A Study on Command and Control Through Cyber Protection Function Analysis

Cyber threats can bypass existing cyber-protection systems and are rapidly developing by exploiting new technologies such as artificial intelligence. In order to respond to such cyber threats, it is important to improve the ability to detect unknown cyber threats by correlating heterogeneous cyber protection systems. In this paper, to enhance cyber-attack response capabilities, we proposed command and control that enables rapid decision-making and response before the attack objectives are achieved, using Lockheed Martin's cyber kill chain and MITRE ATT&CK to analyze the purpose and intention of the attacker.

RedHerd: Offensive Cyberspace Operations as a Service

Nowadays, time, scope and cost constraints along with knowledge requirements and personnel training constitute blocking restrictions for effective Offensive Cyberspace Operations (OCO). This paper presents RedHerd, an open-source, collaborative and serverless orchestration framework that overcomes these limitations. RedHerd leverages the ‘as a Service’ paradigm in order to seamlessly deploy a ready-to-use infrastructure that can be also adopted for effective simulation and training purposes, by reliably reproducing a real-world cyberspace battlefield in which red and blue teams can challenge each other. We discuss both the design and implementation of the proposed solution, by focusing on its main functionality, as well as by highlighting how it perfectly fits the Open Systems Architecture design pattern, thanks to the adoption of both open standards and wide-spread open-source software components. The paper also presents a complete OCO simulation based on the usage of RedHerd to perform a fictitious attack and fully compromise an imaginary enterprise following the Cyber Kill Chain (CKC) phases.

