Learning the APT Kill Chain: Temporal Reasoning over Provenance Data for Attack Stage Estimation

Il documento presenta StageFinder, un framework di apprendimento su grafi temporali che integra dati di provenienza host e di rete per stimare con alta precisione e stabilità le fasi di un attacco APT, ottenendo un punteggio F1 macro di 0,96 su dataset DARPA.

L'essenziale

Immagina di essere un detective privato che deve risolvere un caso di spionaggio industriale. Il colpevole non è un ladro che entra e ruba tutto in un minuto; è uno spione paziente (un "APT" o Minaccia Persistente Avanzata) che entra nel tuo ufficio, si nasconde per mesi, copia i documenti uno per uno e se ne va senza farsi notare.

Il problema? I sistemi di sicurezza tradizionali sono come telecamere che scattano foto solo quando vedono un volto noto. Se lo spione cambia parrucca o usa un trucco nuovo, la telecamera non lo riconosce.

Questo paper presenta StageFinder, un nuovo tipo di detective digitale. Ecco come funziona, spiegato in modo semplice:

1. Il Problema: Troppi Pezzi del Puzzle

Per capire cosa sta succedendo, i detective devono guardare due cose:

• Cosa succede dentro i computer (chi apre quali file, quali programmi si avviano).
• Cosa succede sulla rete (chi chiama chi, quali dati escono dal palazzo).

I vecchi metodi guardavano queste due cose separatamente, come se avessero due detective che parlano lingue diverse e non si capiscono. Risultato? Si perdono i collegamenti importanti.

2. La Soluzione: StageFinder, il Detective "Tuttofare"

StageFinder è un sistema intelligente che unisce tutto in un unico grande quadro. Immagina di costruire un albero genealogico gigante (chiamato "grafo di provenienza") che mostra ogni singola azione: chi ha creato un file, chi lo ha letto, chi ha inviato un messaggio.

Ecco i tre trucchi magici di StageFinder:

A. L'Unione Forzata (Early Fusion)

Invece di tenere separati i dati del computer e quelli della rete, StageFinder li incolla insieme prima di analizzarli.

• L'analogia: Immagina di avere una lista di chi ha comprato un biglietto del treno (rete) e una lista di chi ha preso un caffè alla stazione (computer). Se le unisci, capisci subito che quella persona stava viaggiando. Se le tieni separate, sono solo due liste noiose. StageFinder unisce le liste per vedere il quadro completo.

B. Il Ricercatore di Strutture (GNN)

Una volta costruita questa mappa gigante, StageFinder usa un "cervello artificiale" specializzato nei grafi (chiamato GNN).

• L'analogia: È come se avessi un detective che non guarda solo le persone, ma guarda come sono collegati tra loro. Se vedi che il "Caffè" è collegato al "Biglietto" e il "Biglietto" è collegato al "Bagaglio", il detective capisce che c'è un viaggio in corso, anche se non ha mai visto quella persona prima. Questo aiuta a capire la struttura dell'attacco.

C. Il Cronometrista Esperto (LSTM)

Gli spioni agiscono nel tempo. Prima fanno ricognizione, poi entrano, poi rubano. StageFinder ha un secondo cervello (chiamato LSTM) che guarda la sequenza temporale delle azioni.

• L'analogia: Immagina di guardare un film a scatti. Se guardi solo una foto, non sai se è una scena d'azione o una scena romantica. Se guardi il film in sequenza, capisci la trama. StageFinder guarda la sequenza di azioni nel tempo per capire in quale "atto" della storia si trova l'attacco:
  1. Ricognizione: Lo spione guarda le porte.
  2. Intrusione: Lo spione entra.
  3. Escalation: Lo spione prende le chiavi del capo.
  4. Movimento Laterale: Lo spione si sposta da un ufficio all'altro.
  5. Comando: Lo spione parla con il suo capo.
  6. Fuga: Lo spione ruba i dati e scappa.

3. I Risultati: Perché è meglio degli altri?

I ricercatori hanno messo alla prova StageFinder contro altri sistemi famosi (come Cyberian e NetGuardian) usando dati reali di esercitazioni di hacking.

