נושא הפרוייקט

מספר פרוייקט מחלקה שמות סטודנטים אימייל שמות מנחים

איסוף מידע ממוקד לצורך ציד איומי סייבר במערכות שליטה ובקרה תעשייתיות

Targeted Data Collection for Threat Hunting in Industrial Control Systems

תקציר בעיברית

מערכות שליטה ובקרה תעשייתיות (ICS) מהוות מוקד משיכה לעברייני סייבר בשל שימושם בתשתיות קריטיות לאומיות, מה שגורם לכך שפגיעה בהן יכולה לזרוע הרס רב באופן מיידי. באופן מסורתי, מערכות אלו פעלו ללא חיבור לאינטרנט, אך עם ההתפתחות המהירה של האינטרנט היה צורך לנטר אותן מרחוק, מה שהפך אותן לחשופות למתקפות סייבר. ציד איומי סייבר הוא תהליך שנשען על מודיעין איומי סייבר, אשר מגלם בתוכו חיפוש אקטיבי של אינדיקציות לכך שתקיפה התרחשה, חולשות במערכת ואיומים שונים שלא התגלו קודם לכן על ידי טכנולוגיות לזיהוי תקיפות. באופן מסורתי, תהליך ציד איומי סייבר נשען רבות על חוקר הסייבר האנושי, שיכול להיות נתון תחת עומס רב, בעוד שאיומים חדשים ושיטות תקיפה חדשות מתגלים בקצב רב.
חלק גדול מהתהליך של ציד איומי סייבר, הוא איסוף וניתוח של כמות גדולה מאוד של תעבורת רשת. זהו חלק נוסף שיכול לגרום לעומס רב על חוקר הסייבר, ולהאט משמעותית תהליכים אוטומטיים בתהליך הציד. במחקר שלנו, אנחנו מציעים שיטה לביצוע ציד איומי סייבר בסביבת מערכות שליטה ובקרה תעשייתיות, באמצעות איסוף מידע באופן ממוקד. החלק הראשון במחקר שלנו עוסק בקישור בין חוקי מערכות לזיהוי חדירות לבין טכניקות, טקטיקות ופרוצדורות (TTPs) לפי MITRE ATT&CK. החלק השני במחקר שלנו עוסק בשימוש בכלי open-source לחילוץ עצי ירושה של TTPs מדו”חות על מקרי סייבר, עצי הירושה הללו מתארים את הצעדים השונים של התוקף. כאשר מקבלים התראה מהמערכת לזיהוי חדירות, השיטה שלנו בודקת מהן הטכניקות הבאות שהתוקף עשוי להשתמש בהן, על פי הטכניקה שמשויכת לחוק שנחסם ועל פי עצי הירושה. לאחר מכן היא מגדירה באופן דינאמי את המערכת לזיהוי חדירות להתריע לחוקר הסייבר על כל תעבורה שמשויכת לאחת מהטכניקות הללו.

תקציר באנגלית

Industrial Control Systems (ICS), are a major center of attraction for cyber criminals as they are oftentimes considered national critical infrastructures, and disabling them may cause a lot of damage instantly. Traditionally, ICS were offline, but with the growing use of the internet there was the need to monitor them remotely, their connection to the internet made them vulnerable to cyber security attacks. Threat Hunting (TH) is a process relying on cyber threat intelligence, which involves proactively searching for indicators of compromise that have not yet been flagged by various detection technologies to identify weaknesses, threats, and ongoing attacks. Traditionally, the TH process relies heavily on the human cyber-security analyst, which can be overloaded with tasks as new threats and attack methods are continuously invented.
TH involves the collection and analysis of large amounts of network traffic, which can also increase the load on the analyst and slow down the automated TH procedures. In our work, we suggest a method for performing TH in ICS environments using a targeted data collection approach. The first part of our work involves linking Intrusion Detection System (IDS) rules to Tactics, Techniques and Procedures (TTPs) from MITRE ATT&CK. The second part of our work consists of using open-source tools for extracting TTP provenance graphs from incident reports, which describe the different steps of the attacker. When an alert arises and prompts on the possible TTPs the attacker might use, our method uses the provenance graphs to predict the next TTPs the attacker might use, and dynamically configure the IDS to alert the analyst on traffic that is linked to those TTPs.