Mining Temporal Attack Patterns from Cyberthreat Intelligence Reports

要約

サイバー攻撃から身を守るには、実務者は敵のハイレベルな行動を操作する必要がある。過去のサイバー攻撃インシデントに関するサイバー脅威インテリジェンス（CTI）レポートには、時間に関する悪意のある行動の連鎖が記述されています。サイバー攻撃インシデントを繰り返さないためには、実務者は、繰り返し発生する一連の行動を積極的に特定し、防御する必要があります。アクション間のパターンを自動的にマイニングすることで、過去のサイバー攻撃における敵の行動に関する構造化された実用的な情報が得られる。本論文の目的は、サイバー脅威インテリジェンスレポートから時間的攻撃パターンをマイニングすることにより、セキュリティ実務者がサイバー攻撃に対する優先順位付けとプロアクティブな防御を支援することである。この目的のために、我々は、過去のサイバー攻撃のサイバー脅威インテリジェンス（CTI）レポートから時間的攻撃パターンをマイニングするための自動化パイプラインであるChronoCTIを提案する。ChronoCTI を構築するために、時間的攻撃パターンのグランドトゥルースデータセットを構築し、最先端の大規模言語モデル、自然言語処理、機械学習技術を適用する。ChronoCTI を 713 件の CTI レポートに適用し、124 の時間的攻撃パターンを特定した。最も一般的なパターンカテゴリーは、被害者ユーザーを騙して悪意のあるコードを実行させ、攻撃を開始させるものであり、次いで被害者ネットワーク内のマルウェア対策システムをバイパスするものであることを確認しました。観察されたパターンに基づいて、私たちは組織に対して、サイバーセキュリティのベストプラクティスについてユーザーを訓練すること、機能を制限した不変のオペレーティングシステムを導入すること、マルチユーザー認証を実施することを提唱します。さらに、ChronoCTI の自動マイニング機能を活用し、繰り返し発生する攻撃パターンに対する対策を設計することを提言する。

要約(オリジナル)

Defending from cyberattacks requires practitioners to operate on high-level adversary behavior. Cyberthreat intelligence (CTI) reports on past cyberattack incidents describe the chain of malicious actions with respect to time. To avoid repeating cyberattack incidents, practitioners must proactively identify and defend against recurring chain of actions – which we refer to as temporal attack patterns. Automatically mining the patterns among actions provides structured and actionable information on the adversary behavior of past cyberattacks. The goal of this paper is to aid security practitioners in prioritizing and proactive defense against cyberattacks by mining temporal attack patterns from cyberthreat intelligence reports. To this end, we propose ChronoCTI, an automated pipeline for mining temporal attack patterns from cyberthreat intelligence (CTI) reports of past cyberattacks. To construct ChronoCTI, we build the ground truth dataset of temporal attack patterns and apply state-of-the-art large language models, natural language processing, and machine learning techniques. We apply ChronoCTI on a set of 713 CTI reports, where we identify 124 temporal attack patterns – which we categorize into nine pattern categories. We identify that the most prevalent pattern category is to trick victim users into executing malicious code to initiate the attack, followed by bypassing the anti-malware system in the victim network. Based on the observed patterns, we advocate organizations to train users about cybersecurity best practices, introduce immutable operating systems with limited functionalities, and enforce multi-user authentications. Moreover, we advocate practitioners to leverage the automated mining capability of ChronoCTI and design countermeasures against the recurring attack patterns.

arxiv情報

提供元, 利用サービス

arxiv.jp, DeepL