Zastrzeżenie: Pracuję w firmie opracowującej oprogramowanie zabezpieczające, które ogranicza ataki ukierunkowane.

Niektóre z metod, których używamy, są podobne do metod używanych przez atakujących (gdy klienci chcą przetestować swoje systemy).

Na przykład jeden klient poprosił nas o przetestowanie jego bezpieczeństwa, przeprowadzając ukierunkowane ataki typu „spear” w celu wyłudzenia informacji. Wysłaliśmy tylko do działu IT kombinację 2 e-maili. Jednym z nich był najwyraźniej źle zaadresowany e-mail do zarządu z odsyłaczem do pliku PDF o nazwie Executive bonus summary.pdf , a drugim rzekomo nowym zewnętrznym portalem, z którego firma może korzystać podczas igrzysk olimpijskich („Sprawdź, czy poświadczenia domeny działają poprawnie…”). Dzięki szybkiemu wyszukiwaniu w mediach społecznościowych moglibyśmy utworzyć e-maile dla konkretnych użytkowników, ale byłoby to czasochłonne i ostatecznie nie było konieczne.

Zarejestrowaliśmy nazwę domeny, która była wizualnie podobna do docelowej, następnie używał go do hostowania fałszywych stron (stylizowanych identycznie do prawdziwych) i wysyłania podpisanych e-maili DKIM (aby uniknąć filtrów spamowych).

Spośród kierowanych techników 43% dało nam dane logowania do firmy, 54% próbowało pobrać fałszywy plik PDF (plik PDF był tylko bajtami śmieci, więc wyglądał na uszkodzony plik do pobrania. Jeden facet próbował 5 razy za pomocą przeglądarki Firefox, IE i wreszcie wget).

powiedziano nam, że tylko jeden użytkownik wykrył atak i zgłosił go zarządowi (ale dopiero po podaniu nam swoich danych uwierzytelniających).

Więc ... Wejście do firmy nie jest niemożliwe. Jeśli chodzi o uzyskiwanie informacji, nasza normalna propozycja sprzedaży obejmuje demonstrację omijania firmowych zapór sieciowych / tradycyjnych DLP. Nie sądzę, żebyśmy kiedykolwiek zawiedli, chyba że mają przerwę powietrzną lub używają dobrej diody danych (chociaż szybkość eksfiltracji jest różna. W jednym przypadku mieliśmy restrykcyjną zaporę ogniową z białymi listami , więc oprogramowanie zakodowało dokumenty w obrazy i stale aktualizowało zdjęcie profilowe w Google. Następnie obejrzeliśmy profil na zewnątrz i pobraliśmy każdy fragment).

To powiedziawszy, wielokrotnie odkrywaliśmy, że oprogramowanie można obejść, ale użytkownicy są konsekwentnie najsłabszym ogniwem.

Odpowiadając na Twoje pytanie, atak ukierunkowany obejmuje podejście osobiste. Niestandardowe witryny internetowe zaprojektowane w celu oszukania użytkowników, badania oprogramowania (i wersji) używanego do sprawdzania znanych luk w zabezpieczeniach, dochodzeń w mediach społecznościowych, inżynierii społecznej itp.

Kolejna warta rozważenia, chociaż rzadziej to przekupstwo / szantaż. Jeśli mówisz o aktorach państwowych, nie jest to niewyobrażalne.

Całe bezpieczeństwo można sprowadzić do modelowania zagrożeń, oceny ryzyka, zarządzania ryzykiem i ograniczania ryzyka. Tak więc nie, zabezpieczenia zaprojektowane w celu ochrony przed atakami nieukierunkowanymi prawdopodobnie nie sprawdzą się dobrze w przypadku ataków ukierunkowanych.

Co wyróżnia atakującego ukierunkowanego (lub tego, co nazywasz „profesjonalnym napastnikiem”)? Po prostu inteligencja i pieniądze, które są gotowi zaangażować, aby cię zaatakować.

Więc tak, jeśli ktoś jest skłonny poświęcić pieniądze, czas i wysiłek, aby cię zaatakować, to ma przewagę. Strategia obrony polega na uznaniu, że tego rodzaju ataki są realistycznym scenariuszem zagrożenia w modelu ryzyka, i wdrożeniu mechanizmów kontrolnych w celu zarządzania i ograniczania tych zagrożeń.

