Che cosa c'è di diverso nell'essere presi di mira da un aggressore professionista?

Disclaimer: lavoro in un'azienda che sviluppa software di sicurezza per mitigare attacchi mirati.

Alcuni dei metodi che usiamo sono simili a quelli usati dagli aggressori (quando i clienti vogliono testare i loro sistemi).

Ad esempio, un cliente ci ha chiesto di testare la sicurezza eseguendo attacchi di phishing mirati [spear]. Abbiamo inviato via email solo il dipartimento IT con una combinazione di 2 e-mail. Una era un'e-mail apparentemente mal indirizzata al tabellone con un link a un Pdf chiamato qualcosa come Executive bonus summary.pdf , l'altro preteso di essere un nuovo portale esterno per l'azienda da utilizzare durante le Olimpiadi. Con una rapida ricerca sui social media, avremmo potuto creare e-mail specifiche per l'utente, ma sarebbe stato dispendioso in termini di tempo e alla fine non era necessario.

Abbiamo registrato un nome di dominio visivamente simile a quello del target, quindi lo abbiamo usato per ospitare pagine false (identico a quelle reali) e inviare DKIM email firmate (per evitare filtri spam).

Dei tecnici mirati, il 43% ci ha fornito i dettagli di accesso aziendale, il 54% ha provato a scaricare il pdf fasullo (il pdf era solo spazzatura, quindi sembrava un download corrotto. Un ragazzo ha provato 5 volte usando Firefox, IE e infine wget).

Ci è stato detto che solo un utente aveva rilevato l'attacco e ne ha segnalato la gestione (ma solo dopo dandoci le proprie credenziali).

Quindi ... entrare in compagnia non è impossibile. Per quanto riguarda l'informazione, il nostro normale piano di vendita include una demo di noi che aggira i firewall aziendali / tradizionale DLP . Non credo che abbiamo mai fallito a meno che non siano a cielo aperto o usando un buon diodo di dati (anche se il il tasso di esfiltrazione varia, in un caso avevamo un firewall con elenchi bianchi restrittivi, così il software ha codificato i documenti in immagini e continua ad aggiornare un'immagine del profilo su Google. Poi abbiamo guardato il profilo esternamente e scaricato ogni blocco).

Detto questo, abbiamo trovato più volte che il software può essere risolto, ma gli utenti sono costantemente il link più debole.

Quindi per rispondere alla tua domanda, un attacco mirato include il tocco personale. Siti Web personalizzati progettati per ingannare gli utenti, ricercare in che software (e release) viene utilizzato per verificare vulnerabilità note, indagini sui social media, ingegneria sociale, ecc. Ecc.

Un altro da considerare anche se meno comune è la corruzione / ricatto. Se parli di attori statali, non è inconcepibile.

Tutta la sicurezza può essere ridotta a modelli di minaccia, valutazione del rischio, gestione del rischio e mitigazione del rischio. Quindi no, le difese progettate per proteggere dagli attacchi non mirati non sono in grado di fare bene contro gli attacchi mirati.

Che cosa rende diverso un attaccante bersaglio (o quello che tu chiami un "attaccante professionista")? Semplicemente l'intelligenza e il denaro che sono disposti a impiegare per attaccarti in modo specifico.

Quindi, sì, se qualcuno è disposto a spendere i soldi e il tempo e gli sforzi per attaccarti in modo specifico, allora hanno un vantaggio. La strategia da difendere sarebbe riconoscere che questi tipi di attacchi rappresentano uno scenario di minaccia realistica nel modello di rischio e implementare controlli per gestire e mitigare questi rischi.

La differenza tra un attacco casuale e un attacco mirato può essere riassunta bene:

• L'autore dell'attacco desidera N numero di nodi remoti per DDoSing / Spamming / Phishing / etc.

o

• L'autore dell'attacco desidera i dati XYZ sulla macchina di user2174870 in particolare.

Se l'attaccante sta solo cercando di costruire una botnet (> > > 99% di attacchi), è semplicemente più difficile da decifrare di quanto il prossimo sia di solito abbastanza. Provo a scattare per due ordini di grandezza più difficili da decifrare, e anche allora uso IDS per sapere quando sono stato colpito. Speriamo.

