Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

Az ICS Cyber Security Kill Chain II

Mi az a Cyber Security Kill Chain? - folytatás

2017. május 27. - icscybersec

Ma a múlt héten elkezdett, Cyber Security Kill Chain bemutatását folytatom.

4. A sérülékenység kihasználása (Expoitation): Hozzáférés szerzése a célba vett rendszeren

A támadók tevékenységei: A támadóknak ahhoz, hogy hozzáférést szerezzenek a célba vett rendszeren, ki kell használniuk egy vagy több korábban felfedezett sérülékenységet - ezek adódhatnak szoftveres, hardveres vagy emberei hibákból. Ebben a fázisban egyaránt elképzelhetőek a támadó által kiváltott sérülékenység-kihasználások (a legtöbb szerver oldali sérülékenység ilyen) vagy olyan, emberi hibákból adódó támadási vektorok, mint például egy kártékony kódot tartalmazó e-mail megnyitása vagy egy ártó szándékú webhelyre mutató hivatkozás követése.

A védők tevékenységei: A célba vett rendszerek esetén a hagyományos hardening-technikák nyújthatnak bizonyos fokú ellenálló képességet, de például a nulladik napi sérülékenységeket célzó támadások elhárításához egyedi képességekre is szükség van. A védekezésben fontos szerep jut a biztonságtudatossági képzéseknek, a fejlesztők biztonságos fejlesztési technikákra történő oktatása, rendszeres sérülékenység vizsgálatok és betöréstesztek végrehajtása. Kiemelten kell foglalkozni a végponti berendezések hardening-jével, elsősorban az adminisztratív jogosultságok szigorú korlátozásával, a kódvégrehajtás lehetőségének minimálisan szükséges szintre történő korlátozásával és az olyan szoftverek alkalmazásával, amikkel csökkenteni lehet egy támadás sikerességének az esélyét (az ilyen szoftverek közül a legismertebb talán a Microsoft EMET, aminek a fejlesztése a hírek szerint rövidesen megszűnik, azonban helyette több ingyenes és fizetős megoldás is néhány perces kereséssel elérhető).

5. Hátsó ajtók telepítése (Installation): Hídfő kiépítése az áldozat rendszerében

A támadók tevékenységei ebben a fázisban a megszerzett hozzáférés(ek) hosszabb időn át történő fenntartására koncentrálnak, különböző hozzáférési módok kialakításával, pl. webshell vagy különböző backdoor-ok telepítésével. Egyes támadók arra is figyelnek, hogy az így létrehozott fájlok létrehozási/utolsó módosítási dátumát visszaállítsák, hogy úgy tűnjön, a fájl az adott rendszer telepítésekor lett létrehozva.

A védők tevékenységei: A védők ebben a fázisban leginkább a különböző végponti biztonsági eszközökkel, host IPS-ekkel és más végpontvédelmi megoldásokkal tudnak védekezni. Fontos továbbá, hogy megértsék, az adott malware, amivel a támadók hozzáférést szereztek az adott rendszerhez, adminisztrátori vagy felhasználói jogosultságokkal fertőz. A védekezésben sokat segíthet a végponti folyamatok auditálására illetve a fájl konzisztencia ellenőrzésre használható megoldások, valamint a digitálisan aláírt futtatható állományok tanúsítványainak vizsgálata is. Érdemes ellenőrizni a támadáshoz használt malware fordításának idejét is, amiből elég jó következtetéseket lehet levonni arra vonatkozóan, hogy egy új vagy egy régebbi malware-rel van-e dolguk a védőknek.

6. Irányítás (Command&Control - C2): A kompromittált rendszer távoli vezérlése

A támadók tevékenységei: Ebben a fázisban a támadók olyan kétirányú kommunikációt próbálnak építeni a kompromittált eszköz és egy, a saját irányításuk alatt lévő szerver között, amivel később is a céljaiknak megfelelően tudják használni az adott eszközt. Az ilyen szervereket hívják Command&Control, röviden C2 szervereknek. A leggyakoribb C2 csatornák a webes, DNS és e-mail protokollok.

A védők tevékenységei: A védők számára ebben a fázisban nyílik utoljára lehetőség arra, hogy megakadályozzák a támadók műveleteit, azzal, hogy blokkolják a C2 csatornákat. Ha ez sikeres, a támadók nem tudják majd irányítani a megfertőzött eszközt és így a védők megelőzhetik a nagyobb károkat. A védekezés során hasznos eszköz lehet a malware-analízis, amivel be lehet azonosítani az adott malware által használt C2 infrastruktúrát és ezzel lehetőség nyílik tökéletesen blokkolni a C2 forgalmat. A hálózaton végzett biztonsági hardening (az Internetes jelenléthez használt pontok számának minimalizálása és a leggyakoribb forgalmak, pl. HTTP, DNS proxy-kon keresztül történő átengedése). Szintén hatékonyabbá teheti a védekezést a nyílt forrású információgyűjtésből (és a szektoriális jellegű együttműködésekből!) származó újabb és újabb C2 infrastruktúrák adatai.

7. A cél elérése (Actions on objectives)

A támadók tevékenységei: Az utolsó fázisban a támadók már azt teszik, amiért az egész műveletet elkezdték. Felhasználói adatokat gyűjtenek össze és lopnak ki a megtámadott rendszerből, magasabb (jellmezően adminisztrátori) jogosultságokat próbálnak szerezni, a megtámadott szervezet belső hálózatát próbálják felderíteni és további rendszerekben próbálják megvetni a lábukat vagy akár használhatatlanná tesznek rendszereket, felülírnak vagy titkosítanak adatokat.

A védők tevékenységei: Ha egy IT biztonsági incidens eljut a CSKC 7. fázisáig, akkor a védőknek már az kell, hogy legyen az elsődleges szempontjuk, hogy minél rövidebb idő alatt meg tudják szakítani a támadók hozzáférését a kompromittált rendszerekhez, ugyanis minél tovább van hozzáférésük a támadóknak egy rendszerhez, annál nagyobb károkat tudnak okozni. Ahhoz, hogy a védők minél előbb meg tudják szüntetni a támadók hozzáféréseit, jól kidolgozott és begyakorolt incidenskezelési forgatókönyveket kell alkotni és elengedhetetlen a felelős vezetők bevonása és egy hatékony kommunikációs terv kialakítása. A műszaki megoldásokból ebben a fázisban azok a megoldások a leginkább hatékonyak, amelyekkel észlelni lehet a nagyobb mennyiségű kimenő adatot, a nem engedélyezett felhasználói fiókok használatát, az incidenskezelésben használható különböző vizsgálati eszközök előtelepítését az egyes végpontokra és a hálózati forgalom rögzítését végző eszközöket, amelyek adataiból a vizsgálat során fel lehet építeni a támadás menetét.

Utólagos elemzések - a támadási minták azonosítása

A fentiek alapján elemzett támadások alapján egészen jó képet lehet kapni az egyes támadások közötti hasonlóságokról. A védők ezek alapján megtanulhatják felismerni és meghatározni a támadásokat és megérteni a támadók céljait. A CSKC alkalmazásával a szervezetek megelőzhetik a jövőbeli támadások egy részét és ellenállóbbá válhatnak azokkal, amelyek mégis be fognak következni.

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr5112475349

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása