Event-driven Analysis of Cyber Kill Chain
Hallberg, Jani (2020)
2020
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2020060416949
https://urn.fi/URN:NBN:fi:amk-2020060416949
Tiivistelmä
Organisaatioiden IT ympäristöihin kohdistuneet tietomurrot ovat kasvaneet viime vuosina. Tietomurtojen havaitseminen on edelleen haasteellista, kuten pitkät viiveet tunkeutumisen ja havaitsemisen välillä osoittavat. Organisaatiot kamppailevat alati kasvavan kompleksisuuden kanssa laajentaessaan palvelujaan pilveen ja päätelaitteiden määrän kasvaessa IoT:n myötä.
Opinnäytetyö esittelee kill chain –pohjaisen lähestymistavan tietomurtojen havaitsemiseen. Tässä lähestymistavassa ympäristön tapahtumat liitetään tunnettuihin uhkatoimijoiden käyttämiin tekniikoihin ja taktiikkaluokkiin. Kun uhkatoimijoiden tekniikoihin liittyvät tapahtumat on tunnistettu, tapahtumat yhdistetään toisiinsa data-analyysi menetelmiä käyttäen, jolloin niistä muodostuu tietomurron tapahtumien kulkua kuvaava kill chain.
Lähestymistavan toimivuus todennettiin esimerkkitoteutuksella. Toteutus suoritettiin suljetussa testiympäristössä käyttäen ilmaisia, avoimen lähdekoodin työkaluja. Ympäristössä simuloitiin tietomurtoskenaario, jonka pohjalta luotiin kill chain –graafi sekä interaktiivinen visualisaatio.
Toteutuksen tulokset osoittavat, että kill chain muodostaminen tapahtumadatasta on mahdollista tietyt ehdot huomioon ottaen. Tapahtumadatan laatu sekä tapahtuma-tekniikka-liitosten tarkkuus vaikuttaa menetelmän tuottamien väärien havaintojen määrään. Tapahtumien yhdistämiseen käytettävien kenttien oikea valinta on ratkaisevaa, koska se vaikuttaa suoraan kill chain –graafin kattavuuteen. Graafi itsessään ei ole erityisen hyödyllinen ilman visualisaatiota, joka nostaa esiin poikkeamia ja jonka avulla käyttäjät voivat tarkastella yksittäisten tapahtumien tietoja. The number of intrusions into organization IT environments has been increasing over the years. Detecting intrusions remains a difficult task as the long average adversary dwell times indicate. Organizations struggle with increasing complexity as they expand their IT environments into cloud and deal with a growing number of endpoints due to IoT.
This thesis introduces a kill chain based approach for detecting cyber intrusions. In this approach, events are mapped into well-known adversary techniques and tactic categories. After the event to adversary technique associations has been identified, data analysis methods are applied to connect the events together to form the intrusion kill chain.
A proof of concept implementation was used to demonstrate the viability of the approach. The implementation was constructed in a closed test environment using free and open source tools. A simulated intrusion scenario was used to demonstrate the use of the approach in action, as well as to produce an interactive visualization of the intrusion kill chain.
The result of the implementation demonstrates that constructing an intrusion kill chain based on event data is viable; however, certain conditions have to be taken into consideration. The quality of the event data and accuracy of the event to technique mapping affects the number of false positive adversary technique detections. Choosing the right fields for connecting events together is crucial, as it impacts on coverage of the resulting graph of the kill chain. A graph of a kill chain is not in itself hugely valuable without a proper visualization that highlights anomalies, and which users can use to get more details about the events.
Opinnäytetyö esittelee kill chain –pohjaisen lähestymistavan tietomurtojen havaitsemiseen. Tässä lähestymistavassa ympäristön tapahtumat liitetään tunnettuihin uhkatoimijoiden käyttämiin tekniikoihin ja taktiikkaluokkiin. Kun uhkatoimijoiden tekniikoihin liittyvät tapahtumat on tunnistettu, tapahtumat yhdistetään toisiinsa data-analyysi menetelmiä käyttäen, jolloin niistä muodostuu tietomurron tapahtumien kulkua kuvaava kill chain.
Lähestymistavan toimivuus todennettiin esimerkkitoteutuksella. Toteutus suoritettiin suljetussa testiympäristössä käyttäen ilmaisia, avoimen lähdekoodin työkaluja. Ympäristössä simuloitiin tietomurtoskenaario, jonka pohjalta luotiin kill chain –graafi sekä interaktiivinen visualisaatio.
Toteutuksen tulokset osoittavat, että kill chain muodostaminen tapahtumadatasta on mahdollista tietyt ehdot huomioon ottaen. Tapahtumadatan laatu sekä tapahtuma-tekniikka-liitosten tarkkuus vaikuttaa menetelmän tuottamien väärien havaintojen määrään. Tapahtumien yhdistämiseen käytettävien kenttien oikea valinta on ratkaisevaa, koska se vaikuttaa suoraan kill chain –graafin kattavuuteen. Graafi itsessään ei ole erityisen hyödyllinen ilman visualisaatiota, joka nostaa esiin poikkeamia ja jonka avulla käyttäjät voivat tarkastella yksittäisten tapahtumien tietoja.
This thesis introduces a kill chain based approach for detecting cyber intrusions. In this approach, events are mapped into well-known adversary techniques and tactic categories. After the event to adversary technique associations has been identified, data analysis methods are applied to connect the events together to form the intrusion kill chain.
A proof of concept implementation was used to demonstrate the viability of the approach. The implementation was constructed in a closed test environment using free and open source tools. A simulated intrusion scenario was used to demonstrate the use of the approach in action, as well as to produce an interactive visualization of the intrusion kill chain.
The result of the implementation demonstrates that constructing an intrusion kill chain based on event data is viable; however, certain conditions have to be taken into consideration. The quality of the event data and accuracy of the event to technique mapping affects the number of false positive adversary technique detections. Choosing the right fields for connecting events together is crucial, as it impacts on coverage of the resulting graph of the kill chain. A graph of a kill chain is not in itself hugely valuable without a proper visualization that highlights anomalies, and which users can use to get more details about the events.