Barracuda full logo

Quebrar a cadeia de eliminação cibernética com IA

Tópicos:
18 jul. 2024
|
Christine Barry

Concluímos as nossas duas séries sobre o papel da IA em ataques maliciosos e defesas sofisticadas. Neste blogue, vamos explorar o quadro da cadeia de eliminação cibernética e o poder de adicionar IA à mistura.

O que é a framework de cadeia de eliminação de ciberameaças?

As pessoas costumam usar os termos ‘cyber kill chain’ e ‘estrutura de cyber kill chain’ de forma intercambiável, mas existem diferenças subtis entre os dois. O Cyber Kill Chain® é um modelo desenvolvido pela Lockheed Martin em 2011. Descreve a estrutura e a sequência de ações de um ataque, desde a identificação do alvo até à execução da missão. É inspirado na doutrina militar ‘kill chain’, que descreve os passos envolvidos na identificação e neutralização de um alvo.

Este modelo fornece uma visão geral de alto nível do processo de ataque em sete etapas distintas:

  1. Reconhecimento: Recolha de informações sobre o alvo.
  2. Armazenamento: Criação de um payload malicioso.
  3. Entrega: Transmissão da carga útil para o alvo.
  4. Exploração: Explorar uma vulnerabilidade para executar a carga útil.
  5. Instalação: Instalar malware no sistema alvo.
  6. Comando e Controlo (C2): Estabelecendo comunicação com o sistema comprometido.
  7. Ações sobre Objetivos: Realização das atividades maliciosas pretendidas, como roubo de dados ou interrupção do sistema.

Podemos descrever a 'estrutura da cadeia de morte cibernética' como uma versão operacionalizada e em evolução da cadeia de morte cibernética. Este é um esforço colaborativo da comunidade de cibersegurança para expandir o modelo da Lockheed Martin com mais detalhes e aspetos dos ciberataques modernos. Para defender completamente cada etapa da Cyber Kill Chain, a estrutura expandida adiciona quatro componentes a cada uma:

  1. Mecanismos de Deteção: Ferramentas e tecnologias para identificar ameaças em cada etapa da cadeia de eliminação, como sistemas de deteção de intrusões (IDS), deteção e resposta em terminais (EDR) e plataformas de inteligência de ameaças.
  2. Processos de Análise: Métodos para analisar ameaças e compreender o comportamento dos atacantes, incluindo análise forense, análises comportamentais e modelos de machine learning.
  3. Estratégias de Resposta: Procedimentos definidos para responder a ameaças, como planos de resposta a incidentes, mecanismos de resposta automatizados e atividades de caça a ameaças.
  4. Melhoria Contínua: Esforços contínuos para aprimorar e melhorar a estrutura com base em ameaças emergentes e lições aprendidas com incidentes anteriores.

As empresas podem personalizar uma estrutura para o ambiente, fatores de risco, tipo de ataque, etc. Vamos ilustrar isto aplicando a estrutura a dois cenários de ataque de ransomware. Na tabela abaixo, comparamos um ataque através de uma intrusão no firewall com um ataque através de um anexo de e-mail malicioso:

 

intrusão de firewall

Anexo de e-mail malicioso

Fase 1: Reconhecimento

Deteção: Identificação de atividades de varrimento direcionadas a vulnerabilidades de firewall.

Análise: Determinação de que a análise visa encontrar portas abertas e fraquezas no firewall.

Resposta: Bloquear endereços IP associados à análise e atualizar regras de firewall para fechar vulnerabilidades.

Melhoria Contínua: Aperfeiçoar a inteligência de ameaças para reconhecer padrões de varredura semelhantes no futuro.

Deteção: Identificar e-mails de phishing e atividade de e-mail suspeita.

Análise: Determinar que os e-mails têm como objetivo entregar anexos maliciosos.

Resposta: Bloquear endereços de e-mail e domínios suspeitos.

Melhoria Contínua: Melhorar a filtragem de e-mail e a inteligência de ameaças.

Estágio 2: Armazenamento

Deteção: Notar a criação de uma carga útil maliciosa projetada para explorar a vulnerabilidade do firewall.

Análise: Compreender que a carga útil é concebida para entregar ransomware uma vez dentro da rede.

Resposta: Desenvolvimento de contramedidas para a carga útil identificada e partilha de inteligência com as equipas de segurança.

Melhoria Contínua: Atualização de assinaturas de malware e estratégias de defesa com base em novas informações de payload.

Deteção: Notando a criação de um anexo malicioso.

Análise: Compreender que o anexo foi concebido para entregar ransomware.

Resposta: A desenvolver contramedidas para anexos identificados.

