizan técnicas y herramientas en un evento que se atribuye a un actor específico e implica una amenaza o ataque a determinados países y sectores.

Según la representación y nuestro conjunto de datos, el número de nodos obtenidos es | N | = 1.359 y el número total de aristas es | E | = 12,327. En nuestro caso, debido a que solo los nodos de eventos están conectados a otros nodos, si queremos verificar el número promedio de bordes por nodo, debemos mirar específicamente a los nodos de eventos. En el gráfico obtenido gramo, este promedio es igual a:

Para calcular la densidad, también debemos tener en cuenta el hecho de que solo los nodos de eventos tienen conexiones. La densidad del gráfico obtenido gramo es entonces igual a:

La densidad siempre resulta en un número entre 0 y 1. Con un promedio de 18 aristas por nodo de evento y una densidad de gráfico de 0.053, podemos esperar que el gráfico resultante sea relativamente escaso.

Figura 2: Representación completa de 705 eventos MISP

El gráfico completo obtenido con esta representación en la Figura 2, contra nuestras predicciones, parece mucho más denso de lo esperado. Tiene un clúster central obvio que está ocupado con nodos que están altamente interconectados, que consisten principalmente en nodos de eventos y técnicas. En la Figura 3, descartamos los nodos de la técnica MITRE, dejando los nodos de evento, país, sector y herramienta, para demostrar de dónde proviene el cálculo de baja densidad.

Figura 3: Representación sin los nodos de la técnica MITRE

La eliminación de los nodos de la técnica MITRE da como resultado un gráfico mucho menos denso. Esto puede ser una indicación de que algunos nodos de eventos y técnicas están muy interconectados, lo que significa que puede haber mucha superposición entre los eventos y las técnicas utilizadas.

Figura 4: Representación con solo eventos y nodos de técnica MITRE

La Figura 4 demuestra esta afirmación mostrándonos un gran grupo de eventos y nodos de técnica interconectados. Hay una serie de eventos en los que todos parecen estar usando la misma técnica. Sería interesante aislar este grupo y tomar nota de qué técnicas son exactamente, pero esta investigación nos lleva por otro camino.

Con base en los datos que tenemos, que consisten principalmente en eventos relacionados con crimeware, optamos por ignorar la información del país y del sector en nuestros análisis gráficos. Esto se debe a que estas campañas suelen ser independientes del sector y del país, y se basan en observaciones históricas. Por lo tanto, procedemos sin datos de países y sectores. Esto nos permite realizar alguna reducción de ruido, manteniendo los eventos como puntos de referencia.

También podemos llevar esto un paso más allá y colapsar los nodos de eventos para cambiar el enfoque a los nodos de actores con respecto a las herramientas y técnicas MITRE utilizadas. Esto da como resultado dos representaciones diferentes derivadas del gráfico original.

Sección 5.1 Vista centrada en eventos

Al eliminar los nodos de país y sector, nos quedamos con nodos de eventos conectados a los nodos de actor, técnica y herramienta. La figura 5 ilustra esta representación.

Figura 5: Representación sin nodos de país y sector

Esta representación resultante es una vista centrada en eventos y puede ayudarnos a responder preguntas específicas sobre la frecuencia de los actores involucrados, las técnicas o herramientas utilizadas durante las campañas y los ataques registrados.

Figura 6: Vista centrada en eventos

El gráfico de la Figura 6 es muy similar al original de la Figura 2, pero se ha eliminado el ruido que no es de interés real en esta etapa, de modo que realmente podemos enfocarnos en eventos relacionados con actores, técnicas y herramientas.

Sección 5.2 Vista centrada en el actor

Otra posible representación, debido a que los datos que tenemos sobre países y sectores son muy escasos, es centrar el gráfico alrededor de nodos de actores, conectados a técnicas y herramientas.

Figura 7: Presentación contraída de actores, técnicas y herramientas

La Figura 7 establece la relación entre los tres nodos restantes: actor, técnica y herramientas. El gráfico resultante se muestra en la Figura 8.

Figura 8: Vista centrada en el actor

Estas dos formas de crear gráficos basados ​​en nuestros datos proporcionan una vista centrada en eventos y una vista centrada en el actor y se pueden utilizar para responder diferentes preguntas sobre la inteligencia recopilada.

Sección 6. Uso de gráficos

Basándonos en las dos vistas generadas para nuestros datos, demostramos cómo se pueden usar ciertos algoritmos y técnicas relacionadas con gráficos para responder las preguntas planteadas en la Sección 2. Cada vista proporciona información sobre preguntas de frecuencia, popularidad o patrones.

Sección 6.1 Análisis de frecuencia

Which techniques are observed most often?

