Leveraging digital forensics and information sharing into prevention, incident response, and investigation of cyber threats

Abstract

The increased connectivity in Industrie 4.0, the digitalization, and the advent of cloud services and sensors resulted in high interconnectivity between devices, equipment, and software systems distributed to different organizations. The new remote working era, mainly due to the recent healthcare concerns about coronavirus, has made the situation worse. Such escalation in interconnections increased the attack surface (i.e., the entry points that perpetrators can infiltrate a network) of organizations, making them vulnerable to more and more cyber-attacks. The new paradigms of enterprise networking, Industrial Internet of Things (IIoT), and the formation of global supply chain manufacturing have also contributed to the increase of the attack surface. To cope with cyber-attacks, organizations are constantly trying to mature their security capabilities in order to protect confidential data, including intellectual property, financial information, and personally identifiable information that can be manipulated and leveraged for malicious purposes. Despite organizations' efforts to deal with cyber-attacks, perpetrators' continued advances in technologies and tactics have made cyber-attacks seemingly invincible. Cyber-attacks target a large number of industry sectors and organizations, ranging from small-medium enterprises to critical infrastructure services. Nowadays, cyber-attacks are the most harmful risk to organizations since they can affect their mission, objective, ability to maintain customers, or innovate similar to financial and reputational risks. To help organizations manage cyber-attacks, the Information Technology Laboratory (ITL) of the National Institute of Standards and Technology (NIST) developed the CyberSecurity Framework (CSF). The latter integrates standards and best practices to provide a common language for organizations to build a cybersecurity approach. CSF defines five security functions; Identify, Protect, Detect, Respond, and Recover. These security functions are the pillars of building a holistic and successful cybersecurity approach. They can work concurrently and continuously to allow organizations to prevent (i.e., identify threats, protect against, detect, and recover from them), respond and investigate cyber-attack. CSF also defines the security activities that can be implemented in order to achieve the forenamed security functions. For each security activity, CSF includes informative references to standards and current state-of-the-art efforts that can be followed to achieve the corresponding security activity. Neither all security functions nor their security activities are mandatory to be implemented though. Organizations should implement those security activities and functions to build a cybersecurity approach according to their needs and business objectives. Nevertheless, cyber-attacks are still compromising organizations and disrupting their operation. In some cases, their impact on organizations is tremendous. Therefore, the current informative references of CSF seem to be insufficient to help organizations achieve security activities efficiently. This dissertation improves specific security activities of CSF with novel solutions based on Digital Forensics (DF) and Cyber Threat Information (CTI) in order to enable organizations to prevent (i.e., Identify, Protect, Detect and Respond security functions), respond, and investigate (i.e., Respond security function) cyber-attacks. The first goal was to support organizations with the Identify security function. In this function, organizations should understand their business process context (BPC), the systems that support their processes, and their cybersecurity risks. To this end, a novel approach for automated risk estimation, called ARES, was proposed. ARES integrates the business process model life cycle management (BPM LCM) and BPC with risk estimation. Doing so, ARES allows organizations to understand their BPC, formally inventoried their systems, and automatically detect their vulnerabilities, threats and estimate cybersecurity risks. The second goal was to support organizations with the Protect security function, where organizations evaluate existing safeguards or implement new ones that protect them against cyber-attacks. Shared CTI contains information about protection against cyber-attacks in the form of courses of action (e.g., baseline configurations, recommendations on failsafe, and load balancing mechanisms). However, organizations should retrieve and consume CTI that is relevant to their environment only. Such CTI can contain information about threats that a consuming organization is more likely to face. To do so, a novel contextualized filtering for shared CTI approach that exploits BPC was proposed. BPC is exploited to describe the contextual environment under which a given CTI is more likely to be actionable as well as the organization’s contextual environment. Therefore, it can automate filtering based on the equivalence between these two forenamed contextual environments. Whenever equivalence is granted, the shared CTI is pushed to the organization. In addition to the proposed contextualized filtering for shared CTI approach, a CTI sharing ecosystem that promotes trust preserves privacy and implements the forenamed CTI filtering approach was proposed. Finally, it should be noted that CTI filtering supports all security functions according to CSF; namely, it is an imperative process towards achieving and maturing all security functions collaboratively. The third goal was to enable organizations to develop and implement the appropriate activities that facilitate the timely discovery of cyber-attacks and achieve the Detect security function. To that end, a novel cyber-attack detection approach, called Fronesis, was proposed. Fronesis is based on the combined utilization of the MITRE ATT&CK framework, Lockheed Martin Cyber Kill Chain (CKC) model, and digital artifacts restored of the monitored computer system. Fronesis examines the digital artifacts and performs rule-based reasoning on the Fronesis ontology to identify adversarial techniques, based on the traces left by the particular operation of each one technique. The identified techniques are then correlated and mapped to corresponding phases of the CKC model, resulting in the reconstruction and detection of an ongoing cyber-attack. Except Fronesis, the Detect function is also supported by ARES since the latter automatically detects vulnerabilities to systems which is a security activity of the Detect security function. The last goal was to support organizations with the Respond security function. In this function, organizations should implement the proper activities to take action regarding a detected cyber-attack. DF, whose aim is to investigate a cyber-attack in order to conclude how it took place, constitutes such an activity. To that end, a novel DF framework for reviewing and investigating