Dichiarazione di non responsabilità: lavoro presso un'azienda che sviluppa software di sicurezza per mitigare gli attacchi mirati.

Alcuni dei metodi che utilizziamo sono simili a quelli utilizzati dagli aggressori (quando i clienti desiderano testare i propri sistemi).

Ad esempio, un client ci ha chiesto di testare la sua sicurezza eseguendo attacchi di phishing [spear] mirati. Abbiamo inviato un'e-mail solo al reparto IT con una combinazione di 2 e-mail. Una era un'e-mail apparentemente indirizzata in modo errato al consiglio di amministrazione con un collegamento a un Pdf chiamato qualcosa come Executive bonus summary.pdf , l'altra si presumeva fosse un nuovo portale esterno per l'azienda da utilizzare durante le Olimpiadi ("Verifica che le credenziali del tuo dominio funzionino correttamente ..."). Con una rapida ricerca sui social media, avremmo potuto creare e-mail specifiche per l'utente, ma ciò richiederebbe molto tempo e alla fine non era necessario.

Abbiamo registrato un nome di dominio che era visivamente simile a quello del target, quindi lo ha utilizzato per ospitare pagine false (con uno stile identico a quelle reali) e inviare e-mail firmate DKIM (per evitare filtri antispam).

Dei tecnici presi di mira, il 43% ci ha fornito i dettagli di accesso aziendali, il 54% ha provato a scaricare il pdf fasullo (il pdf era solo dei byte spazzatura, quindi sembrava un download corrotto. Un ragazzo ha provato 5 volte utilizzando Firefox, IE e infine wget).

Noi è stato detto che un solo utente aveva rilevato l'attacco e lo aveva segnalato alla direzione (ma solo dopo averci fornito le proprie credenziali).

Quindi ... Entrare in azienda non è impossibile. Per quanto riguarda la diffusione delle informazioni, la nostra normale presentazione di vendita include una dimostrazione di noi che bypassiamo i firewall aziendali / i tradizionali DLP. Non credo che abbiamo mai fallito a meno che non siano in air-gap o utilizzando un buon diodo di dati (anche se il tasso di esfiltrazione varia. In un caso, avevamo un firewall restrittivo con lista bianca , quindi il software ha codificato i documenti in immagini e ha continuato ad aggiornare un'immagine del profilo su Google. Quindi abbiamo guardato il profilo esternamente e scaricato ogni porzione).

Detto questo, abbiamo riscontrato più volte che il software può essere aggirato, ma gli utenti sono costantemente l'anello più debole.

Quindi, per rispondere alla tua domanda, un attacco mirato include il tocco personale. Siti web personalizzati progettati per ingannare gli utenti, ricerca su quale software (e versione) viene utilizzato per verificare la presenza di vulnerabilità note, indagini sui social media, ingegneria sociale, ecc.

Un altro da considerare anche se meno comune è corruzione / ricatto. Se stai parlando di attori statali, non è inconcepibile.

Tutta la sicurezza può essere ridotta a modellazione delle minacce, valutazione del rischio, gestione del rischio e mitigazione del rischio. Quindi no, è probabile che le difese progettate per proteggere dagli attacchi non mirati non funzionino bene contro gli attacchi mirati.

Cosa rende diverso un attaccante mirato (o quello che chiamate "aggressore professionista")? Semplicemente l'intelligenza e il denaro che sono disposti a impiegare per attaccarti in modo specifico.

Quindi, sì, se qualcuno è disposto a spendere i soldi, il tempo e gli sforzi per attaccarti in modo specifico, allora ha un vantaggio. La strategia da difendere sarebbe riconoscere che questi tipi di attacchi sono uno scenario di minaccia realistico nel modello di rischio e implementare controlli per gestire e mitigare questi rischi.

La differenza tra un attacco casuale e un attacco mirato può essere riassunta bene:

• L'autore dell'attacco desidera un numero N di nodi remoti per DDoSing / Spamming / Phishing / ecc.

o

• L'autore dell'attacco desidera specificamente i dati XYZ sulla macchina dell'utente2174870.

Se l'attaccante è solo cercando di costruire una botnet (>> 99% degli attacchi) quindi essere semplicemente più difficile da violare rispetto al prossimo è di solito sufficiente. Cerco di sparare per due ordini di grandezza più difficili da decifrare, e anche allora utilizzo IDS per sapere quando sono stato crackato. Si spera.