Różnicę między atakiem losowym a atakiem ukierunkowanym można podsumować ładnie:

• Osoba atakująca chce N liczby zdalnych węzłów do celów DDoSing / Spamingu / Phishingu / itp.

lub

• Atakujący chce w szczególności danych XYZ na komputerze użytkownika2174870.

Jeśli atakujący jest po prostu chęć zbudowania botnetu (>> 99% ataków), a następnie bycie trudniejszym do złamania niż następny facet jest zwykle wystarczające. Staram się strzelać o dwa rzędy wielkości mocniejszej do złamania, a nawet wtedy używam IDS, aby wiedzieć, kiedy zostałem złamany. Miejmy nadzieję.

Jednakże, jeśli napastnik chce konkretnie twoich danych, sytuacja staje się wyścigiem zbrojeń i jedynym zwycięskim ruchem jest zaprzestanie gry ( shutdown -h now ). Oprócz wyłączenia maszyny, musisz założyć, że atakujący ma, w zależności od swoich zasobów, luki dnia zerowego dla twojego stosu aplikacji, snifferów sieciowych, złośliwe oprogramowanie na twoim innym sprzęcie, który uzyskuje dostęp do skrzynki docelowej, i prawdopodobnie również klucze za 5 USD. Aha, i prawdopodobnie zatrudnia go 50 osób mądrzejszych od ciebie z nieograniczonym budżetem. Podwójnie tak, jeśli masz tajemnice handlowe, tajemnice państwowe lub publikujesz dyskredytujące komentarze na temat władcy.

Będę szczery, nie możesz bronić się przed ukierunkowanymi atakami. Możesz przeznaczyć znaczną część swojego [firmowego | osobistego] budżetu na zatrudnienie ludzi, którzy mają szansę wytrzymać przez krótki okres, ale to nie potrwa nawet wtedy. Najlepiej odłączyć maszynę, a nawet to nie jest gwarancja.

To powiedziawszy, nie „nie bądź celem”. To, co utrzymuje NSA u władzy, sprawia, że ​​zbyt wielu ludzi boi się być celem. Bądź mądrym celem. Jeśli twoją specjalnością jest sprzeciw polityczny, nie próbuj wygrywać wojny technologicznej. Rozpoznaj, że Twoja komunikacja elektroniczna jest niepewna i odpowiednio zaplanuj swój sprzeciw.

Byłoby zupełnie inaczej, gdybyś był na celowniku aktorów sponsorowanych przez państwo. Jeśli jesteś celem o dużej wartości, mogą korzystać nie tylko z zasobów hakerskich, takich jak złośliwe oprogramowanie typu zero-day, ale także z nadzoru wideo, podsłuchiwania, przekupywania znajomych, phishingu e-mailowego, rejestrowania kluczy, włamań do twojego domu, a nawet porwań i tortur tylko po to, aby uzyskać pewne informacje.

Spójrz na ilość zasobów, które CIA wykorzystuje do polowania na Osamę bin Ladena, nawet jeśli nie ma on bezpośredniego dostępu do Internetu lub telefonu linia. Jedyną strategią jest nie malowanie się w celu.

Zwykle najbardziej irytującym miejscem do penetracji jest całkowicie niestandardowy system na całkowicie niestandardowym jądrze (brak znanych poleceń, paradygmatów io, infrastruktury zarządzania procesami itp. - te rzeczy istnieją oczywiście w jakiejś formie, ale tylko na jeden system / cel i nie masz wglądu). Na szczęście dla penetratorów jest bardzo niewielu takich na wolności.

Odwrotność jest również ogólnie prawdą: najtrudniejszymi atakami do obrony (lub nawet wykrycia) są całkowicie niestandardowe jedynki. Prawie wszystkie powszechnie używane systemy stosują się do zasady „domyślnego tak” przynajmniej gdzieś w nich ze względu na użyteczność, ponieważ użytkownicy odrzucają wszystko, co faktycznie jest bezpieczne, ponieważ „faktycznie bezpieczne” ma również oznaczać „zgrywanie -Usuwanie włosów frustrujące w użyciu ”. Biorąc pod uwagę fakt, że większość osób atakujących nie ma czasu na nic poza wykorzystaniem istniejących narzędzi i struktur, powszechnie dostępne narzędzia bezpieczeństwa są zbudowane wokół przypadku ataku większościowego: ataku opartego na narzędziach do łamania towarów .