cyber-attacks, called D4I, was proposed. D4I focuses on enhancing the examination and analysis phases of a DF process which are the phases where the investigation of a cyber-attack takes place. Following D4I, a cyber-attack can be easily and quickly investigated through a series of repeatable and instructing steps. Apart from D4I, the Respond security function is supported by a new module of the Autopsy DF suite, called TREVItoSTIX. The purpose of this module is to enable the expression of DF findings in a structured format that complies with current standards for CTI sharing. This allows DF findings to be easily shared and reused in future DF investigations by any organization participating in a CTI sharing ecosystem. DF findings can also be exploited in the detection of future cyber-attacks by integrating them as rules in existing security tools, such as intrusion detection systems. TREVItoSTIX, therefore, also contributes to maturing the Detect security function.

Η Τέταρτη Βιομηχανική Επανάσταση (Industrie 4.0), η ψηφιοποίηση, η εμφάνιση υπηρεσιών νέφους (cloud) αλλά και αισθητήρων (sensors) οδήγησαν σε υψηλή διασύνδεση μεταξύ συσκευών, εξοπλισμού και συστημάτων λογισμικού που βρίσκονται σε διαφορετικούς οργανισμούς. Η νέα εποχή της τηλεργασίας, κυρίως λόγω των πρόσφατων ανησυχιών για τον κορονοϊό (COVID-19), αύξησε ακόμη περισσότερο την προαναφερόμενη διασύνδεση. Μια τέτοια κλιμάκωση στην διασυνδεσιμότητα οδήγησε σε μεγάλη επιφάνεια επίθεσης (σημεία τα οποία ένας επιτιθέμενος μπορεί να εκμεταλλευτεί για να διεισδύσει σε έναν οργανισμό), καθιστώντας τους οργανισμούς ευάλωτους σε όλο και περισσότερες κυβερνοεπιθέσεις. Οι νέες μορφές εταιρικής δικτύωσης, το Industrial Internet of Things (IIoT) και η παγκόσμια αλυσίδα εφοδιασμού (supply chain) συνέβαλαν επίσης στην αύξηση της επιφάνειας επίθεσης. Για να αντιμετωπίσουν τις επιθέσεις στον κυβερνοχώρο, οι οργανισμοί προσπαθούν συνεχώς να βελτιώσουν την ασφάλεια προκειμένου να προστατεύσουν εμπιστευτικά δεδομένα, συμπεριλαμβανομένων δεδομένων σχετικών με την πνευματική ιδιοκτησία, οικονομικές πληροφορίες αλλά και προσωπικά δεδομένα τα οποία οι επιτιθέμενοι μπορούν να παραποιήσουν και να χρησιμοποιήσουν για κακόβουλους σκοπούς. Παρά τις προσπάθειες των οργανισμών, η συνεχής πρόοδος των δραστών στις τεχνολογίες και τις τακτικές τους έχει κάνει την αντιμετώπιση των κυβερνοεπιθέσεων ένα φαινομενικά αδύνατο στόχο. Οι κυβερνοεπιθέσεις στοχεύουν μεγάλο αριθμό βιομηχανικών τομέων και οργανισμών που κυμαίνονται από μικρομεσαίες επιχειρήσεις έως κρίσιμες υποδομές. Στις μέρες μας, οι επιθέσεις στον κυβερνοχώρο αποτελούν τον πιο σημαντικό κίνδυνο για τους οργανισμούς, καθώς μπορούν να επηρεάσουν την αποστολή, τον στόχο, την ικανότητά τους να διατηρήσουν πελάτες ή και την ικανότητα τους προς την καινοτομία. Για την υποστήριξη των οργανισμών ώστε να μπορούν να διαχειριστούν τις επιθέσεις στον κυβερνοχώρο, το Εργαστήριο Τεχνολογίας Πληροφορικής (Information Technology Laboratory - ITL) του Εθνικού Ινστιτούτου Προτύπων και Τεχνολογίας (National Institute of Standards and Technology - NIST) των Η.Π.