Tuttavia, se l'attaccante desidera specificamente i tuoi dati, allora la situazione diventa una corsa agli armamenti e l'unica mossa vincente non è quella di giocare ( shutdown -h now ). A parte spegnere la macchina, devi presumere che l'attaccante abbia, a seconda delle sue risorse, vulnerabilità zero-day per il tuo stack di applicazioni, sniffer di rete, malware sul tuo altro equipaggiamento che accede alla casella di destinazione, e probabilmente chiavi di $ 5 pure. Oh, e forse è composto da 50 persone più intelligenti di te con un budget illimitato. Doubly so if se hai segreti commerciali , segreti di stato o post commenti denigratori sul ruler de jour.

Sarò onesto, non puoi difendermi dagli attacchi mirati. Potresti essere in grado di stanziare una parte significativa del tuo budget [aziendale | personale] per assumere persone che potrebbero avere una possibilità di rimanere in sospeso per un breve periodo, ma non durerà nemmeno così. Meglio scollegare la macchina e anche non è garanzia .

Detto questo, non "non essere un bersaglio". Troppe persone hanno paura di essere un obiettivo è ciò che mantiene la NSA al potere. Sii un obiettivo intelligente. Se la tua specialità è il dissenso politico, allora non provare a vincere una guerra tecnologica. Riconosci che le tue comunicazioni elettroniche non sono sicure e pianifica di conseguenza il tuo dissenso.

Sarebbe totalmente diverso se venissi preso di mira da attori sponsorizzati dallo stato. Se sei un target di alto valore, possono impiegare non solo hacking di risorse come malware zero-day, ma anche videosorveglianza, intercettazioni telefoniche, corruzione dei tuoi amici, e-mail spear phishing, keylogging, irruzione in casa o persino rapimento e tortura solo per ottenere alcune informazioni.

Dai un'occhiata alla quantità di risorse che la CIA usa per cacciare Osama Bin Laden anche quando ha nessun accesso diretto a Internet o alla linea telefonica. L'unica strategia è non dipingersi in un bersaglio.

Di solito il posto più fastidioso per provare a penetrare è un sistema completamente personalizzato su un kernel completamente personalizzato (nessun comando familiare, io paradigmi, infrastruttura di gestione dei processi, ecc.) queste cose esistono in qualche modo, ovviamente, ma solo su l'unico sistema / obiettivo e non hai intuizioni). Fortunatamente per i penetratori ci sono molto pochi di quelli in natura.

L'inverso è anche generalmente vero: gli attacchi più difficili da difendersi (o persino da rilevare) sono quelli completamente personalizzati. Quasi tutti i sistemi di uso comune aderiscono ad una politica di "default sì" almeno da qualche parte in loro per usabilità, in quanto gli utenti rifiutano qualsiasi cosa effettivamente sicura perché "effettivamente sicuro" tende anche a significare "rip-your -hair-out frustrante da usare ". Dato che la maggior parte degli aggressori non ha tempo di fare altro che usare gli strumenti e le strutture esistenti, gli strumenti di sicurezza comuni a nostra disposizione sono costruiti attorno al caso di attacco di maggioranza: un attacco basato su strumenti di cracking delle merci .

Un attacco completamente personalizzato (che è ben eseguito) mancherà di tutti i segni rivelatori che gli strumenti difensivi delle merci cercano, lasciandoti spesso con una finestra limitata di opportunità per cogliere il vento di un attacco che inizia basandosi esclusivamente sull'euristica (spesso basandoci semplicemente su (y) la nostra migliore comprensione di quali reti "normali" di rete o di risorse di sistema dovrebbero essere). Questa finestra si chiude una volta che il sistema è stato rootato, ovviamente, poiché gli strumenti di rilevamento in uso sono in genere la prima cosa a ricevere un aggiornamento dannoso.

