Meta pesquisadores dizem que sua estrutura Kill Chain de Operações Online oferece uma taxonomia comum para entender o cenário de ameaças e detectar vulnerabilidades. Então, confira o novo modelo de kill chain da Meta.
Em abril de 2014, a Lockheed Martin revolucionou o negócio de defesa cibernética ao publicar um white paper seminal Defesa de rede de computador orientada por inteligência informada pela análise de campanhas adversárias e cadeias de destruição de intrusão. Este documento desencadeou uma nova onda de pensamento sobre adversários digitais, especificamente, grupos de ameaças persistentes avançadas (APTs) de estado-nação.
Os autores do artigo argumentaram que, ao alavancar o conhecimento de como esses adversários operam, os defensores cibernéticos “podem criar um ciclo de feedback de inteligência, permitindo que os defensores estabeleçam um estado de superioridade de informações que diminui a probabilidade de sucesso do adversário em cada tentativa de invasão subsequente”.
Esse chamado modelo de kill chain poderia “descrever fases de invasões, mapear indicadores de cadeias de mortes adversárias para cursos de ação dos defensores, identificar padrões que ligam invasões individuais a campanhas mais amplas e entender a natureza iterativa da coleta de informações formam a base da inteligência orientada defesa da rede de computadores.”
Oito anos depois, um dos autores do artigo, Eric Hutchins, agora um engenheiro de segurança investigador da Meta, e seu colega, Ben Nimmo, líder global de inteligência de ameaças da Meta, apresentaram um novo modelo de kill chain da Meta na conferência Cyberwarcon deste ano que atravessa os silos típicos das operações online para fornecer uma estrutura comum que eles chamam de “cadeia de matança de operações online”.
Uma taxonomia comum de ameaças
Com foco nos desafios únicos enfrentados pelas operações online, os pesquisadores da Meta criaram uma taxonomia de ameaças comum que pode ajudá-los a entender melhor o cenário de ameaças e detectar vulnerabilidades na defesa coletiva do setor. “O primeiro trabalho era obviamente apenas entender o que estava acontecendo e o que os malfeitores estavam fazendo”, disse Nimmo aos participantes da Cyberwarcon.
“Então, tratava-se realmente de analisá-los, decompô-los e depois derrubá-los. O que vimos cada vez mais foi que quanto mais entendíamos esses agentes de ameaças, mais havia pontos em comum entre eles. Haveria pontos em comum entre diferentes operações do mesmo tipo, mas também haveria pontos em comum entre operações muito diferentes. Então, nos últimos 18 meses, criamos uma estrutura que realmente nos permite dividir e tabular, analisar essas semelhanças em todos os tipos, todos os diferentes tipos de operação com os quais lidamos”, disse Nimmo.
Desafios
Hutchins disse que um dos maiores desafios ao criar o novo modelo de kill chain da Meta foi garantir que ele se aplicasse a muitas operações diferentes que atravessam os silos de espionagem e operações de informação. “Os adversários, claro, não cumprem os termos das regras”, disse.
“Um grande exemplo desse tipo de operação é a campanha Ghostwriter, uma operação que usa tanto aquisições de contas quanto concessões. Mas uma vez que essas contas são comprometidas, você as usa para conduzir uma operação de influência.” Ghostwriter foi uma campanha de influência que teve como alvo a Lituânia, Letônia e Polônia e promoveu narrativas críticas à presença da Organização do Tratado do Atlântico Norte (OTAN) na Europa Oriental.
O novo modelo de kill chain da Meta foi projetado para preencher a lacuna entre as operações de informações prejudiciais e outros tipos de comportamento malicioso online, disse Nimmo. “Nós o projetamos para qualquer tipo de operação onde, se preferir, há um ser humano em ambas as pontas da cadeia. Há um ator que está tentando obter um efeito e há algum tipo de ser humano que eles estão mirando. Nós o projetamos o mais amplamente possível.”