Cyber security game based training

Η εκπαίδευση στην κυβερνοασφάλεια κερδίζει ολοένα και περισσότερη προσοχή τα τελευταία χρόνια, καθώς τα περιστατικά κυβερνοεπιθέσεων αυξάνονται συνεχώς σε αριθμό και σφοδρότητα. Παράλληλα, παρατηρείται έλλειμμα στο εργατικό δυναμικό κυβερνοασφάλειας, καθώς οι απαιτήσεις σε εξειδικευμένο προσωπικό συνεχώς αυξάνονται ενώ οι εγκληματίες στον κυβερνοχώρο επιδεικνύουν νέες δεξιότητες, οι οποίες σε πολλές περιπτώσεις ξεπερνούν τις γνώσεις και δεξιότητες των επαγγελματιών του χώρου. Μία από τις βασικές προτεραιότητες για την κάλυψη αυτού του προβλήματος είναι η βελτίωση της αποτελεσματικότητας της εκπαίδευσης στην κυβερνοασφάλεια. Ωστόσο, ο τομέας της κυβερνοασφάλειας είναι ένας πολύπλοκος τομέας και η εκπαίδευση στην κυβερνοασφάλεια περιλαμβάνει πολλά προβλήματα και προκλήσεις που υποβαθμίζουν την αποτελεσματικότητά της. Συγκεκριμένα, η εκπαίδευση στην κυβερνοασφάλεια αξιοποιεί κυρίως παραδοσιακές μεθόδους διδασκαλίας και συχνά χρησιμοποιεί τους διαγωνισμούς κυβερνοασφάλειας (συνήθως της μορφής Capture-the-flag ή CtF), στους οποίους οι συμμετέχοντες ανταγωνίζονται με βάση τις γνώσεις και τις δεξιότητές τους. Παρόλο που οι διαγωνισμοί κυβερνοασφάλειας ενσωματώνουν πολλά παιδαγωγικά οφέλη, όταν υιοθετούνται σε εκπαιδευτικά πλαίσια, συνδέονται επίσης με πολλά προβλήματα που μειώνουν την παιδαγωγική τους αξία και την αποτελεσματικότητά τους. Οι προσεγγίσεις που βασίζονται σε παιχνίδια φαίνεται να έχουν τη δυνατότητα να βελτιώνουν την αποτελεσματικότητα της εκπαίδευσης στον τομέα της κυβερνοασφάλειας, καθώς τα σοβαρά παιχνίδια κερδίζουν συνεχώς αναγνώριση, ενώ ήδη χρησιμοποιούνται με επιτυχία σε άλλους τομείς.Σε αυτήν την διατριβή, αρχικά αναλύεται ο τομέας της εκπαίδευσης στην κυβερνοασφάλεια γενικότερα και των διαγωνισμών κυβερνοασφάλειας ειδικότερα, ενώ εντοπίζονται τα πλεονεκτήματα και τα μειονεκτήματά τους. Αξιοποιούνται τα μοντέλα ανάπτυξης σοβαρών παιχνιδιών, και με βάση την ανάλυση του κάθε τομέα, χρησιμοποιείται ως όχημα η εκπαίδευση με αξιοποίηση ψηφιακών παιχνιδιών για την αντιμετώπιση των αδυναμιών εκπαίδευσης στην κυβερνοασφάλεια και την βελτίωση της αποτελεσματικότητάς της. Για το σκοπό αυτό, προτείνεται το εννοιολογικό πλαίσιο για την ηλεκτρονική μάθηση και κατάρτιση (Conceptual Framework for eLearning and Training) με την ονομασία COFELET, ως ένας οδηγός για το σχεδιασμό και την ανάπτυξη σοβαρών παιχνιδιών για την ασφάλεια στον κυβερνοχώρο. Το πλαίσιο COFELET βασίζεται σε σύγχρονες θεωρίες μάθησης και βλέπει τα σοβαρά παιχνίδια στην κυβερνοασφάλεια ως οργανωμένα και παραμετροποιήσιμα περιβάλλοντα μάθησης που καταγράφουν τις ενέργειες των εκπαιδευομένων, αξιολογούν τις δραστηριότητές τους, προσαρμόζονται στις ανάγκες τους και στηρίζουν τις προσπάθειές τους. Τα παιχνίδια που είναι συμβατά με το COFELET παρέχουν στους μαθητές τις δυνατότητες να εξασκήσουν τις γνώσεις και τις δεξιότητές τους, να εξαπολύσουν κυβερνοεπιθέσεις και να πειραματιστούν σε ένα ασφαλές περιβάλλον μάθησης. Το COFELET προτείνει την υιοθέτηση γνωστών μοντέλων και στρατηγικών (π.χ., το CAPEC της MITRE, το Cyber Kill Chain της Lockheed Martin) που χρησιμοποιούνται γενικά σε προσεγγίσεις ανάλυσης και μοντελοποίησης κυβερνοαπειλών που επαληθεύουν την εγκυρότητα και τη βιωσιμότητα των προσεγγίσεων COFELET. Προς αυτό το σκοπό, προτείνεται η οντολογία COFELET, της οποίας η συνδυασμένη εφαρμογή στοχεύει στη δημιουργία ενός μοντέλου γνώσης για την ηλεκτρονική μάθηση και κατάρτιση στον κυβερνοχώρο ασφάλειας. Η οντολογία COFELET παρέχει λεπτομερείς περιγραφές των βασικών στοιχείων που πρέπει να περιλαμβάνουν τα παιχνίδια που είναι συμβατά με το πλαίσιο COFELET ώστε να μοντελοποιούν τις ενέργειες που κάνουν οι επιτιθέμενοι στον κυβερνοχώρο. Επιπλέον, το πλαίσιο COFELET εφαρμόζει τον κύκλο ζωής του παιχνιδιού COFELET (COFELET game life-cycle), για να καθορίζει τον τρόπο οργάνωσης των βασικών συστατικών και των στοιχείων της οντολογίας COFELET στη δομή ενός παιχνιδιού COFELET, καθώς επίσης και τους κύριους ρόλους του προσωπικού που συμμετέχει στη διαδικασία ανάπτυξης του παιχνιδιού.Με βάση το πλαίσιο COFELET αναπτύχθηκε ένα πρωτότυπο παιχνίδι προσομοίωσης κυβερνοεπιθέσεων, που ονομάζεται HackLearn. Το HackLearn είναι ένα σοβαρό παιχνίδι, το οποίο είναι σχεδιασμένο για να προσφέρει διδακτικές συνεδρίες μέσω προγράμματος φυλλομετρητή (browser), χωρίς να είναι απαραίτητη η παρουσία εκπαιδευτή. Το HackLearn υιοθετεί τη χρήση παραμετροποιήσιμων δυναμικών σεναρίων για τη διδασκαλία βασικών εννοιών κυβερνοασφάλειας, ενώ παρέχει στους εκπαιδευόμενους ευκαιρίες για πρακτική άσκηση και απόκτηση εμπειριών στο ethical hacking. Οι λεπτομέρειες σχεδίασης και εφαρμογής του HackLearn παρουσιάζονται λεπτομερειακά στη διατριβή μαζί με ένα πρωτότυπο σενάριο και το σύνολο στοιχείων από την οντολογία COFELET.Το HackLearn αξιολογήθηκε δύο φορές: αρχικά κατά τη φάση σχεδιασμού του και στη συνέχεια στα πλαίσια μαθημάτων κυβερνοασφάλειας στο Πανεπιστήμιο Μακεδονίας όπου αξιολογήθηκε η αποτελεσματικότητά του στη διδασκαλία βασικών εννοιών της κυβερνοασφάλειας και τεχνικών και στρατηγικών κυβερνοεπιθέσεων, καθώς και στην απόκτηση χρήσιμων εμπειριών από τον χρήστη. Τα αποτελέσματα των αξιολογήσεων δείχνουν ότι το HackLearn περιλαμβάνει δυνατότητες που διευκολύνουν τη δημιουργία αποτελεσματικών διδακτικών προσεγγίσεων στην κυβερνοασφάλεια. Οι εκπαιδευόμενοι ήταν αφοσιωμένοι στην επίτευξη του εκπαιδευτικού σεναρίου και δήλωσαν ικανοποιημένοι από τις εμπειρίες που αποκόμισαν. Συνεπώς, οι προσεγγίσεις COFELET μπορούν να ενισχύσουν τον αντίκτυπο της μάθησης και της κατάρτισης στον τομέα της εκπαίδευσης στην κυβερνοασφάλεια. Ακόμη, φάνηκε ότι τα σοβαρά παιχνίδια μπορούν να αποτελούν μέρος ενός εκπαιδευτικού προγράμματος, καθώς οι μαθητές έχουν κίνητρο στη μάθηση με πιο ενεργούς, δημιουργικούς και διασκεδαστικούς τρόπους. Παρόλα αυτά, Η αξιολόγηση αποκάλυψε ορισμένες ελλείψεις, οι οποίες δείχνουν τις προοπτικές για μελλοντική έρευνα, όπως η έλλειψη υποστήριξης για πολλούς παίκτες (multi-player), η ανάγκη για πιο εξελιγμένη βοήθεια και υποστήριξη των προσπαθειών του χρήστη και η έλλειψη πρόσθετων τρόπων λειτουργίας (π.χ. λειτουργίες πιστοποίησης των γνώσεων του εκπαιδευόμενου και λειτουργία διαγωνισμού εκπαιδευόμενων).

