Podkast 22T42 Wykrywanie Ataku Monitoring i Prewencja

WERSJA TEKSTOWA

Cześć, witam Cię w moim podkaście. Dzisiejszy temat to wykrywanie i zapobieganie atakom. W poprzednim odcinku mówiłem o tym jak te ataki są wykonywane i jaki jest typowy scenariusz np. takiego ataku Ransomware więc jeżeli tego nie słuchałeś to zachęcam Cię do posłuchania. Natomiast dzisiaj opowiem trochę więcej o tym jak można sobie radzić i jakimi narzędziami dzisiaj dysponujemy żeby blokować te ataki.

Pierwszy taki punkt, który warto mieć na uwadze to to, żeby zdawać sobie sprawę jak te ataki mniej więcej mogą przebiegać. Dlatego, że jeżeli one są zawsze etapowe to wystarczy, że zablokujemy na jednym etapie skutecznie dany proces wykonywania tego ataku a do końca nie umożliwimy doprowadzenia tego ataku do etapu, który jest dla nas już faktycznie krytyczny. Oczywiście najlepiej by było gdybyśmy utrudniali na każdym z etapów, odpowiednio tak, jak możemy sytuację temu atakującemu. A co to oznacza? Utrudnianie oznacza, że wdrażamy nowe rozwiązanie np. dla pierwszego etapu czyli rozpoznania. Jeżeli chodzi o rozpoznanie ogólne na publicznych danych to tu nie za dużo jesteśmy w stanie zrobić. Bardziej jest pytanie co publikujemy publicznie, żeby być świadomym jakie dane udostępniamy – to tyle możemy w zasadzie zrobić. Natomiast w przypadku wejścia w naszą infrastrukturę atakującego – czyli najczęściej jest to jakieś przejęcie stacji końcowej jakiegoś użytkownika bo jest to najłatwiejsze w większości przypadków (phishing albo Malware) i dzięki temu atakujący otrzymuje dostęp do sieci.

Jeśli mamy ten etap, gdzie mamy już w środku atakującego i teraz chcemy mieć narzędzia, które potrafią nam wykryć taką sytuację odpowiednio utrudnić tą aktywność albo wręcz zablokować, jeżeli jest to tylko możliwe. Tu oczywiście jest tak, że nie ma idealnych rozwiązań czyli nie ma takiego tajemniczego pudełka, które mogłoby ze stu procentową skutecznością i bez fałszywych alarmów wykrywać i blokować tego typu ataki. Oczekiwanie ze strony rynku jest ogromne na tego typu produkty dlatego, że chcemy jak tylko możemy się zabezpieczyć. Nie będzie to perfekcyjne ale róbmy coś co polepszy sytuację. Monitoring takich zachowań na stacji końcowej, np. w przypadku przejęcia stacji i rozpoczęcia skanowania sieci, jest to najczęściej jeden z typowych przykładów. To skanowanie możemy już próbować wykrywać. Oczywiście atakujący mają tą świadomość, że takie agresywne skanowanie sieci w bardzo krótkim czasie jest łatwe do wykrycia. Jeśli mamy jakieś systemy, które analizują np. logi z Firewall’i czy z jakiś innych systemów to są w stanie pewnie tego typu sytuację wykryć i skorelować w związku z tym wygenerować jakiś alarm. W tej sytuacji atakujący są nie tacy agresywni – wiedzą, że póki nie są wykryci to mogą działać długo i najczęściej te sytuacje to raczej są miesiące funkcjonowania takich atakujących w naszej sieci niż poszczególne sekundy czy godziny. Dlatego mogą wtedy oni próbować dostępu do różnych naszych wewnętrznych systemów z tej stacji w sposób bardzo powolny. Czyli zobaczą jakiś system, czy można zapingować np. raz na dzień lub raz na kilka godzin. A może nie zapingować ale odpytać po http lub https co jest bardziej typowym profilem typowej aktywności użytkownika. Tutaj jest trochę możliwości ukrywania się.