Melhoria Contínua: Atualização de assinaturas de malware e estratégias de defesa.

Fase 3: Entrega

Deteção: Deteção da transmissão da carga maliciosa através de uma porta aberta no firewall.

Análise: Analisar o método de entrega, que pode ser através de e-mails de spear-phishing ou conexão direta de rede.

Resposta: Bloquear a tentativa de entrega e notificar os utilizadores ou sistemas afetados.

Melhoria Contínua: Reforçar a segurança de e-mail e a monitorização da rede para detetar tentativas futuras de entrega.

Deteção: Deteção do e-mail com o anexo malicioso.

Análise: Analisar o método de entrega do e-mail e as suas características de phishing.

Resposta: Bloquear o e-mail e colocar o anexo em quarentena.

Melhoria Contínua: Reforçar a segurança de e-mail e a formação de sensibilização sobre phishing.

Fase 4: Exploração

Deteção: Identificação de tentativas de exploração visando a vulnerabilidade do firewall.

Análise: Avaliação da natureza da exploração e do seu impacto no firewall e na rede.

Resposta: Corrigir a vulnerabilidade do firewall e isolar os sistemas afetados.

Melhoria Contínua: Melhorar a gestão de vulnerabilidades e os processos de correção para reduzir a exposição.

Deteção: Identificar a tentativa de exploração quando o anexo é aberto.

Análise: Avaliação da exploração e de como compromete o sistema do utilizador.

Resposta: Isolar o sistema afetado e notificar o utilizador.

Melhoria Contínua: Melhorar a formação dos utilizadores e os processos de aplicação de patches para reduzir vulnerabilidades.

Etapa 5: Instalação

Deteção: Detetar a instalação de ransomware num sistema comprometido.

Análise: Compreender o comportamento do ransomware e como se propaga na rede.

Resposta: Remover o ransomware, restaurar os sistemas afetados a partir de backups e usar sandboxing para analisar o malware.

Melhoria Contínua: Melhorar a proteção de endpoints e monitorizar tentativas de instalação semelhantes no futuro.

Deteção: Deteção da instalação de ransomware no sistema do utilizador.

Análise: Compreender o comportamento do ransomware e a sua propagação dentro da rede.

Resposta: Remover ransomware e restaurar sistemas a partir de backups.

Melhoria Contínua: Aprimorar a proteção e monitorização de endpoints.

Etapa 6: Comando e Controlo (C2)

Deteção: Identificar comunicações C2 entre o sistema comprometido e o servidor do atacante.

Análise: Decifrando os protocolos e comandos C2 usados pelo atacante.

Resposta: Bloquear o tráfego C2, interromper o canal de comunicação e notificar as partes interessadas relevantes.

Melhoria Contínua: Reforçar as capacidades de monitorização de rede e deteção de C2 para prevenir incidentes futuros.

Etapa 7: Ações e Objetivos

Deteção: Detetar as tentativas do ransomware de encriptar dados e ficheiros críticos.

Análise: Compreender os métodos de encriptação do ransomware e identificar os dados afetados.

Resposta: Conter o ataque, parar o processo de encriptação e recuperar dados a partir de backups seguros.

Melhoria Contínua: Implementação de medidas aprimoradas de proteção de dados, como backups regulares e controlos de acesso melhorados.

 

O nosso recente e-book sobre o papel da IA na cibersegurança fornece um exemplo de um quadro de cadeia de ataque cibernético de ransomware.  

Nesta visão geral de alto nível, os quatro componentes do quadro sobrepõem-se cada vez mais à medida que o ataque avança, e não há diferenças significativas nas duas últimas etapas. Os quadros facilitam a visualização de ataques e defesas, permitindo assim a construção de uma estratégia de segurança abrangente em toda a empresa.

AI e o framework da cadeia de morte cibernética

Agora que desmembrámos cada componente em cada etapa da estrutura, podemos ver como as capacidades de IA se mapeiam diretamente em cada função. Limitaremos este exemplo às duas primeiras etapas da estrutura:

Fase 1: Reconhecimento

  1. Deteção: Sistemas de Deteção de Intrusões (IDS) baseados em IA utilizam aprendizagem automática para identificar atividades de varrimento incomuns e anomalias no tráfego de rede.
  2. Análise: Modelos de IA são usados para classificar e priorizar potenciais ameaças de reconhecimento. Estes modelos são informados por inteligência de ameaças integrada que correlaciona dados de ameaças de várias fontes.
  3. Resposta: A automação baseada em IA implementa contramedidas, como o bloqueio de endereços IP suspeitos e a atualização de regras de firewall em tempo real
  4. Melhoria Contínua: Os algoritmos de aprendizagem automática e os modelos adaptativos refinam as capacidades de deteção e atualizam os modelos com base no feedback de tentativas anteriores de reconhecimento.