W pełni spersonalizowany atak (który jest dobrze wykonany) nie będzie zawierał wszystkich charakterystycznych oznak, których szukają narzędzia obronne towarów, pozostawiając często ograniczone okno możliwości złapania wiatru w ataku opartym wyłącznie na na heurystyce (często opierają się one jedynie na (y) naszym najlepszym zrozumieniu tego, czym powinny być „normalne” historyczne sieci lub wzorce zasobów systemowych). To okno zamyka się oczywiście po zrootowaniu systemu, ponieważ używane narzędzia do wykrywania są zwykle pierwszą rzeczą, która otrzymuje złośliwą aktualizację.

Ale koszt tego rodzaju zaawansowanego ataku jest ogromny. Aby stać się przedmiotem takiej uwagi, musisz mieć albo ogromnego pecha, albo mieć ogromną wartość jako cel. Koszt ten jest porównywalny z kosztem wdrożenia w pełni niestandardowego systemu (koszt systemu niestandardowego jest oczywiście wyższy, ale polepszany przez bazę wdrożeniową - ekonomia ataku jest dokładnie odwrotna). Koszt bezpieczeństwa jest zawsze zrównoważony w następujący sposób:

• Irytacja, którą przynosi rzeczywiste bezpieczeństwo
• Fiskalny / wysiłek / koszt czasu opracowania poważnej obrony

VS

• Krytyczność rzeczywistego ataku typu X

Biorąc pod uwagę, ile systemów przyjmuje rzeczy takie jak http -> https przekierowania, DNS, IPSec, dowolny z bajilionów fałszywych CA w IE itp. są niemożliwe do skompromitowania (haha!). Z pewnością wydaje się, że elementowi krytycznemu przypisuje się bardzo małą wagę. W związku z tym wydaje się, że na porządku dziennym są wprowadzane z opóźnieniem systemy towarowe z minimalnymi narzędziami do wykrywania. Wszystko, co możesz zrobić poza tym, podnosi koszty złamania ciebie, a nawet rząd przejdzie do łatwiejszego celu, chyba że ma jakiś konkretny powód, aby cię obrać. Wydaje mi się, że niezbyt przyjemna rada, ale to świat, w którym obecnie żyjemy.

Odpowiem tylko cytatem Jacoba Appelbauma, o którym prawdopodobnie nie muszę mówić.

Podczas pierwszego Kongresu Prywatności & Surveillance, który odbył się w EPFL w Szwajcarii, Applebaum powiedział (dokonuję transkrypcji):

„Jeśli NSA chce dostać się do dowolnej maszyny lub systemu na świecie , musimy założyć, że są w środku. ”

„Hakowanie” jest łatwe. Istnieją narzędzia, które zapewnią piękny GUI do uruchomienia dowolnej biblioteki exploitów, narzędzi, które włamują się do Wi-Fi, uruchamiają MiTM itp. To, wraz z niezdarnymi, uogólnionymi próbami wyłudzania informacji i innymi inżynierii, stanowi dużą część ataków nieukierunkowanych. Krótko mówiąc, są nieoryginalne. Oznacza to, że większość dobrych programów antywirusowych chroni przed większością ogólnych ataków - na co atakujący nie mają nic przeciwko, ponieważ po prostu muszą znaleźć kogoś bez AV. Indywidualny, ukierunkowany atak jest znacznie bardziej niebezpieczny, ponieważ wykwalifikowany napastnik nie tylko zbada topografię Twojej sieci i spróbuje zrozumieć Twoje środki bezpieczeństwa, ale także będzie obserwował Twoich pracowników, aby spróbować dowiedzieć się, jak zaatakować tzw. „8. warstwa” (ludzie). Jednym z najbardziej niesławnych tego przykładów był Kevin Mitnick. Jestem pewien, że był utalentowany w dziedzinie komputerów, ale naprawdę celował w inżynierii społecznej - do tego stopnia, że ​​pewnego razu włamał się do bezpiecznego obiektu, ZŁAPAŁ SIĘ, a mimo to udało mu się przekonać strażnika bezpieczeństwa, aby go wypuścił.