To co teraz jest modne w przypadku produktów to XDR’y czy NDR’y – oprogramowanie, które ma wykrywać i monitorować niebezpieczną aktywność. Na dziś jest to aktywność na zasadzie marketingowego slajdu, że tu jest pięknie, my automatycznie coś wykryjemy i wyślemy do Ciebie tą informację a Ty coś sobie z nią zrób. Generalnie nie wiadomo co to miałoby być bo przecież w naszej realnej sytuacji jeśli ktoś nawet ma zespół bezpieczeństwa, to ma on co robić. Ok, wyślemy zgłoszenia ale jeśli są one nieoczywiste to jest to nadal bardzo trudne dla człowieka aby zrozumieć tą sytuację. Więc to co zespoły bezpieczeństwa monitorujące szukają to bardziej gotowe informacje. Tutaj np. systemy wszelakiego typu user behaviour analitics czy dla urządzeń takiej analizy zachowań w sieci, to jest element, który jest bardzo przydatny, jeżeli jest połączony ze scoringiem. Chodzi o to, że jeśli atak jest przeprowadzony przez wiele etapów i nasz system bezpieczeństwa nie raportuje nam pojedynczego wyspowo ataku, czy takiego incydentu a agreguje nam te wszystkie zdarzenia i prezentuje nam jakiś rodzaj scoringu, do którego możemy zerknąć i popatrzeć, że było wykonane 6 kroków więc prawdopobnie jest to coś poważnego i trzeba się tym zająć. Dzięki temu jest większa możliwość wyłonienia informacji ważnej z tego całego zalewu informacji, które mamy. Bo jeśli popatrzymy sobie czysto teoretycznie, tak jak ja teraz mówię do Ciebie, że mamy atak – czyli jest jeden atakujący i robi on jeden skan to możemy się przyglądać takiej sytuacji. Natomiast jeśli wyobrazisz sobie, że masz 500 użytkowników, 1000-10 000 pracowników i ktoś robi jakieś skany to jest to informacja, która ginie w natłoku wszystkich informacji, które są.

Dziś największym problemem osób od bezpieczeństwa, oprócz tego, że jest ich bardzo mało, to nawet jak są, to nie mogą jasno wysnuć wniosków. Jeśli jest to już zarejestrowany incydent – był atak, coś się wydarzyło i dochodzi do analizy, to jest inna sytuacja bo jest tu zastany etap informacji i możemy sobie poświęcić kolejny miesiąc, dwa, trzy na analizę tego jednego przypadku i logów pod kontem tego jednego, konkretnego zdarzenia. To trochę coś innego aczkowiek tu też brakuje zasobów bo większość firm nie ma na etacie takich analityków bezpieczeństwa, którzy będą już po fakcie analizować dane zdarzenie. Tu najczęściej jest wykupowana usługa od firm zewnętrznych.

Wracając do monitoringu. Pierwszy etap dotyczący warstwy sieciowej to patrzymy czy coś się tutaj nietypowego dzieje. Gdy mamy rozwiązania bezpieczeństwa, które nam tą analitykę dotyczącą zachowań prezentują. Są wtedy generowane profile per użytkownik i w ramach tego profilu nam wychodzi, że np. typowe zadania dla danego człowieka, który pracuje w księgowości (typu otwieranie zasobów przez https) ale nigdy nie wykonywał on jakiejś dużej ilości skanowań. Możemy mieć też innego pracownika, który pracuje w dziale IT i rozwiązuje problemy z działaniem sieci i takich urządzeń, narzędzi do skanowania sieci używa dużo częściej. To będzie w jego profilu zapisane i jak on będzie ze swojej stacji generował taki ruch to nie będzie wzbudzał alarmu. Natomiast jak będzie podobną aktywność przejawiał ten pracownik z działu kadr lub finansów to będzie automatycznie mu rósł scoring.