Tuttavia, se l'aggressore vuole specificamente i tuoi dati, la situazione diventa una corsa agli armamenti e l'unica mossa vincente è non giocare ( shutdown -h now ). A meno di spegnere la macchina, devi presumere che l'aggressore abbia, a seconda delle sue risorse, vulnerabilità zero-day per il tuo stack di applicazioni, sniffer di rete, malware sulle tue altre apparecchiature che accedono al box di destinazione, e forse anche $ 5 chiavi inglesi. Oh, e probabilmente è composto da 50 persone più intelligenti di te con budget illimitato. Sicuramente se hai segreti commerciali, segreti di stato o pubblichi commenti denigratori sul governatore del giorno.

Sarò onesto, non puoi difenderti dagli attacchi mirati. Potresti essere in grado di pianificare una parte significativa del tuo budget [aziendale | personale] per assumere persone che potrebbero avere la possibilità di resistere per un breve periodo, ma non durerà nemmeno allora. È meglio scollegare la macchina, e anche non è una garanzia.

Detto questo, non "non essere un bersaglio". Troppe persone hanno paura di essere un obiettivo è ciò che mantiene al potere la NSA. Sii un bersaglio intelligente. Se la tua specialità è il dissenso politico, non provare a vincere una guerra tecnologica. Riconosci che le tue comunicazioni elettroniche sono insicure e pianifica il tuo dissenso di conseguenza.

Sarebbe completamente diverso se venissi preso di mira da attori sponsorizzati dallo stato. Se sei un target di alto valore, possono impiegare non solo risorse di hacking come malware zero-day, ma anche videosorveglianza, intercettazioni telefoniche, corruzione dei tuoi amici, spear phishing e-mail, keylogging, irruzione in casa tua o persino rapimento e tortura solo per ottenere alcune informazioni.

Dai un'occhiata alla quantità di risorse che la CIA usa per dare la caccia a Osama Bin Laden anche quando non ha accesso diretto a Internet o al telefono linea. L'unica strategia è non dipingere te stesso in un bersaglio.

Di solito il posto più fastidioso in cui provare a penetrare è un sistema completamente personalizzato su un kernel completamente personalizzato (nessun comando familiare, paradigmi io, infrastruttura di gestione dei processi, ecc. - queste cose esistono in qualche forma, ovviamente, ma solo su l'unico sistema / obiettivo e non hai intuizioni). Fortunatamente per i penetratori ce ne sono pochissimi in natura.

Generalmente è vero anche il contrario: gli attacchi più difficili da difendersi (o persino da rilevare) sono completamente personalizzati quelli. Quasi tutti i sistemi di uso comune aderiscono a una politica "sì predefinita" almeno da qualche parte in essi per motivi di usabilità poiché gli utenti rifiutano qualsiasi cosa effettivamente sicura perché "effettivamente sicura" tende anche a significare "rip-your -hair out frustrante da usare ". Essendo questo un dato di fatto, ed è anche un dato di fatto che la maggior parte degli attaccanti non ha il tempo di fare nient'altro che utilizzare strumenti e framework esistenti, gli strumenti di sicurezza comuni a nostra disposizione sono costruiti attorno al caso di attacco della maggioranza: un attacco basato su strumenti di cracking delle merci .

Un attacco completamente personalizzato (che è ben eseguito) mancherà di tutti i segni rivelatori che gli strumenti difensivi delle merci cercano, lasciandoti spesso con una finestra di opportunità limitata per cogliere il vento di un attacco che inizia puramente sull'euristica (essi stessi spesso basati semplicemente su (y) la nostra migliore comprensione di quali dovrebbero essere i modelli storici "normali" di rete o di risorse di sistema). Questa finestra si chiude una volta che il sistema è stato rootato, ovviamente, poiché gli strumenti di rilevamento in uso sono solitamente la prima cosa a ricevere un aggiornamento dannoso.

