Dos investigadores de la matriz de Fb, Meta, propusieron un nuevo enfoque de marco para hacer frente a las amenazas en línea, que utiliza un modelo compartido para identificar, describir, comparar e interrumpir las fases individuales de una cadena de ataque.
La foundation de su nueva «Cadena de eliminación de operaciones en línea» es la strategy de que todos los ataques en línea, por diferentes que sean y sean cuales sean sus motivaciones, a menudo comparten muchos de los mismos pasos comunes. Para lanzar cualquier campaña en línea, por ejemplo, un atacante necesitaría al menos una dirección IP, probablemente un correo electrónico o un teléfono móvil para verificación, y capacidades para ocultar sus activos. Más adelante en la cadena de ataque, el actor de amenazas necesitaría capacidades para recopilar información, probar las defensas del objetivo, ejecutar el ataque real, evadir la detección y permanecer persistente.
Taxonomía y vocabulario compartidos
El uso de una taxonomía y un vocabulario compartidos para aislar y describir cada una de estas fases puede ayudar a los defensores a comprender mejor un ataque en desarrollo para que puedan buscar oportunidades para interrumpirlo más rápidamente, dijeron los investigadores de Meta.
«También les permitirá comparar múltiples operaciones en una gama mucho más amplia de amenazas de lo que ha sido posible hasta ahora, para identificar patrones comunes y debilidades en la operación», escribieron los dos investigadores de Meta, Ben Nimmo y Eric Hutchins, en un nuevo artículo. libro blanco sobre su cadena de muerte. «Permitirá que diferentes equipos de investigación en la industria, la sociedad civil y el gobierno compartan y comparen sus conocimientos sobre las operaciones y los actores de amenazas de acuerdo con una taxonomía común», señalaron.
Nimmo es el líder de inteligencia de amenazas global de Meta. Ha ayudado a exponer la interferencia electoral extranjera en los Estados Unidos, el Reino Unido y Francia. Hutchins, un ingeniero de seguridad investigador del equipo de operaciones de influencia de Meta, fue coautor del influyente libro de Lockheed Martin. Marco de Cyber Kill Chain para detectar y proteger contra intrusiones cibernéticas.
Los dos investigadores describen la Kill Chain de operaciones en línea de Meta como algo essential para unir esfuerzos en la lucha contra todas las formas de amenazas en línea, desde campañas de desinformación e interferencia hasta estafas, fraude y seguridad infantil. Actualmente, los equipos de seguridad y los investigadores que abordan estas diferentes operaciones de amenazas los abordan como problemas separados, aunque todos tienen elementos comunes, dice Nimmo a Darkish Looking at.
Rompiendo los silos
«Hablamos con tantos equipos de investigación diferentes sobre espionaje cibernético, fraude y estafas en línea, y una y otra vez escuchamos ‘los malos están haciendo lo mismo que los nuestros'», dice Nimmo. Los equipos de investigación a menudo pueden pasar por alto los puntos en común significativos que pueden estar presentes entre las diferentes operaciones de amenazas porque los defensores trabajan en silos, dice.
Nimmo y Hutchins diferencian su nueva cadena de matar de la gran cantidad de otros marcos de cadena de muerte que están disponibles actualmente, sobre la base de que se centra más ampliamente en las amenazas en línea y proporciona una taxonomía y un vocabulario comunes en todos ellos.
Por ejemplo, la cadena de eliminación de intrusiones de Lockheed Martin, el marco MITRE ATT&CK, la cadena de eliminación de fraude cibernético de Optiv y una cadena de eliminación propuesta para la adquisición de ataques de Digital Shadows están diseñadas para amenazas en línea específicas. No abordan el espectro completo de amenazas en línea que hace la cadena de eliminación de Meta, argumentaron Nimmo y Hutchins.
Del mismo modo, ninguno de ellos aborda los problemas causados por la falta de una taxonomía y un vocabulario comunes entre los diferentes tipos de amenazas. Por ejemplo, dentro del espacio de la interferencia política en línea, es común que los defensores utilicen los términos «desinformación», «operaciones de información», «incidentes de desinformación», «información maliciosa» y «operaciones de influencia» indistintamente, aunque cada término podría tener un significado distinto.
