DOI: https://doi.org/10.1109/jiot.2025.3528744
تاريخ النشر: 2025-01-13
المؤلف: Zhuoran Tan وآخرون
الموضوع الرئيسي: مرونة سلسلة التوريد وإدارة المخاطر
نظرة عامة
يتناول قسم ورقة البحث التهديد المتزايد للهجمات المستمرة المتقدمة (APTs) التي تستغل ثغرات سلسلة التوريد (SCVs) داخل نظم تكنولوجيا المعلومات والاتصالات (ICT). يبرز الاعتماد المتزايد بين مكونات البرمجيات والأجهزة، والذي يستغله الفاعلون الخبيثون لتنفيذ هجمات سيبرانية متطورة. تؤكد الورقة على عدم كفاية آليات الدفاع الحالية لتحديد نقاط الدخول المحددة التي تم اختراقها، مما يزيد من خطر APTs. يهدف الاستطلاع إلى سد الفجوة بين البحث الأكاديمي والممارسات الصناعية من خلال تقديم رؤى حول طبيعة اختراقات سلسلة التوريد، والمخاطر المرتبطة بها، واستراتيجيات الدفاع الحالية.
في الختام، يقدم المؤلفون تحليلًا شاملاً للهجمات المستمرة المتقدمة المستندة إلى سلسلة التوريد، باستخدام سيناريوهات هجوم من العالم الحقيقي لتقييم كل من طرق الكشف الصناعية وطرق الدفاع الأكاديمية. يستخدمون تقنيات تحليلية متنوعة، بما في ذلك التحليلات القائمة على الرسوم البيانية والإحصائيات، لاستخلاص الرؤى واقتراح نموذج تهديد موحد. كما تفصل الدراسة سلسلة الكشف المخصصة وتعدد طرق الهجوم من خلال دمج وجهات نظر الأجهزة والبرمجيات. علاوة على ذلك، تصنف تقنيات الدفاع المتعلقة بـ APTs وهجمات سلسلة التوريد، وتحدد القيود في الأدبيات الحالية، وتحدد اتجاهات البحث المستقبلية، بهدف تعزيز تدابير الأمن السيبراني ضد هذه التهديدات المتطورة.
مقدمة
تسلط مقدمة هذه الورقة البحثية الضوء على الانتشار المتزايد للهجمات المستمرة المتقدمة (APTs) المرتبطة بهجمات الفدية، التي تستغل بشكل أساسي الثغرات في برمجيات سلسلة التوريد من الأطراف الثالثة. مشيرة إلى تقارير من مانديانت، OWASP، وENISA، يلاحظ المؤلفون أن ثغرات سلسلة التوريد (SCVs) قد ظهرت كأهم سبب للهجمات السيبرانية الكبيرة، وخاصة من قبل مجموعات APT. تؤكد الورقة على الحاجة الملحة لآليات دفاع فعالة ضد هذه الهجمات الخفية، التي غالبًا ما تكون غير مستهدفة ولم يتم دراستها بشكل شامل في سياق APTs.
لمعالجة هذه الفجوة، يقوم المؤلفون بإجراء مراجعة شاملة للأدبيات تشمل كل من الأدبيات الأكاديمية والرمادية، بهدف تحديد التقنيات الأساسية المستخدمة من قبل APTs المستندة إلى سلسلة التوريد وتقييم استراتيجيات الدفاع الحالية. يساهم الاستطلاع بتصنيف تفصيلي لتهديدات سلسلة التوريد، بما في ذلك مكونات البرمجيات والأجهزة والذكاء الاصطناعي، بالإضافة إلى تصنيف منهجيات الدفاع إلى طرق الكشف، والرقابة، والطرق الاستباقية. بالإضافة إلى ذلك، توضح الورقة الفروق الكبيرة في التقنيات المستخدمة من قبل APTs العامة مقابل تلك المستندة إلى SCVs، وتحدد اتجاهات البحث المستقبلية لتعزيز الكشف والدفاع ضد هذه التهديدات المحددة. هيكل الورقة منظم لاستكشاف هذه المواضيع بشكل منهجي، بدءًا من المفاهيم الأساسية والتقدم من خلال تحليلات ومناقشات تفصيلية.