Ma la spesa di questo tipo di attacco avanzato è immensa. Devi essere enormemente sfortunato o enormemente prezioso come obiettivo per essere oggetto di tale attenzione. Questo costo è paragonabile al costo di implementazione di un sistema completamente personalizzato (il costo di un sistema personalizzato è solitamente più alto, ovviamente, ma migliorato dalla base di implementazione: i costi di un attacco sono esattamente inversi). Il costo della sicurezza è sempre bilanciato sulla falsariga di:

• Il fastidio derivante dalla sicurezza effettiva
• Il costo fiscale / impegno / tempo necessario per sviluppare una difesa seria >

VS

• La criticità di un attacco effettivo di tipo X

Considerando quanti sistemi assumono cose come http -> https reindirizzamenti, DNS, IPSec, qualsiasi-del-bajillion-falsa-CA-in-IE, ecc sono impossibili da compromettere (har har!) Sicuramente sembra che all'elemento di criticità venga dato pochissimo peso. Quindi i sistemi di merci aggiornati in ritardo con il minimo degli strumenti di rilevamento minimi sembrano generalmente essere all'ordine del giorno. Tutto ciò che puoi fare oltre a ciò aumenta il costo per farti crollare e persino un governo passerà a un obiettivo più facile a meno che non abbia una ragione specifica per prenderti di mira. Consiglio non molto felice, suppongo, ma è il mondo in cui viviamo al momento.

Risponderò semplicemente con una citazione di Jacob Appelbaum, di cui probabilmente non devo parlare.

Durante il primo Congresso sulla privacy & Surveillance tenutosi all'EPFL in Svizzera, Applebaum ha detto (sto trascrivendo):

"Se la NSA vuole entrare in qualsiasi macchina o sistema nel mondo , dobbiamo presumere che siano in. "

"Hacking" è facile. Ci sono strumenti là fuori che ti forniranno una bellissima GUI per eseguire uno qualsiasi di una libreria di exploit, strumenti che entreranno nel WiFi, eseguiranno MiTM, ecc. Questo, insieme a tentativi goffi e generalizzati di phishing e altri social ingegneria, costituisce gran parte degli attacchi non mirati. In breve, non sono originali. Ciò significa che la maggior parte dei buoni AV proteggerà dalla maggior parte degli attacchi generali, cosa che agli aggressori non importa, perché devono solo trovare qualcuno senza AV. Un attacco individuale mirato è molto più pericoloso, perché un utente malintenzionato esperto non solo esaminerà la topografia della tua rete e cercherà di capire le tue misure di sicurezza, ma osserverà anche i tuoi dipendenti per cercare di capire come attaccare il cosiddetto "8th layer" (persone). Uno degli esempi più famigerati di questo è stato Kevin Mitnick. Sono sicuro che avesse talento nel campo dei computer, ma eccelleva davvero nell'ingegneria sociale, al punto che una volta è entrato in una struttura sicura, GOT CATTURATO, ed è comunque riuscito a convincere la guardia di sicurezza a lasciarlo andare. / p>

Le aziende AV HANNO tutti gli "strumenti di hacking" in circolazione e fanno del loro meglio per negare il rischio ai loro clienti. Gli attacchi che hanno molte più possibilità di funzionare sono quelli che qualcuno adatta per superare i TUOI firewall, non essere rilevati dal TUO AV e cancellare i TUOI registri quando hanno finito.

Un altro punto di vista che non ho trovato nelle risposte. http://lasec.epfl.ch/keyboard/

Abbiamo trovato 4 modi diversi (incluso l'attacco Kuhn) per recuperare completamente o parzialmente le sequenze di tasti da tastiere cablate su una distanza fino a 20 metri, anche attraverso i muri. Abbiamo testato 12 diversi modelli di tastiera cablata e wireless acquistati tra il 2001 e il 2008 (PS / 2, USB e laptop). Sono tutti vulnerabili ad almeno uno dei nostri 4 attacchi.

Questo proviene da un istituto di ricerca civile cinque anni fa . Studia gli standard di schermatura elencati http://www.wikiwand.com/en/Tempest_(codename) qui.

È tecnicamente possibile mettere in atto un numero sufficiente di controlli per garantire che non sarai compromesso dal punto di vista IT.

Il caso estremo è spegnere e rimuovere tutte le apparecchiature informatiche. Vedere? Nessun computer significa che nessun computer sarà compromesso. OK, allora che ne dici di consentire i computer, ma non le reti: tutto con air gap. Non siamo garantiti invulnerabili, ma siamo vicini. OK, allora che ne dici di consentire le reti, ma solo su macchine senza contenuto sensibile e senza archiviazione persistente di alcun tipo. Nessun download o esecuzione di codice non firmato. O forse consentire ai download di mantenere la whitelist delle applicazioni. E così via.