Un mapa y un diccionario
Nimmo explain la nueva Destroy Chain de operaciones en línea como un mapa común y una especie de diccionario que los equipos de seguridad pueden usar para comprender lógicamente la secuencia de una campaña de amenazas, de modo que puedan buscar formas de interrumpirla. «El objetivo es realmente permitir el intercambio de información tan estructurado y transparente como sea posible», para ayudar a informar mejores defensas, dice Nimmo.
Hutchins dice que el marco de Meta amplía el alcance de las cadenas de eliminación existentes sin dejar de centrarse en lo que está haciendo el adversario, el mismo principio detrás de los otros marcos. Él percibe que el modelo permite a los expertos en seguridad de la industria compartir más fácilmente la información que podrían haber recopilado desde sus puntos de vista específicos. «Proporciona la oportunidad de juntar estas diferentes piezas de una manera que no hemos podido antes», dice Hutchins.
La cadena de muertes de operaciones en línea de Meta divide una campaña de amenazas en línea en 10 fases diferentes, tres más que la cadena de muertes de Lockheed Martin. Las 10 fases son:
1. Adquisición de activos: Aquí es cuando el actor de la amenaza adquiere los activos necesarios para lanzar una operación. Los activos pueden variar desde una IP y direcciones de correo electrónico hasta cuentas de redes sociales, herramientas de malware, dominios website e incluso edificios físicos y oficinas.
2. Encubrimiento de activos: Esta fase incluye los esfuerzos del actor de amenazas para hacer que sus activos maliciosos parezcan auténticos, por ejemplo, utilizando imágenes de perfil falsas y generadas por IA y haciéndose pasar por personas y organizaciones reales.
3. Recopilación de información: Esto puede incluir el uso de herramientas de vigilancia disponibles comercialmente para realizar un reconocimiento de objetivos, recopilar información pública y recopilar datos de cuentas de redes sociales.
4. Coordinación y planificación: Los ejemplos incluyen los esfuerzos de los actores de amenazas para coordinar los esfuerzos para hostigar a personas y entidades a través de bots en línea y publicar listas de objetivos y hashtags.
5. Probar las defensas de la plataforma: El objetivo en esta etapa es probar la capacidad de los defensores para detectar e interrumpir una operación maliciosa, por ejemplo, mediante el envío de correos electrónicos de phishing dirigido a personas objetivo o la prueba de nuevo malware contra los motores de detección.
6. Evadir la detección: Las medidas en esta etapa pueden incluir el uso de VPN para enrutar el tráfico, editar imágenes y audiencias de sitios world-wide-web de geocercas.
7. Compromiso indiscriminado: Aquí es cuando un actor de amenazas puede participar en actividades que no hacen ningún esfuerzo por llegar a un público objetivo. «En efecto, es una estrategia de ‘publicar y rezar’, colocando su contenido en Internet y dejando que los usuarios lo encuentren», según los investigadores de Meta.
8. Participación dirigida: La etapa en una operación en línea donde el actor de amenazas dirige la actividad maliciosa a individuos y organizaciones específicas.
9. Compromiso de activos: En esta fase, el actor de amenazas se hace cargo o intenta hacerse cargo de las cuentas o la información, por ejemplo, mediante el uso de phishing y otros métodos de ingeniería social para adquirir credenciales o instalar malware en el sistema de una víctima.
10. Permitir la longevidad: La parte en la que un actor de amenazas toma medidas para persistir a través de los intentos de eliminación. Los ejemplos incluyen la sustitución de cuentas deshabilitadas por otras nuevas, la eliminación de registros y la creación de nuevos dominios web maliciosos.
El marco no prescribe ninguna medida defensiva específica, ni pretende ayudar a los defensores a comprender los objetivos de una campaña, dice Nimmo. «La cadena de muerte no es una bala de plata. No es una varita mágica», dice. «Es una forma de estructurar nuestro pensamiento sobre cómo compartir información».
