Verteidiger denken in Listen, Angreifer denken in Graphen (2015)

 (github.com/JohnLaTwC)
3 Punkte von GN⁺ 2024-08-26 | 1 Kommentare | Auf WhatsApp teilen

Denkweise von Verteidigern

  • Viele Maßnahmen zur Netzwerkverteidigung beginnen schon vor dem Kontakt mit dem Gegner in die falsche Richtung
  • Verteidiger konzentrieren sich darauf, Assets zu schützen, Prioritäten zu setzen und sie nach Geschäftsfunktionen zu klassifizieren
  • Verteidiger sind von Asset-Listen umgeben, etwa aus Systemverwaltungsdiensten, Asset-Inventardatenbanken und BCDR-Tabellen
  • Das Problem ist, dass Verteidiger keinen Bestand aus Asset-Listen, sondern einen Graphen haben
  • Assets sind über Sicherheitsbeziehungen miteinander verbunden
  • Angreifer nutzen Techniken wie Spear-Phishing, um irgendwo in den Graphen einzudringen, und erkunden ihn, um verwundbare Systeme zu finden

Was ist ein Graph?

  • Der Graph eines Netzwerks stellt die Sicherheitsabhängigkeiten zwischen Assets dar
  • Netzwerkdesign, Verwaltung, eingesetzte Software und Services sowie das Verhalten der Nutzer beeinflussen den Graphen
  • Wenn zum Beispiel Bobs Workstation, mit der er den Domain Controller (DC) verwaltet, nicht geschützt ist, kann der DC kompromittiert werden
  • Auch andere Konten mit Administratorrechten auf Bobs Workstation können den DC kompromittieren
  • Angreifer können den DC über diese Pfade kompromittieren

Mallorys sechs Schritte

  • Der Angreifer wartet auf einem kompromittierten Gerät, bis sich ein Konto mit hohem Wert anmeldet
  • Anhand eines Beispielgraphen wird erklärt, wie ein Angreifer hochrangige Assets erreichen kann
  • Durch die Kompromittierung eines Terminalservers lassen sich viele Benutzeranmeldedaten dumpen
  • Der Angreifer erkundet den Graphen und entdeckt mehrere Pfade, über die er sich zu hochrangigen Assets bewegen kann
  • Um hochrangige Assets zu schützen, müssen alle abhängigen Elemente gleichermaßen geschützt werden

Sicherheitsabhängigkeiten

  • In Windows-Netzwerken können Anmeldedaten gestohlen werden, wenn Nutzer bestimmte Arten von Logons durchführen
  • Verschiedene Beziehungen erzeugen Sicherheitsabhängigkeiten
    • Lokale Administratorkonten mit gemeinsamem Passwort
    • Dateiserver und Software-Update-Server, die Logon-Skripte für viele Nutzer hosten
    • Printserver, die Druckertreiber an Client-Geräte ausliefern
    • Zertifizierungsstellen, die Zertifikate für Smartcard-Logons ausstellen
    • Datenbankadministratoren, die etwa Code auf Datenbankservern ausführen können

Graph-Management

  • Was Verteidiger tun können:
    • Das Netzwerk visualisieren, um Listen in einen Graphen umzuwandeln
    • Controls implementieren, die den Graphen beschneiden
      • Unerwünschte Kanten prüfen, die starke Konnektivität erzeugen
      • Die Zahl der Administratoren reduzieren
      • Zwei-Faktor-Authentifizierung verwenden
      • Einen Ansatz zur Rotation von Anmeldedaten anwenden, falls ein Benutzerkonto kompromittiert wird
      • Forest-Trust-Beziehungen überdenken

Listendenken erkennen

  • Verteidiger sollten nicht zulassen, dass Angreifer im Vorteil sind, wenn sie das Schlachtfeld visualisieren
  • Verteidiger können vollständige Informationen über das Netzwerk haben
  • Angreifer müssen das Netzwerk Stück für Stück untersuchen
  • Verteidiger sollten aus der Art lernen, wie Angreifer den Graphen verstehen
  • In der Realität zu verwalten, ist die Denkweise eines vorbereiteten Verteidigers