Α. ανέπτυξε το Πλαίσιο Κυβερνοασφάλειας (CyberSecurity Framework - CSF). Το εν λόγω πλαίσιο ενσωματώνει πρότυπα και βέλτιστες πρακτικές για να παρέχει μια κοινή γλώσσα στους οργανισμούς ώστε να υλοποιήσουν μια προσέγγιση κυβερνοασφάλειας. Το CSF ορίζει πέντε λειτουργίες ασφαλείας. Αναγνώριση (Identify), Προστασία (Protect), Ανίχνευση (Detect), Απόκριση (Respond) και Ανάκτηση (Recover). Οι προαναφερόμενες λειτουργίες ασφάλειας είναι σημαντικές προς την υλοποίηση μιας ολιστικής προσέγγισης ασφαλείας στον κυβερνοχώρο. Οι λειτουργίες ασφαλείας μπορούν να εφαρμόζονται ταυτόχρονα και διαρκώς ώστε να επιτρέπουν στους οργανισμούς να αποτρέπουν, να ανταποκρίνονται και να διερευνούν κυβερνοεπιθέσεις. Το CSF ορίζει επίσης τις δραστηριότητες ασφαλείας που μπορούν να υλοποιηθούν προκειμένου να επιτευχθούν οι λειτουργίες ασφαλείας. Για κάθε δραστηριότητα ασφάλειας, το CSF περιλαμβάνει σχετικές αναφορές σε πρότυπα που μπορούν να ακολουθηθούν για την επίτευξη της αντίστοιχης δραστηριότητας ασφάλειας. Ωστόσο, ούτε όλες οι λειτουργίες ασφαλείας ούτε οι σχετικές δραστηριότητες ασφαλείας τους είναι υποχρεωτικές. Οι οργανισμοί θα πρέπει να υλοποιούν εκείνες τις δραστηριότητες και λειτουργίες ασφάλειας για να δημιουργήσουν μια προσέγγιση κυβερνοασφάλειας σύμφωνα με τις ανάγκες και τους επιχειρηματικούς τους στόχους. Οι κυβερνοεπιθέσεις, ωστόσο, εξακολουθούν να θέτουν σε κίνδυνο τους οργανισμούς και να διαταράσσουν την ομαλή τους λειτουργία τους. Σε ορισμένες περιπτώσεις, ο αντίκτυπός τους σε αυτούς είναι τεράστιος. Ως εκ τούτου, οι τρέχουσες αναφορές που παρέχει το CSF σχετικά με την επίτευξη των δραστηριοτήτων ασφαλείας φαίνεται να χρήζουν βελτίωσης ως προς την επιτυχημένη τους επίτευξη. Αυτή η διατριβή βελτιώνει συγκεκριμένες δραστηριότητες ασφάλειας του CSF κάνοντας χρήση της ηλεκτρονικής εγκληματολογίας (Digital Forensics - DF) και του διαμοιρασμού πληροφοριών για απειλές (Cyber Threat Information - CTI) προκειμένου να επιτρέψει στους οργανισμούς να αποτρέψουν (επίτευξη των λειτουργιών Αναγνώριση, Προστασία, Εντοπισμός και Απόκριση), να αποκριθούν και να διακριβώσουν απειλές στον κυβερνοχώρο (επίτευξη της λειτουργίας Απόκριση). Ο πρώτος στόχος είναι η υποστήριξη οργανισμών για την επίτευξη της λειτουργίας Αναγνώριση. Σε αυτή τη λειτουργία, οι οργανισμοί θα πρέπει να κατανοήσουν το πλαίσιο επιχειρησιακών διεργασιών τους (Business Process Context - BPC), τα συστήματα που υποστηρίζουν τις επιχειρησιακές διεργασίες τους και τους κινδύνους που μπορεί να αντιμετωπίσουν στον κυβερνοχώρο. Για το σκοπό αυτό, προτάθηκε μια νέα προσέγγιση για την αυτοματοποιημένη εκτίμηση κινδύνου (risk estimation), που ονομάζεται ARES. Η προσέγγιση αυτή ενσωματώνει της διαχείριση του κύκλου ζωής επιχειρησιακών μοντέλων (Business Process Model Life Cycle Management - BPM LCM) και το BPC με την εκτίμηση κινδύνου. Με αυτόν τον τρόπο, η ARES επιτρέπει στους οργανισμούς να κατανοούν το BPC τους, να καταγράφουν τα συστήματά τους και να εντοπίζουν αυτόματα τα τρωτά σημεία τους και τις απειλές που μπορούν να δεχθούν. H ARES, τέλος, επιτρέπει την αυτοματοποιημένη εκτίμηση ρίσκου. Ο δεύτερος στόχος ήταν η υποστήριξη οργανισμών για την επίτευξη της λειτουργίας Προστασία. Στην εν λόγω λειτουργία, οι οργανισμοί αξιολογούν την αποτελεσματικότητα των υπαρχόντων μέτρων ασφαλείας ή εφαρμόζουν νέα για να προστατευτούν από κυβερνοεπιθέσεις. Οι διαμοιραζόμενες πληροφορίες για απειλές στον κυβερνοχώρο (shared CTI) παρέχουν πληροφορίες σχετικά με την προστασία από επιθέσεις στον κυβερνοχώρο. Ωστόσο, οι οργανισμοί θα πρέπει να ανακτούν και να καταναλώνουν εκείνες τις διαμοιραζόμενες πληροφορίες που σχετίζονται με το επιχειρησιακό τους περιβάλλον. Τέτοιες διαμοιραζόμενες πληροφορίες είναι πιο πιθανό να αξιοποιηθούν από έναν οργανισμό για την προστασία του έναντι κυβερνοαπειλών. Για να βρεθούν οι διαμοιραζόμενες πληροφορίες που είναι σχετικές με το περιβάλλον ενός οργανισμού, προτάθηκε μια νέα προσέγγιση φιλτραρίσματος για διαμοιραζόμενες πληροφορίες για απειλές. Η εν λόγω προσέγγιση εκμεταλλεύεται το BPC για να περιγράψει το επιχειρησιακό