L'hacking back è una valida tecnica di sicurezza per le aziende?

Abbiamo avuto questo dibattito nel nostro capitolo OWASP locale la scorsa notte per sapere se un honeypot dovrebbe reagire. Abbiamo parlato di alcune questioni legali e morali, tuttavia abbiamo deciso che non era una buona idea perché:

1. La maggior parte degli attacchi proviene da client stupidi su botnet o strumenti automatici, quindi cosa stai ottenendo eliminando un altro client stupido?
2. L'obiettivo della tua attività deve essere allineato ai tuoi obiettivi di business: la lotta contro il crimine informatico (a meno che tu non lavori per un'autorità di polizia) non dovrebbe farne parte.
3. Se l'attacco diventa serio e devi andare in tribunale; le prove che "hai colpito" non sarebbero andate bene e potrebbero funzionare contro di te. Se hai intenzione di spendere soldi in questo argomento, spenderlo su strumenti forensi in modo che rafforzi qualsiasi azione legale
4. Attacchi circolari: prendi in considerazione la possibilità di colpire inavvertitamente un altro strumento con capacità di contrattacco? quindi stai mangiando la larghezza di banda inutilmente.

Nonostante tu ci abbia chiesto di ignorare le considerazioni etiche e legali, non lo farò. Penso che siano troppo trincerati in questo tema per essere ignorati e avvicinarsi da una prospettiva puramente fiscale è fuorviante e inutile.

La legge
La legge nella maggior parte dei paesi è abbastanza chiara su questo per dire che non c'è modo di "hackerare" in modo efficace senza violare le leggi sulla sicurezza informatica. Stai parlando di ottenere l'accesso non autorizzato a un sistema remoto. La questione se quell'utente sia attualmente coinvolto in un attacco contro di te è discutibile - le tue azioni sono semplicemente illegali a prescindere. In effetti, potresti finire per avere più problemi, dal momento che un aggressore potrebbe sfruttare la macchina di una terza parte innocente per l'attacco. Anche se è stata approvata una legge per dire che un hackback è legale se puoi provare che la fonte dell'attacco è definitivamente l'hacker, non puoi mai fare quella affermazione .

I vantaggi
Ci sono benefici per il ritorno, ma dipendono in gran parte dalla situazione. Ecco alcune cose che posso vedere essere utili:

• Acquisire informazioni sull'attaccante.
• Disabilitare o ostacolare l'autore dell'attacco.
• Aumentare il rischio per l'attaccante, prevenendo così ulteriori attacchi.

Gli svantaggi
Sfortunatamente, l'hacking back presenta molti inconvenienti:

• Le informazioni acquisite non possono essere utilizzate in tribunale. Stai compromettendo il loro sistema, che a sua volta rende qualsiasi cosa su quel sistema completamente inammissibile.
• Potresti finire per causare danni collaterali durante il tuo hack, che puoi essere citato in giudizio. Potresti anche colpire il bersaglio sbagliato, come ho detto prima.
• L'attaccante potrebbe vederlo come una sfida personale e diventare più distruttivo.
• Qualsiasi legge retrograda sarà molto difficile da rispettare, dal momento che non si può affermare in modo definitivo che una macchina target rappresenti accuratamente una risorsa personale dell'aggressore, piuttosto che una terza parte.
• Il personale può essere riluttante a partecipare a attacchi di hacking, dal momento che le loro azioni li seguono per tutta la vita, non solo durante il loro impiego.

I costi
Le prospettive finanziarie sono piuttosto insignificanti. Se assumete un responsabile della sicurezza, è probabile che siano comunque in grado di eseguire i pentests. Puoi utilizzare questo talento esistente senza costi aggiuntivi. Il costo reale viene fornito con le spese legali, che rischiano di essere paralizzanti se si scopre che hai violato la legge. L'investimento in ulteriori risorse non sembra avere molto senso, dal momento che non è particolarmente vantaggioso e (per il momento) è altamente illegale.

Senza alcuna considerazione per gli aspetti legali, penso che il semplice fatto che tu debba permettere che l'attacco continui a evitare di allertare l'aggressore è una ragione sufficiente che è sconsigliabile, ma penso che dipenderebbe dalla situazione. Anche se l'utente sembra bloccato in un honeypot, lasciandoli in grado di esplorare il sistema probabilmente supererà i potenziali benefici delle informazioni che potresti raccogliere.