Samo to zdarzenie jeszcze nie jest jakimś wyznacznikiem tego, że trzeba reinstalować stację, bo tak przy dużej ilości pracowników to też nie da się tego operacyjnie uciągnąć. Ale jeśli się okazuje, że pracownik biurowy w kolejnym kroku zaczyna lub próbuje się łączyć do serwerów baz danych bezpośrednio to jest to kolejny incydent, który podwyższa ten scoring i mówi: o, tutaj było skanowanie, które wychodziło poza jego profil, teraz widzimy, że próbuje się łączyć do systemów, które widać wyraźnie, że nie powinny być skorelowane z jego funkcjonowaniem. Automat nie jest wstanie zauważyć korelacji pracownik działu HR łączy się do baz danych. Tego nie wykryje jako logicznego faktu ale wykryje, że on wcześniej tego nie robił a teraz robi i to np. co trzeci dzień więc w związku z tym tu jest coś nie tak. Scoring jest coraz wyższy. Kolejny krok – załóżmy, że użytkownik biurowy HR będzie się łączył VPN’em np. innego systemu IT do którego wcześniej też się nie łączył. Scoring znów się podwyższa. Jak podwyższy się powyżej zadanej wartości to wyświetla się alarm i wtedy taka osoba z SOC’a patrzy i analizuje. Wykonane zostały 4 kroki, scoring się podniósł więc chyba coś się dzieje. Zaczyna się bardziej przyglądać.

To jest niewątpliwie jedna z możliwości – narzędzie, które daje możliwość monitorowania ciągłego. Jest na to nawet taki bardzo dobry termin angielski – CARTA (Continuous Adaptive Risk and Trust Assessment). Generalnie chodzi o to, mówi o tym też jasno Gartner, że dziś nie wystarczy zainstalować systemu SIEM lub Firewall’owego, VPN’owego i traktować to wyspowo. Kluczem jest żeby oprócz tego to ciągle monitorować. Z każdej z tych wysp będziesz mógł dostać taki rodzaj eventu i ja już widziałem tego typu rozwiązania. Są generowane takie anomalie i dzięki temu możesz je gdzieś wysłać. Teraz jeśli masz system profilowania, który potrafi z zewnątrz otrzymywać takie alerty z poszczególnych wyspowych systemów i dzięki temu podwyższać scoring to masz sytuację, gdzie więcej tej widoczności odnośnie zachowań poszczególnych osób w Twojej organizacji jest uwzględnione w tym scoringu. Im więcej takich nietypowych zdarzeń jest uwzględnionych tym szansa na to, że Ty patrzysz jako pracownik SOC’u, jeśli nie masz takiego zespołu to Ty jako administrator, który też masz część takich obowiązków w swoim zakresie to patrzysz we właściwe miejsce. Patrzysz na właściwą rzecz. Spędzasz swój czas we właściwy sposób, który jest najbardziej skorelowany z tym, żeby podwyższyć poziom bezpieczeństwa i wykryć potencjalne zagrożenie zanim dojdzie ono do ostatniego etapu i zostaną zaszyfrowane dane, jeżeli jest to atak Ransomwere. W przypadku innych ataków na zasadzie takich cichych, że tylko wyciągamy informacje, w zależności od tego jaka to jest firma bądź instytucja, to są one często jeszcze groźniejsze w kontekście takim, że cały czas dane wyciekają a nie wykrywana jest taka sytuacja dlatego, że nikt o tym nie wie. Jak nie ma narzędzi, żeby się dowiedzieć to skąd ma wiedzieć.