περιβάλλον στο οποίο ένα CTI είναι πιο πιθανό να αξιοποιηθεί καθώς και το επιχειρησιακό περιβάλλον ενός οργανισμού. Βάση αυτού, η εν λόγω προσέγγιση φιλτραρίσματος μπορεί να εντοπίσει σε ποιους οργανισμούς ένα CTI μπορεί να χρησιμοποιηθεί με βάση την ισοδυναμία μεταξύ του επιχειρησιακού περιβάλλοντος του CTI και του οργανισμού. Κάθε φορά που επιτυγχάνεται ισοδυναμία, το CTI προωθείται στον συγκεκριμένο οργανισμό. Επιπρόσθετα, προτάθηκε ένα οικοσύστημα για τον διαμοιρασμό CTI που προωθεί την εμπιστοσύνη, διαφυλάσσει την ιδιωτικότητα και εφαρμόζει την παραπάνω αναφερόμενη προσέγγιση φιλτραρίσματος CTI. Τέλος, πρέπει να σημειωθεί ότι το φιλτράρισμα CTI υποστηρίζει την επίτευξη αλλά και την βελτίωση όλων των λειτουργιών ασφάλειας του CSF απο διαφορετικούς οργανισμούς συνεργατικά. Ο τρίτος στόχος είναι η υποστήριξη των οργανισμών σχετικά με την ανάπτυξη και την εφαρμογή προσέγγισης έγκαιρου εντοπισμού επιθέσεων ώστε να επιτυγχάνουν τη λειτουργία Εντοπισμός. Για το σκοπό αυτό, προτάθηκε μια νέα προσέγγιση εντοπισμού κυβερνοεπιθέσεων, που ονομάζεται Fronesis. Η Fronesis βασίζεται στη συνδυασμένη χρήση του πλαισίου MITRE ATT&CK, του μοντέλου Lockheed Martin Cyber Kill Chain (CKC) και των ψηφιακών τεχνουργημάτων (digital artifacts) που έχουν ανακτηθεί από ένα σύστημα. Η Fronesis εξετάζει τα ψηφιακά τεχνουργήματα και εκτελεί λογική (reasoning) βασισμένη σε κανόνες που εφαρμόζονται στην οντολογία της προσέγγισης Fronesis για να εντοπίσει την εφαρμογή κακόβουλων τεχνικών με βάση τα ίχνη που αφήνουν σε ένα σύστημα. Στην συνέχεια, οι εν λόγω κακόβουλες τεχνικές συσχετίζονται με φάσεις του μοντέλου CKC, με αποτέλεσμα την αναπαράσταση και τον εντοπισμό μιας κυβερνοεπίθεσης. Εκτός από το Fronesis, η λειτουργία Detect υποστηρίζεται επίσης από την προσέγγιση ARES, καθώς μέσω της τελευταίας πραγματοποιείται προσδιορισμός των απειλών που μπορεί να δεχθεί ένα σύστημα και άρα μπορούν να προσδιοριστούν και άλλα συστήματα τα οποία μπορεί να έχουν επηρεαστεί απο την εντοπισμένη κυβερνοεπίθεση. Ο τελευταίος στόχος είναι η υποστήριξη οργανισμών για την επίτευξη της λειτουργίας Respond. Σε αυτή τη λειτουργία, οι οργανισμοί πρέπει να εφαρμόζουν τις κατάλληλες δραστηριότητες για να αποκριθούν σε μια εντοπισμένη κυβερνοεπίθεση. Η ηλεκτρονική εγκληματολογία, στόχος της οποίας είναι να διερευνήσει μια κυβερνοεπίθεση προκειμένου να καταλήξει στο πώς αυτή έλαβε χώρα, αποτελεί μια τέτοια δραστηριότητα. Για το σκοπό αυτό, προτάθηκε ένα νέο πλαίσιο ηλεκτρονικής εγκληματολογίας για την εξέταση και τη διερεύνηση των επιθέσεων στον κυβερνοχώρο, που ονομάζεται D4I. Το πλαίσιο D4I εστιάζει στην ενίσχυση των φάσεων εξέτασης και ανάλυσης μιας διαδικασίας ηλεκτρονικής εγκληματολογίας (DF process) καθώς οι εν λόγω φάσεις είναι εκείνες όπου λαμβάνει χώρα η διερεύνηση μιας κυβερνοεπίθεσης. Με το D4Ι, μια κυβερνοεπίθεση μπορεί να διερευνηθεί εύκολα και γρήγορα μέσω μιας σειράς επαναλαμβανόμενων και καθοδηγητικών βημάτων. Εκτός από το D4I, η λειτουργία ασφαλείας Respond υποστηρίζεται από μια νέα μονάδα (module) του εγκληματολογικού εργαλείου Autopsy, η οποία ονομάζεται TREVItoSTIX. Η τελευταία επιτρέπει την δημιουργία CTI σε δομημένη μορφή από τα ευρήματα του D4I. Αυτό επιτρέπει τον διαμοιρασμό των ευρημάτων με άλλους οργανισμούς και την αξιοποίηση τους στην διερεύνηση μελλοντικών επιθέσεων. Τα εν λόγω CTI μπορούν επίσης να χρησιμοποιηθούν ως κανόνες σε υπάρχοντα εργαλεία εντοπισμού επιθέσεων, όπως σε συστήματα ανίχνευσης εισβολών (Intrusion Detection Systems). Το TREVItoSTIX, επομένως, συμβάλλει επίσης στην βελτίωση της λειτουργίας ασφαλείας Detect.