• Precisione: StageFinder indovina il "momento" dell'attacco nel 96% dei casi (gli altri erano intorno al 90%).
• Stabilità: I vecchi sistemi facevano confusione, cambiando idea ogni due secondi ("Ora è un furto, ora no, ora è di nuovo un furto"). StageFinder è molto più calmo e coerente. Immagina un meteo che cambia idea ogni minuto contro uno che ti dice "pioverà per 3 ore". StageFinder è quello affidabile.
• Velocità: È stato addestrato su enormi quantità di dati "non etichettati" (come leggere milioni di libri senza sapere la trama) e poi affinato su casi specifici. È come un detective che legge tutti i giornali del mondo per imparare a riconoscere i crimini, per poi specializzarsi su un caso specifico.

In Sintesi

StageFinder è come avere un detective super-intelligente che:

1. Guarda sia dentro i computer che fuori sulla rete contemporaneamente.
2. Disegna una mappa di tutte le connessioni tra le azioni.
3. Guarda la storia nel tempo per capire se lo spione sta solo guardando o sta già rubando.

Grazie a questo sistema, le aziende possono smettere di reagire quando è troppo tardi e iniziare a fermare gli spioni mentre stanno ancora pianificando o mentre stanno iniziando a muoversi, rendendo la sicurezza molto più intelligente e meno confusa.

Sommario tecnico

Ecco un riassunto tecnico dettagliato del documento "Learning the APT Kill Chain: Temporal Reasoning over Provenance Data for Attack Stage Estimation" in lingua italiana.

Titolo

StageFinder: Apprendimento Temporale su Grafi per la Stima delle Fasi degli Attacchi APT tramite Dati di Provenienza

1. Il Problema

Le Minacce Persistenti Avanzate (APT) rappresentano una sfida critica per la sicurezza informatica moderna. A differenza del malware opportunistico, gli APT operano attraverso campagne a più fasi (ricognizione, compromissione iniziale, escalation dei privilegi, movimento laterale, C2, esfiltrazione) caratterizzate da:

• Stealth e tempi di permanenza lunghi: Gli attaccanti distribuiscono indicatori deboli e sparsi su lunghi periodi.
• Difficoltà di correlazione: Le tracce sono spesso intercalate con attività legittime, rendendo difficile l'inferenza causale.
• Limiti delle soluzioni attuali:
  • I sistemi basati su firme non rilevano TTP (Tactics, Techniques, and Procedures) nuovi.
  • I metodi basati su anomalie soffrono di alti tassi di falsi positivi e mancano di consapevolezza contestuale.
  • I modelli esistenti (es. Cyberian, NetGuardian) tendono a trattare i dati di host e di rete come flussi indipendenti, ignorando le dipendenze causali strutturali o la coerenza temporale unificata.

L'obiettivo è stimare accuratamente la fase attuale di un attacco APT per abilitare difese adattive e contestuali.

2. Metodologia: Il Framework StageFinder

Il paper propone StageFinder, un framework di apprendimento temporale su grafi che fonde dati di provenienza (provenance) a livello di host e di rete per inferire la progressione dell'attacco. L'architettura segue una pipeline sequenziale:

A. Raccolta e Fusione Precoce (Early Fusion)

• Ambiente: Simulazione di una rete aziendale divisa in zone (LAN, DMZ, Server, Gestione).
• Integrazione: Invece di analizzare log di host e alert di rete separatamente, StageFinder esegue una fusione precoce durante la costruzione del grafo.
• Meccanismo: Gli alert di rete (es. da IDS/Zeek) vengono modellati come nodi di primo livello collegati direttamente alle entità host (processi, file, socket) che li hanno generati. Questo preserva le relazioni semantiche e causali tra anomalie di rete e attività locali.

B. Costruttore di Grafi di Provenienza

• I log grezzi (es. Sysmon) e gli alert di rete vengono trasformati in un grafo causale unificato $G_t = (V_t, E_t)$.
• Nodi: Processi, file, socket, indirizzi IP, eventi di alert.
• Archi: Dipendenze causali o temporali (es. "spawn", "write", "connect", "triggered by").
• Vantaggio: Permette di ragionare su intere catene di attacco piuttosto che su eventi isolati.