To jest trend, który ewidentnie widać. Ja to widzę w kontekście różnych osób i różnych narzędzi, że scoring i monitorowanie stałe jest cały czas takie samo. Więc jeżeli chodzi o sposób podejścia do tego monitorowania i dodawania kolejnych rozwiązań bezpieczeństwa to to się cały czas dzieje. Cały czas jest też szukanie. Jest olbrzymie zapotrzebowanie na to, aby to było bardziej automatyzowane. Tutaj sięga się też mocno po te aspekty dotyczące sztucznej inteligencji bo to też świetnie wygląda w marketingowych slajdach. Natomiast ja osobiście jak słyszę od osób, które się zajmują tego typu danymi to sztuczna inteligencja wiadomo, że świetnie się spełnia w kontekście analizowania obrazów. Jednak przydatność tej sztucznej inteligencji do wykrywania ataków jest narazie moim zdaniem bardziej hasłem marketingowym niż realnym. Z jednego prostego powodu. Musi być bardzo duża ilość danych na których sztuczna inteligencja musi się nauczyć pewnych wzorców. Jeśli my byśmy chcieli nauczyć ją wzorców wykonywania ataków o musielibyśmy mieć bardzo dużo danych dotyczących wykonywanych ataków. Dziś ja praktycznie nie znam takiej bazy danych z której można by korzystać i dzięki temu nauczyć efektywnie taką sztuczną inteligencję wykrywania tego typu zdarzeń. Prowadzi to do wniosku, że wykrywane w sztucznej inteligencji nie będą prawdopodobnie ataki a raczej pewne odchylenia. Tutaj to trochę taka hybryda pomiędzy machine learning a sztuczną inteligencją. Choć tu sztuczna inteligencja jest nie do końca określona co ona by miała robić więcej w porównaniu do tego uczenia maszynowego.

Jeżeli mówiłem o tych profilach użytkowników, że każdy użytkownik będzie profilowany – są takie narzędzia i warto to robić, dzięki temu rośnie mu scoring bezpieczeństwa. To jest machine learning. To jest znane od lat i tu jest w tym kontekście na pewno do wykorzystania. Natomiast jak sztuczna inteligencja miałaby wzbogacić ten mechanizm to tutaj już do końca nie wiadomo i nie widziałem jeszcze żadnego rozwiązania – a widziałem ich już trochę, które by jasno pokazywało, gdzie jest ta wartość sztucznej inteligencji. Dlaczego ta sztuczna inteligencja to jest ten element, który dużo bardziej ulepsza to rozwiązanie bezpieczeństwa w porównaniu do klasycznego machine learning. Nie zmienia to jednak faktu, że ludzie patrzą na slajd i mówią: o, najnowocześniejsze rozwiązanie bezpieczeństwa bo ma ono wbudowaną sztuczną inteligencję to jest to ciekawe do słuchania. W tym kontekście bez wątpienia widzę wartość. Widziałem też takie pytania i sam też je czasem otrzymywałem. Co konkretnie ta sztuczna inteligencja robi? Tutaj w zasadzie każdy producent nie odpowie nic konkretnego z dwóch powodów. Po pierwsze nie chce się ujawniać ponieważ to jest początek jak implementować i jaką wartość ta sztuczna inteligencja wnosi a po drugie jest też tutaj problematyczne to, że często nie wiadomo, nawet do tych, którzy już implementują sztuczną inteligencję, uczą ją czegoś to nikt nie wie czego ona się nauczyła. Co konkretnie wykrywa. Tu można bardziej tylko mierzyć dane wejściowe, wyjściowe ale ponieważ jak wiesz każdy użytkownik może mieć trochę inną specyfikę, firma ma inną specyfikę, pracownicy w tej firmie mają inną specyfikę więc to nakłada dodatkowy poziom trudności do wykrywania dla takich urządzeń.

Na dziś to tyle, mam nadzieję, że trochę naświetliłem tą sytuację z wykrywaniem i zapobieganiem. Może jeszcze na koniec kilka słów o tych dalszych etapach, czyli jeśli jest etap taki, że skanujemy i wykrywamy, to scrolling rośnie, zaczynamy się przyglądać użytkownikowi. Jak to wykryjemy to staramy się wyczyścić jego stację żeby mu odciąć tego atakującego od dostępu do naszej firmy. Jeśli jednak idzie to dalej czyli z tej stacji przejmuje kolejno serwer i z niego kolejny, próbuje pozyskać informacje o hasłach, najlepiej do admina domenowego to tutaj każdy z tych elementów też może być mierzony i np. słyszałem o takich implementacjach dotyczących np. reguły, że jeżeli atrybuty w AD są zmieniane to automatycznie to generuje blokowanie konta lub blokuje możliwość zmiany dla tego użytkownika. Gdy w danej specyfice firmy wiadomo, że dane operacje nie są wykonywane w typowy sposób to zaprogramowanie takich scenariuszy automatycznych, że wygenerowanie pewnych zmian profilu w AD powoduje, że automatycznie blokujemy coś – zabezpieczając, odcinając dostęp danego użytkownika od domeny lub od funkcji zarządzającej domeną to to już jest element, który nam potrafi coś zapobiec. Tu warto wspomnieć o kolejnym utrudnieniu czyli multi-factor authentication, które nie jest idealnym mechanizmem ale podwyższa poziom trudności. Oprócz tego, że ktoś nawet pozyska hasło i login to jeszcze musi mieć dostęp do tego drugiego czynnika uwierzytelnienia.