Ma la spesa di questo tipo di attacco avanzato è immensa. Devi essere enormemente sfortunato o di enorme valore come bersaglio per essere oggetto di tale attenzione. Questo costo è paragonabile al costo di distribuzione di un sistema completamente personalizzato (il costo di un sistema personalizzato è solitamente più alto, naturalmente, ma migliorato dalla base di implementazione - l'economia di un attacco è esattamente inversa a questo). Il costo della sicurezza è sempre bilanciato in base a:

• Fastidio che la sicurezza effettiva porta
• Il costo fiscale / di impegno / tempo di sviluppo di una difesa seria

VS

• La criticità di un attacco effettivo di tipo X

Considerando quanti sistemi assumono cose come http - > https reindirizza, DNS, IPSec, any-of-the-the-the-bajillion-bogus-CAs-in-IE, ecc. sono impossibili da compromettere (har har!) sembra certamente che l'elemento di criticità abbia un peso molto basso. Di conseguenza, i sistemi di commodity tardati con il minimo di strumenti di rilevamento minimi sembrano essere generalmente all'ordine del giorno. Qualsiasi cosa tu possa fare al di là di ciò solleva il costo nel crearti e persino un governo passerà a un obiettivo più facile a meno che non abbia una ragione specifica per bersagliarti. Consiglio non molto felice, suppongo, ma è il mondo in cui viviamo fino ad ora.

Risponderò semplicemente in una citazione da Jacob Appelbaum , di cui probabilmente non dovrò parlare.

Durante il primo Congresso sulla privacy & Sorveglianza tenutasi all'EPFL in Svizzera, Applebaum ha detto (sto trascrivendo):

"If the NSA wants to get into any machine or system in the world, we must assume that they are in."

"Hacking" è facile. Ci sono strumenti là fuori che forniranno una bellissima GUI per eseguire una qualsiasi libreria di exploit, strumenti che si aprono in WiFi, eseguono MiTM, ecc. Questo, insieme a tentativi maldestri e generalizzati di phishing e altri social ingegneria, costituisce una gran parte degli attacchi non mirati. In breve, non sono originali. Ciò significa che la maggior parte dei buoni AV proteggerà contro la maggior parte degli attacchi generali - cosa che agli aggressori non importa, perché hanno solo bisogno di trovare qualcuno senza AV. Un attacco individuale e mirato è molto più pericoloso, perché un abile attaccante non solo esaminerà la topografia della tua rete e cercherà di capire le tue misure di sicurezza, ma osserverà anche i tuoi dipendenti per cercare di capire come attaccare il cosiddetto "8 ° strato" (persone). Uno degli esempi più infami di questo è stato Kevin Mitnick. Sono sicuro che aveva talento nel campo dei computer, ma eccelleva veramente nell'ingegneria sociale, tanto che una volta entrò in una struttura sicura, GOT CAUGHT, e riuscì comunque a convincere la guardia di sicurezza a lasciarlo andare.

Le aziende AV hanno tutti gli "strumenti di hacking" là fuori e fanno del loro meglio per negare il rischio posto ai loro clienti. Gli attacchi che hanno una migliore possibilità di funzionare sono quelli che qualcuno su misura per superare i firewall TUI, rimanere inosservati dal tuo AV, e cancellare i registri quando hanno finito.

Un altro angolo che non ho trovato nelle risposte. link

We found 4 different ways (including the Kuhn attack) to fully or partially recover keystrokes from wired keyboards at a distance up to 20 meters, even through walls. We tested 12 different wired and wireless keyboard models bought between 2001 and 2008 (PS/2, USB and laptop). They are all vulnerable to at least one of our 4 attacks.

Questo è un istituto di ricerca civile cinque anni fa . Studia gli standard di protezione elencati link qui.

Gli FW, gli antivirus e le altre difese orientate alla prevenzione possono bloccare in modo efficace solo gli attacchi che sono risultati negativi. Ad esempio, se un certo tipo di traffico o un determinato file non è corretto al 100% del tempo, può essere effettivamente bloccato. Mentre gli strumenti di prevenzione potrebbero non aiutare con le minacce più avanzate, hanno un uso nel bloccare il traffico nocivo noto. C'è un sacco di traffico / file che devono essere bloccati per difendere efficacemente la tua organizzazione. Questo è molto prezioso ma non contro le minacce avanzate. È possibile creare file che sembrano essere buoni e nascondere il traffico cattivo in un buon traffico. Ciò richiede difese differenziali da rilevare.

Quando entri in attacchi sponsorizzati e avanzati dallo stato, devi affrontare le cose in modo olistico. Potrebbero non aver bisogno di indirizzarti direttamente per ottenere i tuoi dati se sono ospitati altrove. Se le terze parti con cui lavori sono bersagli più facili, probabilmente saranno i primi ad essere attaccati. Questo si basa sulla identificazione del modo più semplice per ottenere i tuoi dati e sulla messa a punto di mitigazioni per gestire tale rischio.