C. Encoder del Grafo (GNN)

• Un Graph Neural Network (GNN) estrae embedding a bassa dimensionalità dai grafi fusi.
• Inizializzazione delle feature:
  • Entità Host: Tipo di entità, comandi (TF-IDF), contesto utente, timestamp, statistiche.
  • Entità Alert: Firma dell'alert, severità, protocollo, contesto di rete.
• Codifica: Utilizza un meccanismo di passaggio di messaggi (message passing) multistrato per aggregare le dipendenze relazionali e temporali, producendo un vettore di embedding $g_t$ che rappresenta lo stato strutturale e contestuale del sistema al tempo $t$.

D. Stima Temporale delle Fasi (LSTM)

• La sequenza di embedding dei grafi $\{g_1, g_2, ..., g_t\}$ viene elaborata da una rete Long Short-Term Memory (LSTM).
• Obiettivo: Modellare le dipendenze temporali a lungo termine per stimare la probabilità della fase dell'attacco (Kill Chain) in base al MITRE ATT&CK (6 fasi + classe "Benigna").
• Output: Una distribuzione di probabilità sulle fasi dell'attacco, che viene mappata nella fase più probabile per fornire insight interpretabili agli analisti.

3. Contributi Chiave

1. Fusione Olistica Host-Rete: Superamento della separazione tradizionale tra log di sistema e alert di rete, integrandoli causalmente nel grafo di provenienza fin dalla fase di costruzione.
2. Architettura Ibrida Temporale-Strutturale: Combinazione di GNN (per la struttura causale) e LSTM (per la dinamica temporale), affrontando le limitazioni dei modelli puramente sequenziali o puramente basati su grafi.
3. Strategia di Addestramento Ibrida:
   • Pre-addestramento non supervisionato su grandi dataset non etichettati (DARPA OpTC) per apprendere dipendenze temporali generiche.
   • Fine-tuning supervisionato su dataset etichettati (DARPA TC) per la classificazione specifica delle fasi.
4. Riduzione della Volatilità: Il modello è progettato non solo per l'accuratezza, ma anche per la stabilità temporale, riducendo i "flip" (cambiamenti bruschi) nelle previsioni tra finestre temporali adiacenti.

4. Risultati Sperimentali

Il framework è stato valutato sui dataset DARPA Transparent Computing (TC) e Operationally Transparent Cyber (OpTC), confrontato con lo stato dell'arte (Cyberian e NetGuardian).

• Prestazioni Generali:
  • F1-Score Macro: 0.96 (vs 0.90 di Cyberian e 0.92 di NetGuardian).
  • Precisione e Recall: Entrambe al 0.96.
  • AUPR (Area Under Precision-Recall): 0.97.
• Stabilità Temporale:
  • Temporal Flip Rate (TFR): Ridotto al 0.125, rappresentando una diminuzione del 31% rispetto alle baseline (0.182 e 0.160). Ciò indica transizioni di fase più fluide e realistiche.
• Analisi per Fase:
  • Miglioramenti costanti su tutte le fasi (da Ricognizione a Esfiltrazione).
  • Particolarmente efficace nelle fasi intermedie (Movimento Laterale) e finali (C2, Esfiltrazione), dove la correlazione causale tra host e rete è cruciale.
• Analisi dell'Attenzione: Le visualizzazioni mostrano che StageFinder concentra l'attenzione temporale su segmenti rilevanti (es. fasi C2/Esfiltrazione), a differenza dei modelli baseline che mostrano picchi diffusi e irregolari.

5. Significato e Impatto

Il lavoro dimostra che la combinazione di modellazione basata su grafi e ragionamento temporale è fondamentale per la comprensione delle intrusioni APT.

• Difesa Adattiva: Una stima accurata e stabile della fase dell'attacco permette ai sistemi di difesa di passare da un monitoraggio selettivo (fase di ricognizione) a un contenimento aggressivo (fase di movimento laterale), riducendo falsi allarmi e tempi di risposta.
• Interpretabilità: Il mapping delle fasi fornisce agli analisti una visione chiara della progressione dell'attacco, facilitando l'azione di risposta.
• Scalabilità: L'approccio modulare e l'uso di pre-addestramento su grandi volumi di dati lo rendono adatto per ambienti enterprise complessi.

In sintesi, StageFinder rappresenta un avanzamento significativo nella capacità di rilevare e classificare le minacce persistenti, trasformando dati di provenienza grezzi in intelligence operativa affidabile.