Para responder preguntas sobre la frecuencia de las técnicas utilizadas, debemos adoptar la perspectiva centrada en los eventos, porque estamos abordando directamente la frecuencia con la que hemos observado el uso de técnicas. Por lo tanto, tomamos este punto de vista y observamos el grado de nodos en el gráfico. Los nodos con un alto grado son nodos con más conexiones. Un nodo de técnica MITRE con un grado muy alto es un nodo que está conectado a un gran número de eventos.

Figura 9: Análisis de grado en la vista centrada en eventos con un enfoque en técnicas

La Figura 9 nos muestra la aplicación del análisis de grado en la vista centrada en eventos, revelando técnicas como Accesorio de spearphishing y Archivos o información ofuscados como las técnicas más frecuentemente observadas.

Which actors are the most active?

Se puede utilizar el mismo análisis de grado en esta vista para identificar qué actores se han registrado con mayor frecuencia.

Figura 10: Análisis de grado en la vista centrada en eventos con un enfoque en actores

Según los resultados que se muestran en la Figura 10, Sofacy, Grupo Lázaro, y COVELITA son los actores más registrados en nuestros datos.

Sección 6.2 Análisis de popularidad

Which techniques are the most common across actors?

Para responder preguntas sobre la popularidad de las técnicas entre los actores, debemos mirar la visión centrada en el actor, porque nos mostrará cómo las técnicas y los actores se relacionan entre sí. Si bien el análisis de títulos también funcionaría, podemos hacer uso de algoritmos de centralidad que miden cuánto control tiene un determinado nodo sobre una red, o en otros términos: qué tan popular es un determinado nodo.

Figura 11: Algoritmo de centralidad utilizado en la vista centrada en el actor

Ejecutar algoritmos de centralidad en el gráfico nos muestra que Archivos o información ofuscados y Ejecución del usuario son dos de las técnicas más populares observadas entre los actores.

6.3 Identificación de patrones

Can we identify groups of actors using the same techniques?

La palabra clave aquí es grupos de actores, lo que insinúa que estamos buscando agrupaciones. Para identificar grupos de actores que usan las mismas técnicas, podemos intentar usar algoritmos de agrupamiento para aislar actores que comportarse de la misma manera. Necesitamos aplicar estos algoritmos en la visión centrada en el actor. Sin embargo, también vemos que nuestra vista centrada en el actor en la Figura 8 tiene un conjunto de nodos bastante denso, y esto podría dificultar la construcción de clústeres.

Figura 12: algoritmo de agrupamiento utilizado en la vista centrada en el actor

Agrupación de Lovaina es una técnica de detección comunitaria que crea clústeres en función de la densidad de los bordes; La Figura 12 nos muestra los resultados de ejecutar este algoritmo. Vemos que fue posible construir algunos clusters, con una clara distinción entre el cluster naranja y el bundle de nodos, pero no es posible verificar cuán precisos son nuestros clusters, debido a la densidad del subgrafo donde parecen todos los nodos. estar interconectados.

Podemos sacar dos conclusiones de esto:

  1. Muchos actores usan las mismas técnicas.
  2. Necesitamos introducir información adicional si queremos desmembrar el denso paquete de nodos.

Esto nos lleva a la última pregunta importante:

Are actors using techniques in the same way?

Con la información que tenemos actualmente a nuestra disposición, no podemos evaluar realmente si una técnica se utilizó de la misma manera. Sería ideal especificar cómo un actor utilizó una determinada técnica y codificarla en nuestros gráficos. En la siguiente sección, presentamos un elemento adicional para, con suerte, proporcionar más granularidad para que podamos diferenciar mejor a los actores.

Sección 7. Introducción a la información de Killchain

Para proporcionar más granularidad y, con suerte, responder a la pregunta sobre los actores que utilizan técnicas de la misma manera, incorporamos la información de los pasos de la cadena de eliminación en nuestros gráficos. Un determinado ataque se puede utilizar para varios pasos de la cadena de eliminación. Creemos que agregar información sobre los pasos de la cadena de eliminación para especificar dónde se usa un ataque puede ayudarnos a diferenciar mejor entre los actores.

Figura 13: Representación que presenta un nodo de paso de killchain

Esta es una pequeña modificación que se produce en nuestra visión centrada en el actor. El gráfico resultante debería proporcionarnos más granularidad con respecto a cómo se utilizó realmente una técnica, que está presente en varios pasos.

Figura 14: Vista centrada en el actor con información de killchain

El gráfico resultante que se muestra en la Figura 14 es, a falta de una palabra mejor, decepcionante. Esto se debe a que la información de los pasos de la cadena de eliminación no nos ha proporcionado más granularidad, lo que a su vez se debe a nuestro conjunto de datos. Desafortunadamente, MISP no permite a los usuarios especificar cuándo se usa una técnica en un paso específico de la cadena de muerte, si esa técnica puede ocurrir en varios pasos. Al grabar una técnica de MITRE observada que puede ocurrir en varios pasos, todos los pasos se grabarán con esa técnica.

