Meta desarrolla una nueva tesis de Kill Chain

por

La matriz de Facebook, Meta, ha presentado oficialmente un modelo de cadena de eliminación de diez fases que cree que será más inclusivo y más efectivo que la gama existente de modelos de cadena de eliminación.

Los teóricos de la ciberseguridad han buscado durante mucho tiempo comprender las etapas de un ataque. La idea es simple: si puede reconocer una etapa en el proceso de ataque, podrá interrumpir el ataque y proteger sus activos.

Esto ha llevado al desarrollo de cadenas de muerte, una lista secuencial de las distintas etapas. La Kill Chain original, y aún icónica, salió de Lockheed Martin en 2011: un análisis de siete etapas de un ataque conocido como Intrusion Kill Chain. Lockheed Martin describió la cadena de muerte como “un proceso sistemático para apuntar y atacar a un adversario para crear los efectos deseados”. Se llama ‘cadena’, porque si puede debilitar o degradar cualquiera de los enlaces, puede interrumpir el proceso de ataque.

Meta desarrolla una nueva tesis de Kill Chain
La cadena de eliminación de intrusos original de Lockheed Martin
Meta desarrolla una nueva tesis de Kill Chain
ben nimmo

A lo largo de los años, ha habido muchos intentos de definir cadenas de muerte mejores o más eficientes. Pero tienden a ser finalmente insatisfactorios. El problema es la relación asíncrona entre los atacantes y las cadenas de eliminación: hay muchos atacantes diferentes que usan muchos enfoques diferentes para atacar a muchos objetivos diferentes, que a veces tienen muchos equipos de respuesta y, a menudo, aislados, mientras que solo hay una cadena de eliminación.

Como resultado, cualquiera que sea la cadena de muerte que adopten los defensores, tiende a no ser un reflejo completo de todos los ataques, todo el tiempo, en todas partes. Es difícil para la persona adecuada encontrar el eslabón correcto en la cadena para interrumpir.

Este es el problema abordado por Ben Nimmo y Eric Hutchins de Meta en un estudio titulado Análisis táctico basado en fases de operaciones en línea (PDF). Nimmo es el líder de inteligencia de amenazas global de Meta. Hutchins es investigador del equipo de operaciones de influencia de Meta. Anteriormente estuvo con Lockheed Martin y fue coautor del libro blanco sobre la Intrusion Kill Chain original.

El enfoque Meta parte de la suposición de que, a pesar de la naturaleza asíncrona de los ataques, todavía existen puntos en común significativos, especialmente cuando esos puntos en común pueden abstraerse de la plataforma o el hardware que se ataca. Para Meta, el elemento humano del ataque es clave.

Se utilizaron seis principios rectores en su desarrollo: ‘basado en la observación’ (no diseñado para rastrear hipótesis, como metas estratégicas asumidas); ‘táctico’ (diseñado para análisis táctico, no para movimientos sociales orgánicos); ‘agnóstico de plataforma’ (adecuado para todo, desde redes sociales hasta sitios web más pequeños y proveedores de correo electrónico); ‘optimizado para operaciones de humano a humano’ (se puede aplicar a ataques de máquina a máquina, pero no está diseñado principalmente para ellos); ‘aplicable a una o varias plataformas’ (tanto operaciones monoplataforma como multiplataforma); y ‘modular’ (no todos los atacantes pasarán por todas las fases de la cadena).

1678990789 112 Meta desarrolla una nueva tesis de Kill Chain
eric hutchins

La cadena Meta Kill, dice el libro blanco, proporciona “un marco analítico que está diseñado para aplicarse a una amplia gama de operaciones en línea, especialmente aquellas en las que los objetivos son humanos. Estos incluyen, entre otros, ataques cibernéticos, operaciones de influencia, fraude en línea, trata de personas y reclutamiento de terroristas”.

Pero también está diseñado para ser útil para una gran cantidad de defensores, incluidos equipos de seguridad corporativos, investigadores independientes y agencias de aplicación de la ley. En una escala más pequeña, los equipos de seguridad pueden incluir grupos de respuesta efectivamente aislados. Cada uno de estos defensores será experto en descubrir diferentes eslabones en la cadena general, pero no necesariamente combinará todos los eslabones en una sola cadena observable. Al proporcionar una cadena completa con una taxonomía consistente y alentar el intercambio de datos (dentro de las restricciones de privacidad) entre las diferentes partes interesadas, Meta cree que los ciberdefensores aprenderán más sobre los ataques, las campañas, los grupos de ataque y los propósitos de los ataques, y podrán interrumpir mejor esos ataques. .

Como resultado, la Meta kill chain contiene más fases (diez) que la Intrusion Kill Chain original (siete). Por ejemplo, se incluyen dos nuevas fases antes de la fase de reconocimiento de Lockheed Martin: adquirir activos y ocultar activos. Es más probable que estas fases sean detectadas por investigadores independientes, agencias de aplicación de la ley y empresas de monitoreo de la web oscura que por equipos de seguridad corporativos, pero, sin embargo, son parte de la cadena de ataque general.

La lista completa de las diez fases de la cadena de muerte comprende:

  1. Adquirir activos
  2. disfrazar activos
  3. Reuniendo información
  4. Coordinación y planificación.
  5. Probar las defensas de la plataforma
  6. Eludir la detección
  7. Compromiso indiscriminado
  8. Compromiso dirigido
  9. Activos comprometedores
  10. Permitiendo la longevidad

Cada una de las fases se analiza y explica en el libro blanco, con abundantes ejemplos de la vida real. Se utilizan tres incidentes de seguridad bien documentados y entendidos para demostrar la aplicación de la cadena a eventos reales. Estos son la operación DCLeaks, el episodio de PeaceData y el movimiento de acoso contra las vacunas que Meta eliminó en 2021 (también conocido como ‘V_V’).

“El uso de este modelo”, dice Meta, “permite a los investigadores de Meta analizar operaciones individuales e identificar los primeros momentos en los que pueden detectarse e interrumpirse. También les permitirá comparar múltiples operaciones en una gama de amenazas mucho más amplia de lo que ha sido posible hasta ahora, para identificar patrones comunes y debilidades en la operación”.

Pero trasciende Meta solo. “Nuestro objetivo es que este nuevo marco de cadena de destrucción permita que diferentes equipos de investigación de la industria, la sociedad civil y el gobierno compartan y comparen sus conocimientos sobre las operaciones y los actores de amenazas de acuerdo con una taxonomía común, brindando a cada uno una mejor comprensión de cada amenaza y un más posibilidades de detectarlo e interrumpirlo”.

Relacionado: DHS utiliza Cyber ​​Kill Chain para analizar hacks electorales vinculados a Rusia

Relacionado: Rompiendo eslabones en la Kill Chain: Lecciones aprendidas de un piloto Stealth

Relacionado: The Intruder’s Kill Chain: detección de una presencia sutil

Relacionado: Rompiendo la Cadena de Asesinatos Cibernéticos

Fuente del artículo

Relacionado:

Paladin Cloud lanza una nueva plataforma de gobernanza y seguridad Paladin Cloud lanza una nueva plataforma de gobernanza y seguridad en la nube Una nueva falla de Linux permite a los atacantes obtener Una nueva falla de Linux permite a los atacantes obtener privilegios completos de raíz Hack for Hire Group apunta a entidades financieras y de viajes con Hack-for-Hire Group apunta a entidades financieras y de viajes con una nueva variante de malware de Janicab Default ThumbnailUna guía para abogados penalistas del Bronx: el camino desde el arresto hasta la lectura de cargos en el condado de Bronx, Nueva York Una nueva era del diseno web ya esta aqui Una nueva era del diseño web ya está aquí Una nueva amenaza puede bloquear automaticamente los dispositivos Apple –Una nueva amenaza puede bloquear automáticamente los dispositivos Apple – Krebs on Security

Deja un comentario