Kako razmisljajo napadalci: Miselnost za vdori

Za ucinkovito obrambo morate razumeti, kako napadalci pristopajo k svojim tarcam. Po osemnajstih letih profesionalnega razmisljanja kot napadalec vam lahko povem, da ne gre za najnaprednejsa orodja ali zero-day eksploite. Gre za metodologijo, vztrajnost in poseben nacin gledanja na sisteme, ki ga vecina branilcev nikoli ne razvije. Najboljse varnostne izboljsave, ki sem jih videl, so prisle od organizacij, ki so vlozile cas v razumevanje perspektive nasprotnika.

Miselnost napadalca

• Potrpežljivost - Pravi napadalci si vzamejo cas. Ni jim treba uspeti danes ali celo ta teden. Za skupine naprednih vztrajnih groženj je znano, da vzdrzujejo dostop do okolij mesece, preden izvedejo svoj primarni cilj. Med angažmaji rdece ekipe sem tedne izvajal tiho izvidovanje, preden sem naredil kakrsen koli agresiven korak, ker hitenje vodi v zaznavo. Branilci, ki pricakujejo hitre in glasne napade, bodo zgrešili pocasne in metodicne.
• Ustvarjalnost - Ko ena pot odpove, najdejo drugo. Ce je spletna aplikacija dobro utrjena, preverijo VPN prehod. Ce je VPN pokrpan, poskusijo s phishingom. Ce je ozavescenost o phishingu visoka, pogledajo dobavno verigo. Napadalci ne sledijo togemu kontrolnemu seznamu; prilagajajo se. Nekoč sem pridobil dostop do dobro branjenega omrežja s kompromitacijo orodja za oddaljeno podporo dobavitelja, ki je bilo namesceno pred leti in pozabljeno. Neposredne poti so bile vse blokirane, a pozabljena stranska vrata so bila na stežaj odprta.
• Fokus na najšibkejši clen - Zakaj napasti požarni zid, ko lahko phishate pripravnika? Zakaj izkoriščati utrejen streznik, ko ima razvojno okolje privzete poverilnice? Napadalci naravno gravitirajo proti poti najmanjsega odpora. Zato morajo organizacije razmisljati o varnosti celovito, namesto da samo utrjujejo svoje najbolj vidne vire. Mocnost vase varnosti doloca njena najsibkejsa komponenta.
• Življenje z dežele - Sodobni napadalci vse pogosteje uporabljajo legitimna orodja za izogibanje zaznavi. PowerShell, WMI, PsExec, RDP, nacrtovane naloge: vse to so standardna administrativna orodja, ki se zlijejo z normalno aktivnostjo. Ce vase spremljanje isece le znane signature zlonamerne programske opreme, boste zgrešili napadalca, ki uporablja vasa lastna orodja proti vam. Med angažmaji pogosto dosežem cilje le z uporabo vgrajenih orodij Windows, ne da bi kadarkoli namestil tradicionalen kos zlonamerne programske opreme.

Pogosti vzorci napadov

1. Zacetni dostop - Vstopna tocka. Phishing ostaja unicojoce ucinkovit kljub letom ozavescanja. Izpostavljene storitve, kot so RDP, VPN prehodi ali spletne aplikacije z znanimi ranljivostmi, so se en pogost vektor. Kompromisi dobavne verige, kjer napadalec cilja zaupnega dobavitelja za dosego resnicne tarce, so vse bolj razsirjeni. Pogosto najdem tudi pozabljene vire: stare testne streznike, opuscene API-je ali razvojna okolja, izpostavljena internetu s sibkimi poverilnicami.
2. Vzpostavitev vztrajnosti - Ko so enkrat znotraj, je prva prioriteta zagotovitev nadaljnjega dostopa. Napadalci ustvarjajo nacrtovane naloge, namescajo storitve, dodajajo registrske kljuce za zagon, namescajo spletne lupine ali ustvarjajo nove uporabniske racune. Cilj je preziveti ponovne zagone, spremembe gesel in celo delno odpravo. Med enim projektom sem vzpostavil tri neodvisne mehanizme vztrajnosti, tako da sem, ko je modra ekipa nasla in odstranila enega, ohranjal dostop prek drugih.
3. Notranje izvidovanje - Preslikava okolja, iskanje dragocenih tarcr, razumevanje omrežne arhitekture. Napadalci poizvedujejo Active Directory za privilegirane skupine, skenirajo notranja omrežja za dostopne storitve, nastevajo datotecne deleže za obcutljive dokumente in identificirajo zaupna razmerja med domenami. Ta faza je pogosto nevidna branilcem, ker uporablja standardne omrežne protokole in legitimne poizvedbe.
4. Bocno premikanje - Premikanje med sistemi za dosego ciljev. Pass-the-hash, Kerberoasting, poosebljanje žetonov, zloraba administrativnih delezev, izkoriščanje zaupnih razmerij med domenami: te tehnike napadalcu omogocajo razsiritev dostopa z ene kompromitirane delovne postaje na celotno okolje. Tu obicajno nezadostna segmentacija omrežja postane kriticna slabost.
5. Doseganje cilja - Exfiltracija podatkov, namestitev izsiljevalske programske opreme, vohunjenje ali preprosto vzdrzevanje dolgorocnega vztrajnega dostopa. Specifični cilj je odvisen od motivacije napadalca, pot do tja pa sledi presenetljivo doslednim vzorcem ne glede na koncni cilj.

Kaj branilci pocnejo narobe

Najpogostejsa obrambna napaka je izkljucna osredotocenost na preprecevanje zacetnega dostopa ob zanemarjanju zaznave in odziva za kasnejse faze napada. Tudi najboljse obrambne linije bodo sčasoma prebite. Organizacije potrebujejo vecplastno zaznavo vzdolž celotne verige napada: spremljanje neobicajnih vzorcev avtentikacije, zaznavo bocnega premikanja, opozarjanje na nenormalen dostop do podatkov in zmogljivost zajezitve ob zaznavi vdora.

Obrambne posledice

Obramba v globino deluje, ker napadalci potrebujejo, da vec stvari gre po pravi poti. Potrebujejo zacetni dostop, morajo se izogniti zaznavi, dvigniti pravice, se premikati bocno in doseci cilj brez sprožitve odziva. Otežite vsak korak in mnogi bodo obupali ali bili ujeti. Uvedite segmentacijo omrežja, namestite zaznavo na koncnih tockah, spremljajte dnevnike avtentikacije in omejite uporabo administrativnih orodij. Vsaka dodatna plast bistveno poveca težavnost za napadalca.

Uporaba tega v vasi organizaciji

Preslikajte svoje okolje iz perspektive napadalca. Kaj je zunaj vidno? Kje so zaupna razmerja, ki bi jih lahko zlorabili? Kaj bi se zgodilo, ce bi bila ena delovna postaja kompromitirana: kako dalec bi napadalec prisel? Ta vprasanja razkrijejo vrzeli, ki jih skeniranje ranljivosti zgresi. Redno pomagam organizacijam pri ocenah, ki temeljijo na grožnjah, in ugotovitve dosledno vodijo v ucinkovitejse izboljsave kot zasledovanje CVSS ocen.