Firmy antywirusowe POSIADAJĄ wszystkie „narzędzia hakerskie” i robią wszystko, co w ich mocy, aby zanegować ryzyko, jakie stanowią ich klienci. Ataki, które mają o wiele większe szanse powodzenia, to te, które ktoś dostosowuje, aby ominąć TWOJE zapory ogniowe, pozostać niewykrytym przez TWOJE AV i wyczyścić TWOJE dzienniki, gdy zostaną ukończone.

Inny punkt widzenia, którego nie znalazłem w odpowiedziach. http://lasec.epfl.ch/keyboard/

Znaleźliśmy 4 różne sposoby (w tym atak Kuhn) na pełne lub częściowe odzyskanie naciśnięć klawiszy z klawiatur przewodowych w odległość do 20 metrów, nawet przez ściany. Przetestowaliśmy 12 różnych modeli klawiatur przewodowych i bezprzewodowych zakupionych w latach 2001-2008 (PS / 2, USB i laptop). Wszystkie są podatne na co najmniej jeden z naszych 4 ataków.

To jest z cywilnego instytutu badawczego pięć lat temu . Zapoznaj się ze standardami ekranowania wymienionymi http://www.wikiwand.com/en/Tempest_(codename) tutaj.

Jest technicznie możliwe wprowadzenie wystarczającej kontroli, aby zagwarantować, że nie zostaniesz zagrożony z punktu widzenia IT.

W skrajnym przypadku należy wyłączyć i usunąć cały sprzęt komputerowy. Widzieć? Brak komputerów oznacza, że ​​żaden komputer nie zostanie zagrożony. OK, a co powiesz na zezwolenie na komputery, ale bez sieci: wszystko z przerwą powietrzną. Nie mamy gwarancji niewrażliwości, ale jesteśmy blisko. OK, a co powiesz na zezwolenie na sieci, ale tylko na komputerach bez poufnej zawartości i bez trwałego przechowywania dowolnego typu. Brak pobierania lub wykonywania niepodpisanego kodu. A może pozwolić, aby pobieranie pozostało na białej liście aplikacji. I tak dalej.

Istnieje ciągłość bezpieczeństwa między „Absolutnie nieprzeniknioną i całkowicie bezużyteczną” a „wyjątkowo wygodną i niepewną jak diabli”, przy czym bezpieczeństwo zawsze stoi w sprzeczności z wygodą. Jeśli środek bezpieczeństwa nie jest sprzeczny z wygodą, to nie jest uważany za „bezpieczeństwo” - nazywasz to po prostu „standardową praktyką”.

Ale oto ważna kwestia: O ile bezpieczeństwo IT nie jest katastrofą związaną z wersją Home Depot , najsłabszym komponentem są ludzie, a nie systemy. Bezpieczeństwo działa tylko wtedy, gdy jest faktycznie wdrożone, a systemy firmy rzadko spełniają własne standardy firmy.

Ponadto inżynieria społeczna zawsze wygrywa. Wyłudzanie informacji jest zdecydowanie najskuteczniejszym atakiem na wzmocnione cele i niewiele robi się, aby złagodzić to zagrożenie. Atakujący zawsze miał przewagę; atakujący musi wygrać tylko raz, podczas gdy obrońca musi wygrać za każdym razem, aby zachować bezpieczeństwo. A socjotechnika oznacza, że ​​atakujący może wyprowadzić walkę z IT i wykorzystać interakcje międzyludzkie, aby odnieść zwycięstwo.

Tak, możesz być bezpieczny, ale oznacza to traktowanie Twojej technologii jako wrogiej, a pracowników jako atakujących. Oznacza to stawianie barier dla interakcji i współdziałania. Oznacza to odrzucenie małych rzeczy, które ludzie uważają za oczywiste. A to oznacza, że ​​twoja operacja zapłaci za to wysoką cenę. Ale jest to możliwe.