الطرق
يستعرض القسم تصنيفًا لطرق الدفاع ضد الهجمات المستمرة المتقدمة (APTs) التي تستهدف سلاسل التوريد، بناءً على مراجعة للمقالات العلمية من السنوات الأربع الماضية. تصنف التحليل طرق الكشف إلى فئتين رئيسيتين: إعادة بناء الهجوم وكشف الشذوذ. يتم تقديم شجرة تصنيف لتوجيه تطوير منتجات الدفاع ضد ثغرات سلسلة التوريد (SCVs). تشمل النتائج الملحوظة نظام تتبع الأصل TRACE، الذي حقق تغطية كشف بنسبة 80% لمراحل APT من خلال التحليل الثابت وبناء الرسوم البيانية السببية، ونظام SteinerLog، الذي يستخدم خوارزمية شجرة ستاينر لجمع الجوائز للكشف في الوقت الحقيقي وإعادة بناء حملات APT.
بالإضافة إلى ذلك، يناقش القسم طرق الدفاع الاستباقية، مع التركيز على إدارة المخاطر، وتعداد طرق الهجوم، والاستخبارات السيبرانية. تشمل الاستراتيجيات الاستباقية تقييم الأصول وطرق الهجوم المحتملة، واستخدام البلوكشين للتحقق من المصادر الرقمية، واستخدام الاستخبارات السيبرانية للكشف في الوقت الحقيقي. تسلط الدراسة الضوء على أهمية فهم العلاقات السببية وتحليل الارتباط في تعزيز كشف APT، مع الإشارة أيضًا إلى التحديات مثل قيود الموارد والحاجة إلى بيانات شاملة في التطبيقات الواقعية. بشكل عام، تؤكد النتائج على ضرورة التحسين المستمر ودمج منهجيات متنوعة لمكافحة APTs المستندة إلى سلسلة التوريد بشكل فعال.
المناقشة
تتوسع قسم المناقشة في الورقة حول سلسلة قتل السيبرانية (CKC) وتطورها إلى سلسلة قتل موحدة (UKC)، مما يعزز فهم الهجمات المستمرة المتقدمة (APTs). توضح CKC مراحل الهجوم السيبراني، من الاستطلاع إلى استخراج البيانات، بينما تنظم UKC هذه المراحل إلى ثلاثة أهداف رئيسية: “في”، “من خلال”، و”خارج”. يوفر هذا الإطار نهجًا أكثر شمولاً لتحليل APTs، التي تتميز بطبيعتها المعقدة وطويلة الأمد واستراتيجياتها المستهدفة ضد كيانات مختلفة، بما في ذلك الدول القومية والمنظمات الخاصة.
تقوم الورقة أيضًا بتفكيك دورة حياة APT إلى مراحل متميزة—الاستطلاع، التسليم، التثبيت، الحركة الجانبية، الاستخراج، ومسح الأدلة—كل منها يعتمد على المرحلة السابقة. تتضمن مرحلة الاستطلاع جمع المعلومات حول الهدف، بينما تركز مرحلة التسليم على إرسال حمولات خبيثة. يؤسس التثبيت موطئ قدم في النظام المستهدف، يتبعه حركة جانبية للوصول إلى البيانات الحساسة. تهدف الاستخراج إلى نقل المعلومات المسروقة إلى خوادم خارجية، غالبًا باستخدام قنوات موثوقة لتجنب الكشف. أخيرًا، يقوم المهاجمون بمسح الأدلة لتعقيد جهود التتبع. تؤكد الورقة على ضرورة الكشف الاستباقي خلال هذه المراحل للتخفيف من تأثير APTs، خاصة مع استغلالها المتزايد للثغرات داخل سلسلة التوريد السيبرانية.
DOI: https://doi.org/10.1109/jiot.2025.3528744
Publication Date: 2025-01-13
Author(s): Zhuoran Tan et al.
Primary Topic: Supply Chain Resilience and Risk Management
Overview
The research paper section addresses the growing threat of Advanced Persistent Threats (APTs) that exploit Supply Chain Vulnerabilities (SCVs) within Information and Communications Technology (ICT) ecosystems. It highlights the increasing inter-dependency among software and hardware components, which malicious actors leverage to conduct sophisticated cyber-attacks. The paper emphasizes the inadequacy of current defense mechanisms to identify specific compromised entry points, thereby heightening the risk of APTs. The survey aims to bridge the gap between academic research and industry practices by providing insights into the nature of supply chain compromises, the risks associated with them, and existing defense strategies.
