Piše: Tomislav Pongrac
Prekinut ću na kratko seriju postova o automatizaciji da bih se vratio na par aktualnosti iz područja IT sigurnosti. Skrenuo bih vam pažnju na dva interesantna materijala iz područja IT sigurnosti. Članci su izašli u proteklih par mjeseci. Riječ je o Mandiant M-Trends izvještaju za 2023 i CISA izvještaju o grupi Lapsus$.
O metodama Mandianta i Lapsus$ grupe
Mandiant nam je partner već dulji niz godina. U prošlosti su bili dio kompanije FireEye. Sad su dio Google Clouda. Oni su firma koju ćete gotovo uvijek vidjeti kao onu koja vodi odgovor na kompromitaciju kad je riječ o ozbiljnijim organizacijama i napadačima. Svake godina objave izvještaj o stanju sigurnosti kako ga oni vide temeljem mnogih angažmana u kojima su bili. Kako tih angažmana ima mnogo, njihove statistike imaju značajnu težinu. Izvještaji su mi zanimljivi s više strana. Najvažnije su mi ove:
- Daju strateški pregled razvoja napadačkih tehnika. Pokazalo se da taj pregled daje sliku na kojim će se sigurnosnim sposobnostima i funkcijama raditi u narednom periodu. Još od davnog doba kad je glavna preporuka bila uključivanje višefaktorske autentifikacije, njihovi izvještaji su nam davali dobru podlogu na čemu raditi. Na primjer, sadašnji boom Privileged Access Management (PAM) rješenja se mogao lijepo predvidjeti u njihovim reportima prije nekoliko godina.
- U svakom reportu daju Case Study primjer svog red teaming angažmana. U toj vrsti angažmana Mandiant je napadač i pokušava neprimijećeno doći do ključnih resursa firme naručitelja. Ti napadi su – svojom razinom kompetencije, kvalitetom izvedbe, razradom i lepezom tehnika – jednostavno impresivni. Jako se volim postaviti u ulogu koja nam je core business – obrana od takvih napada. Odgovoriti na pitanje koji bi obrambeni mehanizmi zaustavili napad.
S druge strane, CISA je u srpnju izdala dosta opširan izvještaj o grupi Lapsus$. Izvještaj koristi puno izvora kako bi kreirao vrlo detaljnu sliku o načinu rada ove grupe. I ovdje je interesantno s obrambene strane sagledati metode napadača.
Mandiant report prođem svake godine i volim poslovnim partnerima poslati novosti i ključne zaključke i prijedloge. Ove godine izvještaj nema velikih promjena u pokazateljima u odnosu na prošle. Trendovi započeti prošlih godina se nastavljaju, samo malo izraženije. Ono što mi je zaokupilo pažnju bio je Case Study.
Vjerojatno je jako geeky što mi je to interesantno, ali čitajući taj report, zamišljam kako je to moglo izgledati i vjerujem da se od toga može napraviti jako napet film.
- Sve kreće telefonskim pozivom i lažnim predstavljanjem, potom fizičkim ulaskom u prostoriju (u ulozi lažnog tehničara), instalacijom lažnog update-a koji omogućuje kontinuirani udaljeni pristup.
- Nakon prikupljanja popisa legitimnih korisničkih imena, nastavlja se iskorištavanjem činjenice da je cloud infrastruktura dostupna s javne mreže. Kreću otkrivati passworde modificiranim testiranjem tisuća upita raspodijeljenih na gomilu korisnika i IP adresa kako ne bi pobudilo sumnju. Svaki se korisnik, naime, isproba samo jednom. Time pronalaze korisnike čije su lozinke jednostavnije i lakše za otkriti.
- Pronalaze servis koji ne traži višefaktorsku autentifikaciju i za korisnike tog servisa ponavljaju već poznatu metodu otkrivanja passworda
- Sve ide dalje uz korištenje sve naprednijih metoda
Lapsus$ iz CISA izvještaja ima potpuno drukčije metode. Riječ je o vrlo specifičnoj grupi koja ne spada u uobičajene napadače iza kojih stoje države ili organizacije s jasnim financijskim ciljevima. Oni ne koriste jedinstvene zero day alate i ekstremno napredne tehnike. Drže se osnovnih metoda i u tome su bili iznimno uspješni.
- Često nabavljaju zaporke na crnom tržištu ili korištenjem izravnog mita zaposlenicima napadnute firme
- U stanju su zaobići SMS višefaktorsku autentifikaciju zloupotrebom ranjivosti u mobilnim mrežama (SIM swapping)
- Često koriste tzv. supply chain vrstu napada u kojem prvo napadnu partnere i onda preko njih dođu do krajnjeg cilja.
Ovakvim metodama su u listu ulovljenih upisali jako velike ribe!
I koje su onda pouke?
U svakodnevnom radu našeg tima imamo konzistentan proces obrade materijala s pen testova i dostupnih izvještaja. Izdvojimo ključne metode napadača, razložimo koje su ranjivosti iskorištene da bi se napad mogao provesti. Posebnu pažnju obraćamo na elemente koji su onemogućili obrambene mehanizme u zaustavljanju ili barem otkrivanju napada. Specifične ranjivosti nastojimo poopćiti na način da prijedlog obrambenog rješenja pokriva ne samo taj specifičan napad nego i cijelu kategoriju. Često nas taj napad nauči i kako se braniti od drugih, neizravno povezanih oružja napadača. Ukratko – iz svakog od tih izvještaja izvedemo popis sigurnosnih funkcija, zajedno s detaljima konfiguracija koje trebaju biti implementirane kako bi se najbolje branile od metoda napadača.
Da se vratim na dva spomenuta primjera. Gledano sa strane načina rada napadača – oba primjera govore o potpuno različitim stilovima i metodama.
Gledano s obrambene strane analiziramo metode napadača i određujemo potencijalne procese i sigurnosne funkcije koje bi otkrile i zaustavile napadače. I nalazi su u velikoj mjeri isti za oba slučaja! Generalno se mogu opisati kroz sljedeće kategorije:
- Beskompromisno korištenje višefaktorske autentifikacije za sve servise koji su okrenuti prema vanjskom svijetu (i ne koristiti SMS kao drugi faktor – napomena koja je za nas u Hrvatskoj vjerojatno suvišna jer to rijetko viđam kod domaćih kompanija)
- Značajna unapređenja u sigurnosti identiteta i pristupa, bez obzira na to je li identitet vezan uz administratorski ili “običan” pristup (napomena: nema više običnog pristupa – svi imaju neku privilegiju koja se može zloupotrijebiti)
- Bitna poboljšanja u kapacitetu analize i obrade događaja s mreže. Ovdje vjerujem da će sve značajniju ulogu imati automatizacija.
Ovdje ću se zaustaviti, da ne počnem opet o automatizaciji ?.
Nadam se da ćete pogledati izvještaje i da će vam biti korisni, kako su i nama bili korisni u kontinuiranom procesu poboljšavanja sigurnosnih praksi koje predlažemo i implementiramo.