FW, programy antywirusowe i inne zabezpieczenia ukierunkowane na zapobieganie mogą skutecznie blokować tylko te ataki, które okazały się złe. IE, jeśli określony typ ruchu lub określony plik jest uszkodzony w 100% przypadków, można go skutecznie zablokować. Chociaż narzędzia zapobiegawcze mogą nie pomóc w przypadku bardziej zaawansowanych zagrożeń, mają zastosowanie w blokowaniu znanego złego ruchu. Jest dużo złego ruchu / plików, które należy zablokować, aby skutecznie chronić swoją organizację. Jest to bardzo cenne, ale nie chroni przed zaawansowanymi zagrożeniami. Możliwe jest tworzenie plików, które wyglądają na dobre i ukrywają zły ruch przy dobrym ruchu. To wymaga obrony różnicowej do wykrycia.

Wchodząc w ataki sponsorowane przez stan i zaawansowane, musisz podchodzić do rzeczy całościowo. Mogą nie musieć kierować bezpośrednio do Ciebie, aby uzyskać Twoje dane, jeśli są przechowywane w innym miejscu. Jeśli osoby trzecie, z którymi współpracujesz, są łatwiejszymi celami, prawdopodobnie zostaną zaatakowane jako pierwsze. Zależy to od określenia najłatwiejszego sposobu uzyskania danych i zastosowania środków zaradczych w celu zarządzania tym ryzykiem.

Najlepszym sposobem obrony przed zaawansowanymi zagrożeniami jest skupienie się na wykrywaniu. Atakujący omijają prewencyjne zabezpieczenia, ale ich działania po wejściu do sieci powinny być dla Ciebie widoczne. Tutaj do gry wkracza przewaga obrońcy. Atakujący ma tę przewagę, że wkracza do akcji, ponieważ musi znaleźć tylko jedną lukę do wykorzystania. Obrona ma przewagę wewnątrz sieci. To jest twoje pole startowe, powinieneś dobrze o tym wiedzieć, powinny istnieć warstwy obronne, które spowalniają napastników, dając ci czas na ich wykrycie, odizolowanie i zablokowanie. Myśląc ponownie holistycznie, powinieneś znać prawdopodobne cele i słabe punkty swojej organizacji. Powinny mieć wokół siebie warstwy środków ograniczających zagrożenie.

Wykrywanie sprowadza się do znajdowania i wykrywania nietypowego zachowania. Możliwe, że wystąpił alert dotyczący ataku, którego nie znaleziono wśród stosu innych alertów. Osoba atakująca nie powinna mieć możliwości usunięcia swoich śladów w Twojej sieci. Ich aktywność jest gdzieś w twojej infrastrukturze, potrzebujesz oczu, aby zobaczyć tę aktywność i wiedzy o twojej infrastrukturze, aby wiedzieć, gdzie patrzeć. Organizacja powinna mieć inwentaryzację zasobów, aby wiedzieć, kiedy dodawane są nowe urządzenia, linie bazowe, aby wiedzieć, jakie zachowanie jest normalne, aby wyróżniało się nienormalne zachowanie, zarządzanie konfiguracjami / monitorowanie, aby wiedzieć, kiedy pliki systemowe są modyfikowane, monitorowanie sieci i hosta, aby zobaczyć ruch i działania, silne kontrole dostępu w celu spowolnienia ruchu poprzecznego w ramach infrastruktury, myślę, że o co chodzi. Im więcej masz elementów sterujących, tym lepsza jest Twoja widoczność. Zobacz SANS Critical Security Controls. W Twojej sieci każdy atakujący będzie musiał zostawić dowody swoich działań. To od Ciebie zależy, czy będziesz mieć narzędzia, które pozwolą Ci zobaczyć te czynności i wiedzieć, gdzie szukać.

Nie wiedząc nic więcej o napastniku, możesz założyć, że będzie on chciał utrwalić się po wejściu, znalezieniu i wyprowadzeniu danych. Wchodzą tu narzędzia obronne. Prawidłowy ruch musi być dozwolony, co pozwala skupić się na tym, jak ujawnić intruza, który szuka danych i je wydobywa. Obserwuj prawdopodobne docelowe dane i punkty wyjścia. To będą najłatwiejsze punkty do ich znalezienia, ponieważ zaawansowany napastnik zrobi wszystko, co możliwe, aby wtopić się w prawidłowy ruch i pozostać niewidzialnym.