C'è un continuum di sicurezza tra "Assolutamente impenetrabile e completamente inutile" a "estremamente conveniente e insicuro da morire" con la sicurezza sempre in contrasto con la convenienza. Se una misura di sicurezza non è in contrasto con la convenienza, allora non è considerata "sicurezza": la chiami semplicemente "pratica standard".

Ma ecco il punto importante: A meno che la tua sicurezza IT non sia un disastro di livello Home Depot , il tuo componente più debole sono le tue persone, non i tuoi sistemi. La sicurezza funziona solo quando è effettivamente implementata e i sistemi di un'azienda raramente essere all'altezza degli standard dell'azienda.

Inoltre, l'ingegneria sociale vince sempre. Il phishing è di gran lunga l'attacco più efficace contro obiettivi temprati e si sta facendo poco per mitigare tale minaccia. L'attaccante ha sempre avuto il vantaggio; l'attaccante deve vincere solo una volta, mentre il difensore deve vincere ogni volta per restare al sicuro. E l'ingegneria sociale significa che l'attaccante può eliminare l'IT e sfruttare l'interazione umana per ottenere la sua vittoria.

Sì, puoi essere sicuro, ma significa trattare la tua tecnologia come ostile e i tuoi dipendenti come attaccanti. Significa innalzare barriere alle interazioni e all'interoperabilità. Significa negare le piccole cose che le persone danno per scontate. E significa che la tua operazione pagherà un ottimo prezzo per quella sicurezza. Ma è possibile.

FW, antivirus e altre difese mirate alla prevenzione possono solo bloccare efficacemente gli attacchi che si sono dimostrati dannosi. Ad esempio, se un certo tipo di traffico o un determinato file è dannoso il 100% delle volte, può essere effettivamente bloccato. Sebbene gli strumenti di prevenzione potrebbero non essere utili con minacce più avanzate, hanno un uso nel bloccare il traffico dannoso noto. C'è molto traffico / file dannosi che devono essere bloccati per difendere efficacemente la tua organizzazione. Questo è molto prezioso ma non contro minacce avanzate. È possibile creare file che sembrano buoni e nascondono il traffico cattivo in un traffico buono. Ciò richiede difese di differenza da rilevare.

Quando ti trovi in ​​attacchi sponsorizzati e avanzati dallo stato, devi affrontare le cose in modo olistico. Potrebbero non aver bisogno di indirizzarti direttamente per ottenere i tuoi dati se sono ospitati altrove. Se le terze parti con cui lavori sono bersagli più facili, probabilmente saranno le prime ad essere attaccate. Ciò si basa sull'identificazione del modo più semplice per ottenere i dati e sull'attuazione di mitigazioni per gestire tale rischio.

Il modo migliore per difendersi dalle minacce avanzate è concentrarsi sul rilevamento. Gli aggressori supereranno le difese preventive, ma le loro azioni una volta sulla rete dovrebbero essere visibili a te. È qui che entra in gioco il vantaggio del difensore. L'offesa ha il vantaggio di entrare perché devono solo trovare una vulnerabilità da sfruttare. La difesa ha il vantaggio all'interno della rete. Questo è il tuo campo di casa, dovresti saperlo bene, dovrebbero esserci strati di difese in atto per rallentare gli attaccanti dandoti il ​​tempo di rilevarli, isolarli e bloccarli. Pensando di nuovo in modo olistico, dovresti conoscere i probabili obiettivi e i punti deboli della tua organizzazione. Dovrebbero avere livelli di attenuazione attorno a loro.

Il rilevamento si riduce alla ricerca e al rilevamento di comportamenti anomali. È possibile che ci sia stato un avviso per un attacco che non è stato trovato tra la pila di altri avvisi. Un utente malintenzionato non dovrebbe essere in grado di cancellare le proprie tracce nella tua rete. La loro attività è da qualche parte nella tua infrastruttura, hai bisogno degli occhi per vedere quell'attività e della conoscenza della tua infrastruttura per sapere dove guardare. Un'organizzazione dovrebbe disporre di un inventario delle risorse per sapere quando vengono aggiunti nuovi dispositivi, linee di base per sapere quale comportamento è normale in modo che risaltino comportamenti anomali, gestione / monitoraggio delle configurazioni per sapere quando i file di sistema vengono manomessi, monitoraggio basato su rete e host per vedere il traffico e attività, forti controlli di accesso per rallentare i movimenti laterali all'interno della tua infrastruttura, penso che tu abbia capito. Più controlli hai, migliore è la tua visibilità. Vedere Controlli di sicurezza critici SANS. All'interno della tua rete, qualsiasi aggressore dovrà lasciare prove delle proprie attività. Spetta a te disporre degli strumenti per vedere quelle attività e sapere dove cercare.

