A Lockheed Martin amerikai repülőgép- és fegyvergyártó óriáscég 2014 áprilisában forradalmasította a kibervédelmi üzletágat azzal, hogy megjelentetett egy úttörő fehér könyvet a kibervédelemről (Intelligence-Driven Computer Network Defense Informated by Analysis of Adversary Campaigns and Intrusion Kill Chains - Az ellenfél kampányainak és behatolási gyilkos láncainak elemzése alapján informált, hírszerzés által vezérelt számítógépes hálózati védelem.) Ez a dokumentum új gondolkodási hullámot indított el a digitális ellenfelekről, különösen a nemzetállami fejlett, tartós fenyegetést jelentő csoportokról (APT).
A dokumentum szerzői azzal érveltek, hogy az ilyen ellenfelek működésének ismeretét felhasználva a kibervédők "létrehozhatnak egy hírszerzési visszacsatolási hurkot, amely lehetővé teszi a védők számára, hogy olyan információfölényes állapotot teremtsenek, amely minden egyes következő behatolási kísérletnél csökkenti az ellenfél sikerének valószínűségét". Ez az úgynevezett kill chain (gyilkos lánc) modell "leírhatja a behatolások fázisait, az ellenfél kill chain indikátorainak a védők cselekvési irányaihoz való hozzárendelése, az egyes behatolásokat szélesebb körű kampányokba kapcsoló minták azonosítása, valamint az információgyűjtés iteratív jellegének megértése képezi a hírszerzés által vezérelt számítógépes hálózatvédelem alapját".
Nyolc évvel később a tanulmány egyik szerzője, Eric Hutchins, aki jelenleg a Meta biztonsági mérnök-vizsgálója, és kollégája, Ben Nimmo, a Meta fenyegetések felderítéséért felelős globális vezetője az idei Cyberwarcon konferencián egy új kill chain modellt mutatott be, amely az online műveletekre jellemző sztereotip megoldásokon átvágva egy közös keretet ad, amelyet ők "Online Operations Kill Chain"-nek neveznek.
Az online műveletek egyedi kihívásaira összpontosítva a Meta kutatói egy olyan közös fenyegetés-taxonómiát dolgoztak ki, amely segíthet jobban megérteni a fenyegetés-tájképet és kiszűrni a sebezhetőségeket az iparág kollektív védelmében. "Az első feladat nyilvánvalóan az volt, hogy megértsük, mi folyik és mit csinálnak a rossz szereplők" - mondta Nimmo a Cyberwarcon résztvevőinek.
"Tehát valójában az elemzésükről, a lebontásukról, majd a felszámolásukról szólt. Egyre inkább azt láttuk, hogy minél jobban megértettük ezeket a fenyegető szereplőket, annál több közös vonás volt közöttük. Voltak közös vonások az azonos típusú műveletek között, de voltak közös vonások a nagyon különböző műveletek között is. Így az elmúlt 18 hónap során kidolgoztunk egy olyan keretrendszert, amely lehetővé teszi számunkra, hogy lebontsuk, táblázatba foglaljuk és elemezzük ezeket a közös vonásokat minden típusban, minden különböző típusú műveletben, amellyel foglalkozunk" - fejtette ki a Meta vezető szakembere.
Hutchins elmondta, hogy az egyik legnagyobb kihívás az új kill chain modell kidolgozása során annak szavatolása volt, hogy az a kémkedés és az információs műveletek silóit átívelő számos különböző műveletre alkalmazható legyen. "Az ellenfelek természetesen nem tartják be a szabályok szabta feltételeket" - mondta.
Példaként a Ghostwriter befolyásolási kampányt hozta fel, amely Litvániát, Lettországot és Lengyelországot célozta meg, és az Észak-atlanti Szerződés Szervezetének (NATO) kelet-európai jelenlétét kritizáló narratívákat népszerűsített. "A Ghostwriter-kampány, egy olyan művelet, amely fiókátvételeket és kompromittálásokat egyaránt alkalmaz. De ha már egyszer kompromittálták ezeket a fiókokat, akkor felhasználják őket egy befolyásolási művelet végrehajtására" - mutatott rá Hutchins.
Nimmo elmondta, hogy az új kill chain modellt arra tervezték, hogy áthidalja a károkozó információs műveletek és más típusú online rosszindulatú viselkedések közötti szakadékot. "Minden olyan művelethez terveztük, ahol, ha úgy tetszik, a lánc mindkét végén ember áll. Van egy szereplő, aki megpróbál elérni valamilyen hatást, és van valamilyen emberi lény, akit célba vesz. Ezt a lehető legszélesebb körben terveztük meg" - jelezte.
A továbbiakban pedig Nimmo az új kill chain modellről kifejtette a következőt: "Azon az elven alapul, hogy alapvetően, ha online műveletet folytatsz, nem számít, hogy mit tervezel vele, néhány közös vonás érvényesülni fog. Képesnek kell lenned arra, hogy online legyél. Ha a közösségi médiában fogsz tevékenykedni, akkor valószínűleg szükséged lesz közösségi média fiókokra. Lesznek olyan közös vonások, amelyeket láthatunk, észlelhetünk, megoszthatunk, leírhatunk és kezelhetünk. És így ez az alapja ennek a megközelítésnek. Megkeresi ezeket a közös vonásokat, és megpróbálja ezeket egyetlen keretrendszerré alakítani."
A kill chain modell tíz fázisának leírását ide kattintva, a CSO Online oldalán lehet elérni.