МЕТОДИ ПРОТИДІЇ ВІРУСУ ШИФРУВАЛЬНИК В ІНФОРМАЦІЙНИХ СИСТЕМАХ

У цій статті пропонується алгоритм, яким керуються системні адміністратори для протидії несанкціонованим спробам шифрування інформації в інформаційних системах. Факти вказують, що терміновість вжитих заходів полягає в тому, що кількість атак програм шифрування досягла 30% від загальної кількості глобальних кібератак та кіберінцидентів. Масштабні кібератаки відбуваються приблизно кожних шість місяців, а методи проникнення та алгоритми шифрування постійно вдосконалюються. Відповідно до моделі Cyber-Kill Chain, зловмисники успішно досягають поставленої мети на цільовому комп’ютері. Метою заходів щодо усунення несанкціонованого шифрування інформації в системі є запобігання її дії на початку роботи. Автори рекомендують заздалегідь розміщувати зразки програмного забезпечення в інформаційній системі, це дозволить своєчасно виявляти ознаки несанкціонованого шифрування інформації в системі. Заходи включають розміщення зразка спеціального програмного забезпечення в системі якомога раніше. Зразок може реалізувати “постійний програмний моніторинг” процесу в системі, щоб зупинити процесор, коли є ознаки шифрування, тобто: коли процесор перевантажений, коли виявляються підозрілі процеси, при виявленні ознак дії алгоритму шифрування, у разі синхронізації і коли важливі файли зникають, у разі спроби перезапустити систему та інших ознак. Автори порівнюють систему мережевої безпеки із ситуацією, коли рекомендовані заходи не застосовуються. Автори вважають, що, виходячи з ефективності відповідних заходів, система захисту мережі зросте до 0,99. Висновок цієї статті полягає в тому, що розміщення спеціального програмного забезпечення в системі дозволить протидіяти якомога швидше вірусу шифрувальнику та покращить безпеку системи. Подальші дослідження дозволять розповсюдити рекомендовані заходи щодо усунення поведінки різних типів кібератак, які досягли цільової машини, а також виникнення кіберінцидентів відповідно до моделі Cyber-Kill Chain.

Situation awareness framework for industrial control system based on cyber kill chain

Information and cyber security of Industrial Control Systems (ICS) has gained considerable importance. Situation Awareness (SA) is an exciting mechanism to achieve the perception, comprehension and projection of the ICS information security status. Based on the Purdue Enterprise Reference Architecture (PERA), a situation awareness framework for ICS is presented considering the ICS cyber kill chain. The proposed framework consists of IT SA Centre, OT SA Centre, and Comprehensive SA Centre. Comprehensive SA Centre is responsible for creating and maintaining an integrated and high level of security visibility into the whole environments. The introduced framework can be used to guide the development of the situation awareness infrastructure in organization with industrial control systems.

Mathematical Study of Advanced Persistent Threat (APT) Hunting Techniques

The paper documents, based mainly on [3]-[6] published papers where a consistent mathematical description of cyberspace and various types of Cyber-Attacks and protection measures are presented, a holistic mathematical approach to a rigorous description of Advanced Persistent Threat (APT) actors’ modus operandi through various scenarios and Cyber Kill Chain stages [2]. After referring [6] to the various elements of Cyber-Attacks we propose some techniques (via 5 scenarios) of tracking the modus operandi of the most sophisticated and non-linear cyber actors, the Advanced Persistent Threat actors that are usually nation-state or nation-state backed and usually stay undetected for an extended time in later stages of Cyber Kill Chain in defenders’ networks. Keywords: Valuation of cyber assets, vulnerability of cyber assets, node supervision, sophistication of an attack germ of cyber-attack, cyber defense, proactive cyber protection, Advanced Persistent Threat (APT) actors, Indication of Compromise (IOC), Tactics, Techniques and Procedures (TTPs).