Estágio 2: Armazenamento

  1. Deteção: As Sandboxes de Análise de Malware Melhoradas por IA detetam ficheiros suspeitos e analisam o seu comportamento. As capacidades de análise de código utilizam aprendizagem automática para identificar padrões de código malicioso.
  2. Análise: Modelos de deep learning simulam ataques para prever comportamentos de payload, e plataformas de inteligência de ameaças atualizam dados em todas as etapas em tempo real.
  3. Resposta: Os sistemas automatizados distribuem contramedidas através da rede e as capacidades de inteligência de ameaças apoiam as atualizações aos protocolos de segurança.
  4. Melhoria Contínua: Os Loops de Feedback de IA aprendem com novas amostras de malware para refinar algoritmos de deteção e prevenção. A inteligência de ameaças é utilizada para atualizar Medidas de Segurança Adaptativas.

Deslocar para a esquerda

Integrar IA com um quadro abrangente de cyber kill chain melhora as hipóteses de deteção e interrupção mais precoces. Um ataque detetado na fase 6 do quadro será mais difícil e dispendioso de mitigar do que um ataque detetado na fase 3.

 

Deteção de uma ameaça na fase 6 do framework de cyber kill chain

Ireneusz Tarnowski, Como usar o modelo de cadeia de eliminação cibernética para construir cibersegurança

 

O objetivo dos profissionais de cibersegurança e da indústria de segurança é "deslocar para a esquerda" ou identificar e parar os ataques o mais cedo possível na cadeia.

 

Deteção de ataque na fase 3 do quadro de cadeia de destruição cibernética

Ireneusz Tarnowski, Como usar o modelo de cadeia de eliminação cibernética para construir cibersegurança

 

O deslocamento à esquerda envolve o fortalecimento da segurança nas fases de reconhecimento e de armamento da cadeia. Isto pode incluir a verificação de vulnerabilidades de aplicações, a implementação de controlos de acesso fortes e mecanismos de autenticação, e até mesmo a monitorização da dark web para potenciais ameaças. As capacidades de inteligência de ameaças facilitam estes mecanismos de deteção precoce e a aprendizagem entre etapas necessária para atualizações contínuas dos componentes da estrutura em cada etapa.

Deslocar para a esquerda é uma prática importante porque reduz a superfície de ataque exposta a atores de ameaça. Também facilita tempos de resposta mais rápidos às ameaças e resulta numa infraestrutura de segurança mais robusta.

A IA traz capacidades transformadoras a cada etapa da cadeia de ataques cibernéticos, melhorando significativamente as defesas de uma empresa contra ataques avançados e ameaças zero-day. Com os agentes de ameaça a usarem IA para acelerar e multiplicar os seus ataques, os profissionais de segurança não têm outra escolha senão utilizar defesas potenciadas por IA. Com uma estrutura em vigor, as equipas de TI podem identificar lacunas de segurança e concentrar os seus esforços em certas etapas de uma sequência de ataque.

A Barracuda tem um novo e-book intitulado Protegendo o amanhã: O guia de um CISO sobre o papel da IA na cibersegurança. Este e-book explora os riscos de segurança e expõe as vulnerabilidades que os criminosos exploram com IA para ampliar os seus ataques e melhorar as suas taxas de sucesso. Obtenha a sua cópia gratuita do e-book aqui.

 

 

Christine Barry

Christine Barry, Contadora Sénior de Histórias de Cibersegurança e Gestora de Conteúdos na Barracuda. Antes de se juntar à Barracuda, Christine foi engenheira de campo e gestora de projetos para clientes K12 e SMB durante mais de 15 anos. Possui várias credenciais em tecnologia e gestão de projetos, uma Licenciatura em Artes e um Mestrado em Administração de Empresas. É graduada pela Universidade de Michigan.

Conecte-se com a Christine no LinkedIn aqui.

 

Junte-se à nossa comunidade no Reddit!

Artigos Relacionados:
Explorando a adoção de IA: Da curiosidade à clareza
Explorando a adoção de IA: Da curiosidade à clareza
 PoisonGPT: Armazenando IA para desinformação
PoisonGPT: Armazenando IA para desinformação
 August’s top threat actors: Ransomware, espionage and infostealers
August’s top threat actors: Ransomware, espionage and infostealers
 DarkBard: The “Evil Twin” of Google Bard
DarkBard: The “Evil Twin” of Google Bard
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.