Il modo migliore per difendersi dalle minacce avanzate è concentrarsi sul rilevamento. Gli attaccanti supereranno le difese preventive, ma le loro azioni una volta sulla rete dovrebbero essere visibili a te. È qui che entra in gioco il vantaggio del difensore. L'offesa ha il vantaggio di entrare perché deve solo trovare una vulnerabilità da sfruttare. La difesa ha il vantaggio all'interno della rete. Questo è il tuo campo di casa, dovresti saperlo bene, ci dovrebbero essere strati di difese in atto per rallentare gli attaccanti che ti danno il tempo di individuarli, isolarli e bloccarli. Pensando di nuovo olisticamente, dovresti conoscere i probabili obiettivi e punti deboli della tua organizzazione. Dovrebbero avere strati di attenuazione attorno a loro.

Il rilevamento si riduce alla ricerca e al rilevamento di comportamenti anomali. È possibile che ci sia stato un avviso per un attacco che non è stato trovato tra la pila di altri avvisi. Un utente malintenzionato non dovrebbe essere in grado di cancellare le tracce nella tua rete. La loro attività è da qualche parte nella tua infrastruttura, hai bisogno di occhi per vedere quell'attività e la conoscenza della tua infrastruttura per sapere dove guardare. Un'organizzazione deve disporre di un inventario delle risorse per sapere quando vengono aggiunti nuovi dispositivi, baseline per sapere quale comportamento è normale, quindi il comportamento anomalo si distingue, gestione / monitoraggio delle configurazioni per sapere quando i file di sistema vengono manomessi, monitoraggio di rete e host per vedere il traffico e attività, forti controlli di accesso per rallentare i movimenti laterali all'interno della tua infrastruttura, penso che tu abbia capito il punto. Più controlli hai, migliore è la tua visibilità. Vedi i controlli di sicurezza critici SANS. All'interno della tua rete, qualsiasi attaccante dovrà lasciare prove delle proprie attività. Sta a te avere degli strumenti per vedere quelle attività e sapere dove guardare.

Non conoscendo nient'altro di un utente malintenzionato, si può presumere che vorranno stabilire la persistenza una volta entrati, trovati dati e dati exfiltrati. Entrare è il luogo in cui i tuoi strumenti difensivi entrano. È necessario consentire un traffico valido, che ti consente di concentrarti su come esporre un utente malintenzionato alla ricerca di dati e di dati exfiltranti. Guarda i tuoi probabili dati mirati e i punti di uscita. Questi saranno i punti più facili per trovarli mentre un attaccante avanzato farà tutto il possibile per fondersi in un traffico valido ed essere invisibile.

È tecnicamente possibile mettere in atto controlli sufficienti a garantire che non vengano compromessi da una prospettiva IT.

Il caso estremo è quello di spegnere e rimuovere tutte le apparecchiature del computer. Vedere? Nessun computer significa che nessun computer sarà compromesso. OK, quindi, che ne dici di consentire i computer, ma non le reti: tutto a cielo aperto. Non siamo garantiti invulnerabili, ma siamo vicini. OK, quindi che ne dici di consentire le reti, ma solo su macchine senza contenuti sensibili e senza archiviazione permanente di alcun tipo. Nessun download o esecuzione di codice non firmato. O forse consentire ai download di conservare la whitelist dell'applicazione. E così via.

C'è un continuum di sicurezza tra "Assolutamente impenetrabile e completamente inutile" a "estremamente conveniente e insicuro come l'inferno" con la sicurezza sempre in disaccordo con la convenienza. Se una misura di sicurezza non è in contrasto con la convenienza, allora non è considerata "sicurezza" - la definisci semplicemente "pratica standard".

Ma ecco il punto importante: A meno che la tua sicurezza informatica non sia un disastro Home Depot , il tuo componente più debole sono i tuoi dipendenti, non i tuoi sistemi. La sicurezza funziona solo quando in realtà è implementato e i sistemi di un'azienda raramente si misurano con gli standard aziendali.