In the conclusion, the authors present a comprehensive analysis of supply chain-based APTs, utilizing real-world attack scenarios to evaluate both industrial detection and academic defense methods. They employ various analytical techniques, including graph-based and statistical analyses, to derive insights and propose a unified threat model. The study also details a customized detection chain and enumerates attack vectors by integrating hardware and software perspectives. Furthermore, it classifies defense technologies related to APTs and supply chain attacks, identifies limitations in existing literature, and outlines future research directions, ultimately aiming to enhance cybersecurity measures against these evolving threats.
Introduction
The introduction of this research paper highlights the increasing prevalence of Advanced Persistent Threats (APTs) associated with ransomware attacks, primarily exploiting vulnerabilities in third-party supply chain software. Citing reports from Mandiant, OWASP, and ENISA, the authors note that supply chain vulnerabilities (SCVs) have emerged as the leading cause of significant cyber-attacks, particularly by APT groups. The paper emphasizes the urgent need for effective defense mechanisms against these stealthy attacks, which are often non-targeted and have not been thoroughly studied in the context of APTs.
To address this gap, the authors conduct a comprehensive literature review encompassing both academic and gray literature, aiming to identify the core techniques used by supply chain-based APTs and evaluate current defense strategies. The survey contributes a detailed taxonomy of supply chain threats, including software, hardware, and AI components, as well as a classification of defense methodologies into detection, censoring, and proactive methods. Additionally, the paper outlines significant differences in techniques employed by general APTs versus those based on SCVs, and it identifies future research directions to enhance detection and defense against these specific threats. The structure of the paper is organized to systematically explore these themes, beginning with foundational concepts and progressing through detailed analyses and discussions.
Methods
The section outlines a classification of defense methods against Advanced Persistent Threats (APTs) targeting supply chains, based on a review of scholarly articles from the past four years. The analysis categorizes detection methods into two main subcategories: Attack Reconstruction and Anomaly Detection. A classification tree is presented to guide the development of defense products against supply chain vulnerabilities (SCVs). Notable findings include the TRACE provenance tracking system, which achieved 80% detection coverage for APT stages through static analysis and causal graph construction, and the SteinerLog system, which utilizes a prize-collecting Steiner tree algorithm for real-time detection and reconstruction of APT campaigns.
Additionally, the section discusses proactive defense methods, emphasizing risk management, attack vector enumeration, and cyber intelligence. Proactive strategies include assessing assets and potential attack vectors, employing blockchain for verification of digital sources, and utilizing cyber intelligence for real-time detection. The research highlights the importance of understanding causal relationships and correlation analysis in enhancing APT detection, while also noting challenges such as resource constraints and the need for comprehensive data in real-world applications. Overall, the findings underscore the necessity for ongoing improvements and the integration of various methodologies to effectively combat supply chain-based APTs.
Discussion
The discussion section of the paper elaborates on the Cyber Kill Chain (CKC) and its evolution into the Unified Kill Chain (UKC), which enhances the understanding of Advanced Persistent Threats (APTs). The CKC outlines the stages of a cyberattack, from reconnaissance to data exfiltration, while the UKC organizes these stages into three main objectives: “In,” “Through,” and “Out.” This framework provides a more comprehensive approach to analyzing APTs, which are characterized by their sophisticated, long-term nature and targeted strategies against various entities, including nation-states and private organizations.
The paper further decomposes the APT lifecycle into distinct stages—reconnaissance, delivery, installation, lateral movement, exfiltration, and evidence erasure—each relying on the previous stage. The reconnaissance phase involves gathering information about the target, while the delivery stage focuses on sending malicious payloads. Installation establishes a foothold in the target system, followed by lateral movement to access sensitive data. Exfiltration aims to transfer stolen information to external servers, often using trusted channels to evade detection. Finally, attackers erase evidence to complicate tracking efforts. The paper emphasizes the necessity of proactive detection during these stages to mitigate the impact of APTs, particularly as they increasingly exploit vulnerabilities within the cyber supply chain.