Se tu fossi in grado di essere configurato in modo tale da avere un alto grado di confidenza che non potevano sfuggire alla tua gabbia ed eseguire un attacco significativo, allora, a condizione che fosse legale nella tua giurisdizione, non vedo quale sarebbe il danno nel fare un contro-hacking investigativo per tentare di identificare l'attaccante fintanto che non sei stato distruttivo. Qualsiasi hacking distruttivo non sarebbe di beneficio poiché l'obiettivo finale dovrebbe essere quello di identificare l'aggressore e intraprendere azioni legali per fermarlo definitivamente, non limitarsi a ferirli momentaneamente e possibilmente distruggere prove o allertare la loro imminente azione legale. La natura di molti attacchi potrebbe trarre vantaggio dall'essere in grado di vedere uno o più nodi di backup della catena, tuttavia, poiché sarebbe utile sapere da dove proviene il comando e il controllo di una rete bot.

Detto questo, penso che sarebbe molto difficile assicurare che non vi siano rischi in corso per la tua sicurezza, quindi la mia reazione generale sarebbe comunque bloccata e lasciare che le autorità si occupino di esso. Anche gli argomenti relativi al business erano buoni, a meno che i tuoi obiettivi di business non venissero risolti contribuendo a far cadere l'hacker.

Conosco una storia di un uomo con una casa e un piccolo giardino.

Dopo essere stati derubati molte e molte volte, chiedendo alla polizia un intervento più rapido, ma la sua casa è stata svaligiata ancora e ancora,

Finalmente l'uomo ha installato alcune trappole attorno alla sua casa. Anche la pubblicità e gli avvertimenti di attenzione sono stati installati, tutto intorno alla sua casa ... Ma.

I ladri sono tornati di nuovo in una trappola. Danneggiato, il ladro ha chiesto alla polizia di chiedere un risarcimento. L'uomo è stato condannato a causa di un ladro danneggiato. Finalmente l'uomo fu costretto a pagare molto.

La mia convinzione è: Per essere migliore di, non devo essere peggio

personalmente penso che sarebbe meglio passare il tempo a sistemare la tua casa prima di dirigerci nel selvaggio west del vigilantismo. Impara le lezioni da tentativi riusciti e non riusciti sulla tua attività e blocca le cose.

E, soprattutto, chiedi che i prodotti che utilizzi nella tua infrastruttura IT siano sicuri e sviluppati in sicurezza, piuttosto che i router più economici con il firewall più economico di fronte a loro solo per poter spuntare una casella nella checklist di conformità.

Per aggiungere la buona risposta di AJ Henderson .... Per rimettersi in gioco, devi lasciare che l'attacco vada a segno, e in termini di risposta agli incidenti di solito non è una buona idea permettere un attacco per continuare e più velocemente interrompi l'attacco, meglio è. Ma non prendere la mia opinione, e invece fare riferimento alla guida pubblicata dal NIST chiamata Guida alla gestione degli incidenti di sicurezza informatica ( link )

Ecco cosa hanno da dire su una strategia di contenimento che consente di continuare l'attacco per qualsiasi motivo:

"In alcuni casi, alcune organizzazioni reindirizzano l'attaccante a una sandbox (una forma di contenimento) in modo che possano monitorare l'attività dell'aggressore, di solito per raccogliere ulteriori prove. Il team di risposta agli incidenti dovrebbe discutere questa strategia con il proprio ufficio legale per determinare se sia fattibile Non utilizzare i modi per monitorare l'attività di un utente malintenzionato diverso dalla sandboxing, se un'organizzazione sa che un sistema è stato compromesso e consente il proseguimento del compromesso, potrebbe essere responsabile se l'utente malintenzionato sistema compromesso per attaccare altri sistemi. La strategia di contenimento ritardato è pericolosa perché un utente malintenzionato potrebbe aumentare l'accesso non autorizzato o compromettere altri sistemi. "

È già un'attività interessante nello stesso stato degli Stati Uniti.

Vedi questo: link

Offensive Techniques and Procedures CrowdStrike's Strike strategies provide strategic and tactical measures for combating an adversary on your network. Through surveillance and reconnaissance, counter-espionage techniques, hostile target dismantling, and denial and deception, CrowdStrike security experts provide techniques and procedures to limit the number and severity of future attacks. We help your enterprise go on the offensive against today's most advanced adversaries.

link

Se ritieni di avere le capacità, assumi attivamente nuove persone. Potresti essere pagato per hackerare le persone. Un bel lavoro, se ti piace questo tipo di sfida.

Cyber Threat Analyst/Offensive Operations Specialist_________________________ Successful candidates will have experience in tactical and/or targeted analysis positions tracking cyber threat groups, using both closed and open source analytical tools and information. Candidates will have strong research, written, and analytical skills as well as the ability to obtain a security clearance. The most competitive candidates will have counterintelligence and operational experience against various adversaries.

link

L'autore dell'attacco potrebbe aver compromesso il computer di un'altra vittima e aver inviato i dati attraverso di essa. Questo potrebbe significare che quando hai tentato di hackerare di nuovo l'attaccante hai invece violato l'altra vittima.