Inoltre, l'ingegneria sociale vince sempre. Il phishing è di gran lunga l'attacco più efficace contro bersagli induriti e si sta facendo poco per mitigare quella minaccia. L'attaccante ha sempre avuto il vantaggio; l'attaccante deve vincere solo una volta, mentre il difensore deve vincere ogni volta per rimanere al sicuro. E l'ingegneria sociale significa che l'attaccante può liberarsi dall'IT e sfruttare l'interazione umana per ottenere la sua vittoria.

Sì, puoi essere sicuro, ma significa trattare la tua tecnologia come ostile e i tuoi dipendenti come aggressori. Significa mettere ostacoli alle interazioni e all'interoperabilità. Significa non ammettere le piccole cose che la gente dà per scontate. E significa che la tua operazione pagherà un ottimo prezzo per quella sicurezza. Ma è possibile.

Per mantenerlo il più breve e dolce possibile (anche se posso aggiungere dettagli in seguito, se la comunità richiede)

Attacchi casuali

Generalmente targetizzare una vulnerabilità specifica in una versione specifica di un software specifico. L'obiettivo qui è provarlo contro ogni macchina possibile e non tutte le macchine avranno la vulnerabilità e le soluzioni IDS / IPS non consentiranno di eseguire lo stesso tipo di attacco contro il resto dei loro client non appena viene rilevato. Questo tipo di attacco "Ave Maria" sarà presto sventato dai bravi ragazzi.

Attacchi mirati

Riguardano l'obiettivo finale che è generalmente uno per una manciata di computer che appartengono tutti a un'entità specifica. Un utente malintenzionato che è fuori per ottenere tu spenderà tempo e denaro per raccogliere informazioni su tutto l'hardware e il software. Compreranno la stessa attrezzatura che gestisce la tua fabbrica, se necessario. Trascorreranno innumerevoli ore alla ricerca di difetti in ogni singola parte del tuo sistema. Una volta individuata tale vulnerabilità e testata sulla loro replica o emulazione del sistema, la eseguiranno una volta e agiranno velocemente perché sanno cosa stanno cercando. Questo probabilmente passerà inosservato nei registri perché non sta spuntando su centinaia di computer in tutto il mondo, non ci sono scansioni che si verificano su grandi gamme di indirizzi IP per un ISP da rilevare. In sostanza, l'attacco non è mai successo a meno che tu non tieni molto d'occhio i tuoi registri e noti che alcuni dati importanti sono stati caricati dalla tua parte che non avrebbero dovuto essere.

A parte: a meno che non ne valga la pena, è improbabile che un attacco del genere succeda, ma se lo fa sembra che l'unica cosa che puoi fare sia rilevarla e non impedirla. Ma anche in questo caso ci sono sempre dei modi per individuare anche il rilevamento.

Le tecniche sono le stesse degli attacchi casuali, non mirati. Ciò che IMHO distingue veramente da questo tipo di attacchi sono:

• tempo disponibile
• denaro disponibile per l'acquisto di exploit non divulgato
• impegno trascorso
• superficie di attacco attaccata
• opere di post-sfruttamento

Generalmente con attacchi casuali non mirati:

• il suo impegno in termini di tempo sarà limitato principalmente a un singolo tentativo
• cercherà di sfruttare un singolo aspetto dell'intera superficie di attacco
• Una volta che gli attacchi hanno avuto successo, il lavoro verrà fatto principalmente
• sarà più facile pulire il bersaglio degli attacchi

Invece di un attacco mirato professionale:

• il suo impegno in termini di tempo sarà più lungo e continuo nel tempo
  • Più di una persona sarà probabilmente coinvolta come attaccante
• la superficie di attacco mirata sarà l'intera superficie di attacco
  • tutto il singolo punto debole della superficie di attacco verrà testato
• Una volta che sarà in grado di irrompere nei tuoi perimetri, il lavoro non verrà eseguito
  • gli attacchi continueranno internamente per garantire un ulteriore accesso facile
• sarà davvero difficile negare un ulteriore accesso ai sistemi / alle reti come dopo l'effrazione:
  • backdoors saranno posizionati intorno
  • le credenziali verranno rubate
  • la debolezza interna e l'ulteriore conoscenza della rete / dei sistemi saranno effettuate aumentando di più la superficie di attacco (cioè WAN dei partner commerciali, ecc.)