Weiterführende Lektüre

  • Arbeiten zu verschiedenen Angriffsgraphen:
    • Heat-ray: Combating Identity Snowball Attacks Using Machine Learning, Combinatorial Optimization and Attack Graph
    • Two Formal Analyses of Attack Graphs
    • Using Model Checking to Analyze Network Vulnerabilities
    • A Graph-Based System for Network-Vulnerability Analysis
    • Automated Generation and Analysis of Attack Graphs
    • Modern Intrusion Practices
    • Attack Planning in the Real World

Zusammenfassung von GN⁺

  • Dieser Artikel vergleicht die Denkweise der Netzwerkverteidigung mit dem Ansatz von Angreifern
  • Er betont, dass Verteidiger Netzwerke nicht über Asset-Listen, sondern über Graphen verstehen sollten
  • Angreifer erkunden über den Graphen Schwachstellen und finden Angriffspfade
  • Verteidiger können die Sicherheit stärken, indem sie das Netzwerk visualisieren und den Graphen verwalten
  • Der Artikel ist nützlich für alle, die sich für Netzwerksicherheit interessieren, und hilft dabei, die Unterschiede in den Denkweisen von Angreifern und Verteidigern zu verstehen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-08-26
Hacker-News-Kommentare
  • Angreifer haben das Privileg, tief zu graben, um ein bestimmtes Ziel zu erreichen
  • Verteidiger müssen viele Signale und Angriffsvektoren verfolgen und priorisieren
    • Verteidiger verwenden Listen, um Assets zu verwalten
    • Mit Listen halten sie Assets aktuell, gehen von begrenztem Vertrauen aus und isolieren Ressourcen
    • Bevor man Abhängigkeitsgraphen erstellt, muss man zuerst Listen anlegen
  • Komplexe adaptive Systeme haben Komponenten und einen Messaging-Bus für ihre Interaktionen
    • Es ist effektiver, die Pheromonspuren zu zerstören, als einzelne Ameisen zu fangen
  • Die Rolle des Verteidigers ist nicht bloß Verteidigung
    • Cybersicherheit ist nicht die Hauptaufgabe, sondern eine Nebenrolle
    • Für Angreifer ist der Angriff auf das System der einzige Zweck
  • Angreifer suchen nach Schwachstellen und müssen nur ein einziges Mal erfolgreich sein
  • Verteidiger müssen alles gleichzeitig schützen
  • Angreifer verwenden keine Graphen
    • Im Web-Sicherheitsbereich lässt sich Graph-Denken nicht anwenden
    • Penetrationstest-Berichte enthalten keine Graphen, sondern To-do-Listen
    • Verteidiger verbringen oft Zeit mit unwichtigen Dingen
  • Ich habe bei einem Cybersicherheitsunternehmen gearbeitet
    • Ich hatte das Gefühl, dass viele Cybersicherheitspraktiken bedeutungslos sind
  • Verteidigung besteht aus mehreren Elementen
    • Dazu gehören die Entwicklung wirksamer Kontrollen, die Identifizierung von Angriffen, Incident Response usw.
    • Zur Verteidigung gehören architektonische Entscheidungen unter Berücksichtigung von Netzwerkgraphen
  • Das schwächste Glied der Verteidigung bestimmt ihre Gesamtstärke
    • Checklistenbasierte Sicherheit ignoriert Infrastrukturprobleme
    • Mit einer SBOM lassen sich Komponentenbeziehungen abbilden
  • In einem Netzwerk braucht man Honeypots, um Eindringlinge zu fangen
    • Gefälschte verschlüsselte Zugangsdaten, gefälschte Passwortspeicher usw.