A Meta hivatalosan is közzétette új, tíz fázisból álló "kill chain" modelljét, ami a vállalat szerint átfogóbb és hatékonyabb módon írja le a kibertámadások egyes fázisait. A támadási folyamatok ilyen típusú, sorrend szerinti értelmezése már egy bő évtizede foglalkoztatja a szakembereket, mivel a megfelelő modell értelemszerűen hozzájárulhat azok megszakításához és a rendszerek védelméhez. A máig meghatározó szerkezeti séma még 2011-ből származik, amikor a Lockheed Martin egy hét szakaszból álló folyamatot határozott meg a támadások célzásában és szisztematikus lebonyolításában, feltételezve, hogy a lánc bármelyik elemének kiiktatásával elejét lehet venni az ilyen akciókat.

Hogy a Lockheed Martin modelljének továbbfejlesztésére irányuló kísérletek nem hoztak azóta sem kielégítő eredményt, annak okát a támadók és a kill chain közötti aszinkron kapcsolatban szokás keresni. A védekezésben ugyanis bármilyen általános sablont alkalmaznak, az nem írja le teljes mértékben, mindig és mindenhol a lehetséges támadásokat, így a megfelelő láncszemeket sem egyszerű azonosítani azok megszakításához. A Meta munkatársai (köztük az "eredeti" Intrusion Kill Chain white paper egyik szerzőjével) azonban abból a feltételezésből indultak ki, hogy a támadásokban azok aszinkron jellegével együtt is azonosíthatók jelentős közös vonások.

Mindenki hozzáteheti a magáét

A már tavaly beharangozott új rendszer ezért olyan pontokat keres, ahol lehetőség van elvonatkoztatni a megtámadott platformtól vagy hardvertől, ez pedig jellemzően az emberi tényező. A modell kidolgozása során igyekeztek a hipotézisek helyett a megfigyelésekre építeni, és kialakítani egy taktikai elemzésre szolgáló sémát, amit elsősorban az ember-ember közötti műveletekre optimalizáltak, egy- vagy többplatformos műveletekre is alkalmazható, és moduláris, amennyiben nem minden támadás megy keresztül a lánc minden fázisán. Ez az analitikai keretet szándékaik szerint az online műveletek széles körében alkalmazható – különösen, ha a célpontok is emberek.

A SecurityWeek beszámolója kiemeli, hogy a klasszikus értelemben vett kibertámadások mellett ide tartoznak a befolyásolási műveletek és az online csalások, de akár az embercsempészet vagy a terroristák toborzása is. A modell alapján a biztonsági csapatokalkalmazhatnak egymástól elzárt reagáló csapatokat, amelyek profik a lánc egyes elemeinek felfedezésében, de nem feltétlenül egyesítik mindet egyetlen megfigyelhető láncban. Ez utóbbit következetes taxonómiával és az adatmegosztás ösztönzésével biztosítanák az érdekelt felek között, miközben a Meta kill chain javaslata már tíz különböző fázisból áll, szemben a korábbi Intrusion Kill Chain hét elemével.

A Lockheed Martin felderítési szakasza előtt bejön például két új szakasz, az eszközök megszerzése és az eszközök álcázása, amit a bűnüldöző szervek vagy a dark webet figyelő kutatók nagyobb valószínűséggel észlelhetnek, mint a vállalati biztonsági csapatok. A Meta szerint ez lehetővé teszi az olyan korai jelek azonosítását, amikor a folyamat már észlelhető és megzavarható, illetve több művelet mintái és gyengeségei válnak összehasonlíthatóvá a fenyegetések szélesebb skáláján. A frissített keretrendszerben pedig az ipar, a civil társadalom vagy a kormányzati szereplők is ugyanabban a rendszertanban oszthatják meg tudásukat a fenyegetések szereplőiről és azok műveleteiről.

Részletek a SecurityWeek riportjában »

Phase-based Tactical Analysis of Online Operations [PDF] »