Non sapendo nient'altro di un utente malintenzionato, si può presumere che vorranno stabilire la persistenza una volta che entrano, trovano i dati ed esfiltrano i dati. Entrare è dove entrano in gioco i tuoi strumenti difensivi. Il traffico valido deve essere consentito, lasciandoti concentrare su come esporre un utente malintenzionato che sta cercando dati ed esfiltrando dati. Guarda i tuoi probabili dati mirati e punti di uscita. Questi saranno i punti più facili per trovarli poiché un utente malintenzionato avanzato farà tutto il possibile per confondersi nel traffico valido ed essere invisibile.

Per mantenerlo il più breve e dolce possibile: (anche se posso aggiungere dettagli in seguito se la comunità lo richiede)

Attacchi casuali

In genere prendono di mira una specifica vulnerabilità in una versione specifica di un software specifico. L'obiettivo qui è provarlo contro ogni macchina possibile e non tutte le macchine avranno la vulnerabilità, e le soluzioni IDS / IPS non permetteranno che lo stesso tipo di attacco venga eseguito contro il resto dei loro client non appena viene rilevato. Questo tipo di attacco "Ave Maria" sarà rapidamente sventato dai bravi ragazzi.

Attacchi mirati

Riguardano l'obiettivo finale che è generalmente uno per una manciata di computer che appartengono tutti a un'entità specifica. Un utente malintenzionato che sta cercando di ottenere te spenderà tempo e denaro per raccogliere informazioni su tutto il tuo hardware e software. Acquisteranno la stessa attrezzatura che gestisce la tua fabbrica, se necessario. Trascorreranno innumerevoli ore alla ricerca di difetti in ogni singola parte del tuo sistema. Dopo aver trovato quel difetto e averlo testato sulla loro replica o emulazione del tuo sistema, lo eseguiranno una volta e agiranno velocemente perché sanno cosa stanno cercando. Questo probabilmente passerà inosservato nei registri perché non viene visualizzato su centinaia di computer in tutto il mondo, non ci sono scansioni in corso su grandi intervalli di indirizzi IP che un ISP possa rilevare. In sostanza, l'attacco non è mai avvenuto a meno che tu non tenga d'occhio i tuoi log e noti che alcuni dati critici sono stati caricati dalla tua parte che non avrebbero dovuto essere.

A parte : A meno che tu non ne valga la pena, è improbabile che un attacco come questo accada, ma se lo fa sembra che l'unica cosa possibile che puoi fare sia rilevarlo e non prevenirlo. Ma poi ci sono sempre anche modi per aggirare il rilevamento.

Le tecniche sono le stesse degli attacchi casuali e non mirati. Ciò che IMHO differenzia davvero questo tipo di attacchi sono:

• tempo disponibile
• denaro disponibile per acquistare exploit non divulgati
• impegno speso
• superficie di attacco attaccata
• post-sfruttamento funziona

Generalmente con attacchi casuali e non mirati:

• il suo impegno in termini di tempo sarà limitato principalmente a un singolo tentativo
• cercherà di sfruttare un singolo aspetto dell'intera superficie di attacco
• Una volta che gli attacchi hanno successo, il lavoro sarà principalmente svolto
• sarà più facile pulire il bersaglio dagli attacchi

Invece con un professionista attacco mirato:

• il suo sforzo in termini di tempo sarà più lungo e continuo nel tempo
  • Probabilmente più di una persona sarà coinvolta come aggressore
• la superficie di attacco mirata sarà l'intera superficie di attacco
  • tutti i singoli punti deboli della superficie di attacco saranno testati d
• Una volta che sarà in grado di penetrare nei tuoi perimetri, il lavoro non sarà completato
  • gli attacchi continueranno internamente per garantire un ulteriore facile accesso
• sarà davvero difficile negare ulteriori accessi ai sistemi / reti poiché dopo l'irruzione:
  • le backdoor saranno posizionate tutt'intorno
  • le credenziali verranno rubate
  • debolezza interna e ulteriore conoscenza della rete / dei sistemi sarà resa più ampia la superficie di attacco (es. WAN di partner commerciali, ecc.)