Żeby było jak najkrócej i słodko: (chociaż mogę dodać szczegóły później, jeśli społeczność tego zażąda)

Losowe ataki

Generalnie celują w konkretną lukę w konkretna wersja określonego oprogramowania. Celem jest wypróbowanie tego na każdej możliwej maszynie i nie każda maszyna będzie miała lukę w zabezpieczeniach, a rozwiązania IDS / IPS nie pozwolą na wykonanie tego samego typu ataku na pozostałych klientów, gdy tylko zostanie wykryty. Ten rodzaj ataku „Zdrowaś Maryjo” zostanie szybko udaremniony przez dobrych ludzi.

Ataki ukierunkowane

Są celem końcowym, którym jest zwykle jeden z kilku komputerów, które należą do wszystkich do określonej jednostki. Osoba atakująca, która próbuje Cię Ciebie poświęcić czas i pieniądze na zebranie informacji o całym Twoim sprzęcie i oprogramowaniu. Jeśli zajdzie taka potrzeba, kupią ten sam sprzęt, który obsługuje Twoją fabrykę. Spędzą niezliczone godziny szukając usterek w każdej części Twojego systemu. Kiedy znajdą tę lukę i przetestują ją na swojej replice lub emulacji twojego systemu, wykonają ją raz i będą działać szybko, ponieważ wiedzą, czego szukają. Prawdopodobnie pozostanie to niezauważone w dziennikach, ponieważ nie pojawia się na setkach komputerów na całym świecie, nie ma skanowań dużych zakresów adresów IP do wykrycia przez dostawcę usług internetowych. Zasadniczo atak nigdy się nie wydarzył , chyba że bardzo uważnie śledzisz swoje dzienniki i zauważysz, że z Twojego końca przesłano pewne krytyczne dane, które nie powinny.

Poza tym : Chyba że jesteś tego wart, taki atak jest mało prawdopodobny, ale jeśli tak się stanie, wydaje się, że jedyną możliwą rzeczą, jaką możesz zrobić, jest jego wykrycie, a nie zapobieganie mu. Ale z drugiej strony zawsze są też sposoby na obejście wykrywania.

Techniki są takie same, jak w przypadku przypadkowych, niecelowych ataków. Tym, co naprawdę wyróżnia IMHO tego rodzaju ataki, są:

• dostępny czas
• dostępne pieniądze na zakup nieujawnionego exploita
• wysiłek włożony w grę
• zaatakowana powierzchnia ataku
• działania poeksploatacyjne

Generalnie w przypadku losowych, niecelowanych ataków:

• jego wysiłek pod względem czas będzie ograniczony głównie do jednej próby
• będzie próbował wykorzystać pojedynczy aspekt całej powierzchni ataku
• Gdy ataki zakończą się sukcesem, praca będzie wykonana głównie
• łatwiej będzie wyczyścić cel ataków

Zamiast tego z profesjonalistą atak ukierunkowany:

• jego wysiłek pod względem czasu będzie dłuższy i ciągły w czasie
  • prawdopodobnie więcej niż jedna osoba będzie zaangażowana jako atakujący
• docelowa powierzchnia ataku będzie całą powierzchnią ataku
  • wszystkie słabe punkty powierzchni ataku zostaną przetestowane d
• Gdy będzie w stanie włamać się do twoich obwodów, zadanie nie zostanie wykonane
  • ataki będą kontynuowane wewnętrznie, aby zagwarantować dalszy łatwy dostęp
• naprawdę trudno będzie odmówić dalszego dostępu do systemów / sieci, ponieważ po włamaniu:
  • backdoory zostaną umieszczone wszędzie
  • dane uwierzytelniające zostaną skradzione
  • wewnętrzna słabość i dalsza wiedza o sieci / systemach będzie zwiększać powierzchnię ataku (tj. WAN partnerów biznesowych itp.)