“O novo modelo de kill chain da Meta é baseado no princípio de que, fundamentalmente, se você estiver executando uma operação online, não importa o que planeja fazer com ela, alguns pontos em comum serão aplicados. Você precisa ser capaz de ficar online. Se você vai operar em mídia social, provavelmente precisará de contas de mídia social”, disse Nimmo. “Haverá semelhanças que podemos ver, detectar, compartilhar, descrever e lidar. E essa é a base dessa abordagem. Ele está procurando por esses pontos em comum e tentando transformá-los em uma única estrutura.”
O novo modelo de kill chain da Meta consiste em dez fases
- Adquira ativos, que podem, por exemplo, obter um endereço IP, endereços de e-mail, números de telefone, carteiras criptográficas ou o que os adversários precisam para operar. “Vimos uma operação maravilhosa na Rússia no início deste ano, onde eles parecem ter comprado um monte de pufes para seus operadores se acomodarem”, disse Nimmo.
- Disfarçar ativos, que é como os adversários fazem seus ativos parecerem autênticos porque as operações devem ser vistas na internet.
- Reúna informações em uma fase de reconhecimento para entender o ambiente em que a operação está trabalhando ou os alvos que ela busca.
- Coordenar e planejar, que é como os ativos se dirigem e se organizam.
- Teste as defesas para ver o que acontece. “Se você é um adversário sofisticado, não vai simplesmente jogar tudo para fora e ver o que acontece”, disse Nimmo, sem realizar algo como um teste A/B primeiro.
- Evitar a detecção, que “não é tanto mudar o esquema de pintura do avião ou alterar seu número de cauda, mas literalmente voar abaixo do tipo de aspecto do radar”, disse Hutchins, “como usar caracteres Unicode para criar sites doppelganger”.
- Envolva-se indiscriminadamente, o que Nimmo disse ser semelhante a apenas jogar coisas na parede e ver se elas grudam. “Muitas campanhas de spam tendem a fazer isso. Geralmente é o extremo menos sofisticado do espectro, mas é qualquer coisa em que você está jogando conteúdo e apenas esperando que alguém o pegue.”
- Alvo de engajamentos, que é semelhante a como os indivíduos são visados no mundo real quando um adversário se concentra em uma vítima.
- Ativos comprometidos, que é o estágio em que ocorre a invasão cibernética real. “É quando a coisa fica realmente séria”, disse Nimmo. “Para assumir os ativos que o alvo está usando. Comprometer ativos é obter qualquer coisa que uma operação faça para obter as chaves do baú do tesouro de outra pessoa.”
- Habilite a persistência, que é quando “as operações nos encontram pela primeira vez como defensores”, disse Hutchins.
Esse novo modelo de kill chain da Meta em dez etapas é modular, enfatizou Hutchins. “Nem todas as operações vão usar todas as fases da mesma maneira. Você terá uma mistura e combinação, e tudo bem.” O objetivo é “identificar as fases completas da cadeia de eliminação e entender as oportunidades para detectar e interromper o mais cedo possível. Use-o como um framer para medir sua eficácia de se mover no início da cadeia de morte. E então compartilhe como uma comunidade.”
O novo modelo de kill chain da Meta deve ser uma chamada para ação
James Robinson, CISO adjunto da Netskope e um grande defensor do uso de modelos de cadeia de eliminação em todo o setor de segurança cibernética, dá notas altas ao novo modelo de cadeia de eliminação Meta, pelo menos com base em uma visão geral superficial. “Parece um modelo sólido. Eu diria que quase faria disso uma chamada à ação para a indústria.”
O resultado final para Robinson é que os defensores organizacionais devem começar a adotar modelos de cadeia de destruição, como o modelo Meta. “Eu diria que o principal para qualquer CSO é continuar investindo em modelagem de ameaças e kill chain. Comece pequeno e torne isso uma prática dentro de sua organização. É tão simples quanto começa, para você começar a construir esse tipo de mentalidade de ser capaz de olhar para uma cadeia de morte, os TTPs que existem e todas as outras peças.
