Sikkerhedsansvarlige tænker i lister. Cyber kriminelle tænker i diagrammer. Så længe, det er sådan, vinder de cyber kriminelle.

 

De sikkerhedsansvarliges tankegang

Mange af de tiltag, en virksomhed tager for at forsvare netværket, fejler allerede inden et angreb begynder, fordi de sikkerhedsansvarlige betragter ”slagmarken” på en bestemt måde. De fleste sikkerhedsansvarlige fokuserer på at beskytte deres aktiver, prioritere dem og sortere dem i forhold til arbejdsbyrde og forretningsmæssig funktion.

De sikkerhedsansvarlige drukner i lister over aktiver – i system management services, i inventory databaser over aktiver, i regneark. Der er bare et problem med alt dette. De cyber kriminelle har ikke en liste over aktiver – de har et diagram. Aktiver er forbundet med hinanden sikkerhedsmæssigt. De kriminelle bryder ind i et netværk ved at gå ind et tilfældigt sted i diagrammet og benytte en teknik som fx spearphishing og derefter hacke og finde sårbare systemer ved at navigere rundt i diagrammet. Og hvem laver diagrammet? Det gør du.

 

Hvad er et diagram?

Diagrammet i dit netværk er det sæt af sikkerhedsmæssige afhængighedsforhold, der skaber ækvivalens blandt dine aktiver. Designet i dit netværk, administrationen af dit netværk, den software og de services, der benyttes i dit netværk og brugernes adfærd på dit netværk påvirker alt sammen diagrammet.

Tag fx en domain controller. Peter administrerer DC’en fra en arbejdsstation. Hvis denne arbejdsstation ikke er beskyttet i lige så høj grad som domain controlleren, kan DC’en blive kompromitteret. Enhver anden konto, der er en admin på Peters arbejdsstation, kan kompromittere Peter og domain controlleren. Alle disse admins logger på en eller flere andre maskiner som en del af de almindelige arbejdsprocesser. Hvis cyber kriminielle kompromitterer bare en enkelt af dem, har de en vej ind til at kompromittere domain controlleren.

 

”Six Degrees of Separation”

Teorien om Six Degrees of Separation går ud på, at der kun er seks led mellem dig og ethvert andet menneske i verden.

Cyber kriminelle kan ligge og vente på en kompromitteret maskine og bruge en password dumper som fx Mimikatz, indtil en værdifuld konto logger på maskinen. Lad os se os et eksempel på et diagram:

 

Figur 1: Eksempel på et netværks login diagram

 

Gruppen af punkter til venstre er en enkelt terminal server, der benyttes af hundrede vis af brugere. Hvis cyber kriminelle kompromitterer denne maskine, kan der med tiden dumpes credentials på mange brugere.  

 

 

Figur 2 A: Kompromitteret terminal server kan give mange credentials

 

Hvordan kan de cyber kriminelle komme sidelæns hen til et værdifuldt aktiv?

 

Figur 3: En angrebslinje fra en kompromitteret terminal server til et værdifuldt aktiv

 

Gennem søgning i diagrammet opdager de cyber kriminelle flere veje til det værdifulde aktiv. Hvis de kompromitterer terminal serveren, kan de også kompromittere Bruger46 og Bruger128. Disse brugere er hhv. administratorer på Maskine2821 og Maskine115. Ved at kompromittere disse arbejdsstationer, kan de cyber kriminelle kompromittere Bruger1 og Bruger34, som begge administratorer på det værdifulde aktiv. Hvis det værdifulde aktiv skal være beskyttet, må alle de afhængige elementer være beskyttet i lige så høj grad som det værdifulde aktiv – og dermed være ækvivalente inden for den gruppe.

 

Sikkerhedsafhængigheder

Når en bruger udfører login af en bestemt type (interaktive, på terminal servere osv.) på et Windows netværk, bliver disse bruger credentials (og single-sign-on ækvivalenter som fx et Kerberos TGT eller NTLM hash) sårbare over for tyveri, hvis den underliggende host bliver kompromitteret. Herudover er der mange andre slags forbindelser, der skaber sikkerhedsafhængigheder:

  • Lokale admin konti med et fælles password. Kompromittér et system, dump det lokale admin password og brug det password på andre hosts med det samme password.
  • Filservere, der indeholder login scripts, der kører for mange brugere og servere, der opdaterer software.
  • Print servere, der leverer print drivere til klient maskiner.
  • Myndigheder, der udsteder certifikater til smart card logins.
  • Database administratorer, der kan køre kode under kontekst af en database server, der kører som en privilegeret bruger.

Og så videre. Der er også indirekte forbindelser. En maskine, der har en sårbarhed, kan blive kompromitteret og pludselig tillade cyber kriminelle at oprette nye forbindelser i diagrammet. Eller brugere kan have en konto på to upålidelige domæner med et password, som skaber en skjult forbindelse mellem domæner.

 

Administrér dit diagram

Hvad kan du gøre for at forsvare dit netværk? Det første trin er at visualisere dit netværk ved at lave dine lister om til diagrammer. Dernæst kan du implementere kontroller, der luger ud i diagrammet:

Undersøg, om der er uønskede forbindelser, der kan give store brud i forbindelserne.
Implementér infrastruktur partitionering og credentials siloer, der reducerer dem.

  • Reducér antallet af administratorer. Benyt Just-In-Time / Just Enough teknikker til at minimere privilegier.
  • Brug to faktor godkendelser til at begrænse visse krydsninger mellem forbindelser.
  • Benyt en sikker credential rotation hvis en brugerkonto bliver kompromitteret.
  • Gentænk ”forest trust relationships”.
  • Lær at opdage, når nogen tænker i lister

Sikkerhedsansvarlige skal sikre sig, at cyber kriminelle ikke er forud for dem, når de visualiserer ”slagmarken”. I denne konkurrence kan de sikkerhedsansvarlige faktisk have en fordel. De har allerede adgang til alle informationer om deres eget netværk, hvor de cyber kriminelle er nødt til at studere netværket bid for bid.

Sikkerhedsansvarlige kan lære noget af, hvordan hackerne forstår diagrammet. De studerer infrastrukturen som den er – ikke som en upræcis intellektuel model set fra et ufuldstændigt inventory system over aktiver eller et forældet netværksdiagram. Administrér ud fra virkeligheden, for det er den tankegang, en forberedt sikkerhedsansvarlig bør have.

 

Oversat fra artikel i Microsoft TechNet af John Lambert (MSTIC)), april 2015

 

Se flere nyheder i vores NYHEDSARKIV.