Ιχνηλάτηση κυβερνο-επιτιθέμενων και δόμηση του ψηφιακού τους προφίλ
Tracking cyber-adversaries and constructing their digital profile
Keywords
Cybersecurity ; Cyber-security ; Threat actor attribution ; Unsupervised machine learning ; Social Network Analysis ; SNA ; Security-as-a-Service ; Cloud ; Cyber adversaryAbstract
Μέσα από την ανάλυση των πιο εξελιγμένων, σε επίπεδο εκτέλεσης και
αντίκτυπου, επιθέσεων είναι εύκολο να διακρίνουμε πως, η μεθοδολογία των ορισμένων
επιτιθέμενων χαρακτηρίζεται, έντονα, από αυστηρή μεθοδικότητα και απόλυτη ακρίβεια
κατά τη διεκπεραίωση των βημάτων τους.
Καθίσταται, λοιπόν, λογικό να υποθέσουμε ότι, ο επιτιθέμενος έχει εμπλουτίσει το
γνωσιακό του υπόβαθρο μέσα από την εμπειρία του σε παρόμοιες επιθέσεις και την
αλληλεπίδραση του με άτομα που απασχολούνται, επαγγελματικά και ερασιτεχνικά, με
τον κλάδο της Πληροφορικής. Συνεπώς, μπορούμε να συμπεράνουμε πως, προτού
φτάσει στον τελικό του στόχο, έχει ήδη αποπειραθεί να εκτελέσει την επίθεση σε άλλους
οργανισμούς και έχει κατακτήσει την απαραίτητη τεχνογνωσία μέσω διαδικασίας
σφάλματος-ανάκαμψης.
Στόχος αυτής της διπλωματικής εργασίας είναι η πρόταση μεθόδου σύστασης του
προφίλ ενός επιτιθέμενου, όπου με τον όρο «επιτιθέμενος» στην προκειμένη περίπτωση
μπορεί να προσδιορίζεται ένα άτομο ή μία APT (Advanced Persistent Threat) ομάδα,
βασιζόμενη στα εσφαλμένα/παράτολμα βήματα του κατά τα δοκιμαστικά στάδια που
προηγήθηκαν της επίθεσης. Τα δεδομένα που αφορούν τους εκάστοτε επιτιθέμενους, θα
συγκεντρώνονται σε μία κεντρική Βάση Δεδομένων, η οποία θα εξυπηρετεί Threat
Intelligence σκοπούς, θα αξιολογούνται με αλγορίθμους Μη Επιβλεπόμενης Μηχανικής
Μάθησης και θα ταξινομούνται μέσω διαδικασίας Social Network Analysis σε ανάλογα
δίκτυα. Το πρόβλημα που θα επιλύουν οι αλγόριθμοι είναι η αντιστοίχιση των δεδομένων
υπό το προφίλ πιθανού επιτιθέμενου με άλλων προφίλ ήδη καταγεγραμένων
επιτιθέμενων.
Abstract
Through the analysis of the most advanced attacks in terms of execution and
impact, it is easy to discern that the methodology of certain adversaries is characterized
strongly by strict orderliness and absolute precision in carrying out their steps.
Therefore, it becomes reasonable to assume that the adversary has enriched
their knowledge base through experience in similar attacks and interaction with
individuals professionally and amateurishly engaged in the field of Information
Technology. Consequently, we can infer that before reaching their ultimate goal, they
have already attempted to execute the attack on other organizations and have acquired
the necessary expertise through a trial-and-error process.
The objective of this thesis is to propose a method for establishing the profile of
an adversary, where the term “adversary” in this case can refer to an individual or an
APT (Advanced Persistent Threat) group, based on the erroneous/bold steps taken
during the testing stages preceding the attack. Data concerning the respective attackers
will be collected in a central Database, which will serve Threat Intelligence purposes,
will be evaluated using Unsupervised Machine Learning algorithms, and will be
classified through a Social Network Analysis process into relevant networks. The
problem that the algorithms will solve is matching the data under the profile of a
potential threat actor with other profiles of already recorded actors.