Sección 8. Limitaciones

MISP proporciona granularidad en términos de sub-técnicas de MITRE, pero no hay una diferenciación incorporada en los pasos de la cadena de eliminación. Todavía no es posible especificar exactamente en qué paso se utiliza una técnica presente en varios pasos. Esto elimina un cierto nivel de granularidad que podría ser útil en la visión centrada en el actor para diferenciar aún más entre actores. Si existiera tal diferenciación, la visión centrada en el actor podría colapsarse en:

Además, según los datos disponibles, está claro que los actores tienden a utilizar las mismas técnicas en general. Entonces me viene a la mente la cuestión de si el uso de técnicas MITRE para diferenciar entre actores es realmente útil. Quizás pueda usarse para descartar algunos actores notablemente diferentes, pero no la mayoría?

Las limitaciones de nuestra investigación también radican en las herramientas utilizadas. Graph Playground es ideal para análisis rápidos, pero las manipulaciones y el trabajo más extensos requerirían un motor más maleable.

Por último, nuestra investigación se centró en eventos MISP, actores de amenazas y técnicas MITRE. Si bien la mayoría de las preguntas sobre frecuencia, popularidad y reconocimiento de patrones se pueden responder de la misma manera para las herramientas, e incluso para el país y el sector, la lista de lo que se puede lograr con gráficos definitivamente no es exhaustiva.

Sección 9. Conclusión

Construyendo gráficos derecho way nos ayuda a visualizar nuestro gran conjunto de datos casi al instante y nos ayuda a dar sentido a los datos que vemos. En nuestro caso, derecho significa la forma que es más relevante para nuestro propósito. Al tener representaciones sensatas y relevantes, podemos conectar las amenazas cibernéticas, las campañas y los ataques a los actores de amenazas involucrados, las técnicas MITRE utilizadas y más.

Las representaciones gráficas no se tratan solo de canalizar todos nuestros datos en una visualización. Necesitamos pensar en cómo debemos construir nuestros gráficos para aprovecharlos al máximo, mientras intentamos mantener un rendimiento satisfactorio al escalar esos gráficos. Los gráficos con miles de nodos suelen tardar mucho en renderizarse, según el motor de visualización. Graph Playground genera gráficos a partir de un archivo en el lado del cliente, en el navegador. Esto hace que la generación sea increíblemente rápida.

Ciertos aspectos de nuestra investigación requieren una visión centrada en eventos, mientras que otros pueden, por ejemplo, requerir una visión centrada en el actor. También necesitamos evaluar si la construcción de gráficos es útil en primer lugar. Los datos altamente densos y conectados darán como resultado gráficos que no se pueden usar para nada particularmente interesante para nuestros análisis de inteligencia de amenazas.

Nuestra investigación ha resultado fructífera en el sentido de que se puede ganar mucho traduciendo nuestro conjunto de datos a representaciones adecuadas. Sin embargo, carecemos de un cierto nivel de granularidad que podría ayudarnos a diferenciar aún más ciertos aspectos de nuestros datos.

Para agregar a la cita de John Lambert, "Los defensores piensan en listas. Los atacantes piensan en gráficos. Y los analistas de Threat Intelligence crean gráficos adecuados y los utilizan de forma exhaustiva."

Sección 10. Trabajo futuro

Como se mencionó anteriormente, nos hemos encontrado con un problema de granularidad que vale la pena analizar para futuras investigaciones. Sería interesante considerar la incorporación de resultados de análisis de motores EDR, para aislar dónde se utilizó una técnica MITRE ATT & CK específica. Esto proporcionaría conocimientos mucho más profundos y, potencialmente, incluso más datos que podemos incluir en nuestras visualizaciones. Si tenemos éxito y procesamos esta información en nuestros gráficos, podríamos diferenciar mejor entre los actores que de otra manera parecen comportarse de la misma manera.

También podemos cambiar nuestra perspectiva e incluir información sobre el país y el sector, pero, para eso, debemos excluir todos los eventos relacionados con el software delictivo que sean independientes del sector o del país e incluir solo campañas que tengan objetivos específicos. Solo entonces dicha representación será útil para un análisis más detallado.

Otro punto que vale la pena mencionar para el trabajo futuro sería considerar la incorporación de recursos adicionales. los Mapa de Intezer OST, que es de código abierto, proporciona información sobre las herramientas utilizadas por los actores de amenazas para campañas conocidas. Sería interesante fusionar el conjunto de datos de Intezer con el nuestro y experimentar con nuestras representaciones gráficas basadas en este nuevo conjunto de datos.





Enlace a la noticia original