Można tutaj też jeszcze podwyższać sobie poziom bezpieczeństwa poprzez pewne warianty użycia np. MFA. W przypadku gdy dany użytkownik ma sytuację taką, że jego scoring podniósł się do jakiejś wartości to wygeneruje akcję, że on musi się teraz logować przez MFA jako drugi czynnik uwierzytelniania czy autoryzacji do danego systemu, jeżeli ten system jest krytyczny. Można tu dużo rzeczy sobie wdrożyć, które podwyższają poprzeczkę temu atakującemu. Nadal jest możliwy do zdobycia ten drugi czynnik autoryzujący natomiast jest to kolejna czynność do zrobienia i kolejny krok, który trzeba wykonać, który też może wygenerować nam dodatkowy, wyższy scoring.

Na koniec, jeśli patrzymy na atak Randsomware to ostani krok, jak już ktoś ma dostęp admina domenowego i dostęp do wszystkich Windows’owych serwerów, wszystkich danych to to co możemy jeszcze zabić, to możemy monitorować zachowania plikowe. Jeżeli widzimy, że ktoś właśnie generuje akcję pt. dobra to ja tutaj szyfruje i kasuje te pliki, to możemy to zatrzymać. Ten mechanizm oczywiście też ma swoje wady i zalety. Największą wadą jest to, że moim zdaniem on się nie będzie dobrze scalował. Dla serwera, który wykonuje dużo operacji plikowych, to jak on miałby tutaj monitorować każdą aplikację, transakcję, modyfikację każdego pliku. Jest to możliwe tylko jaki to nakład obciążenia tego serwera dodatkowo wprowadza. Skoro musi monitorować to na pewno wprowadza. Ma backup’owe pliki więc musi być jakieś miejsce ich przechowywania, jakaś przestrzeń dyskowa. Musi być obliczona przez procesor ilość danych, która jest kopiowana, przenoszona, dużo różnych operacji, które z punktu widzenia samego założenia mogą nie być złe. Mogą być całkiem fajne ale na pewno nie nadają się dla każdego scenariusza. Teraz rozumienie w którym momencie jaki scenariusz się nadaje, jakie narzędzie będzie pasowało do mojej specyfiki danej firmy jest bardzo kluczowe.

Warto się edukować w tych nowych narzędziach i trendach, monitorowaniu ciągłym, scoringu, monitorowaniu użytkowników. To jest coś, co bez wątpienia do nas idzie i prędzej czy póżniej przyjdzie, jeśli będziesz chciał podwyższać swój poziom bezpieczeństwa o kolejny poziom iść dalej i wyżej. Tym razem to już faktycznie koniec. Dziękuje Ci za uwagę, wszystkie pytania zadawaj w komentarzu. Jeśli chcesz zobaczyć różne przykłady separacji np. tego menagementowego vlanu, sieci, kilku sieci to ja pokazuję jak zabezpieczać infrastrukturę w oparciu głównie o MicroTika. Dla podwyższania stopnia niezadowodności, czyli takiego bezpieczeństwa w naszej infrastrukturze. Czysto konfiguracyjne. W większości rzeczy możesz robić to bez dodatkowych nakładów. Do niektórych rzeczy potrzebujesz więcej MikroTików jak np. do robienia dodatkowego DMZ’a, to w zależności od konfiguracji swojej architektury. Natomiast trzeba sobie jasno powiedzieć, że podwyższanie bezpieczeństwa będzie generowało dodatkowe koszty. Na dziś to tyle, do zobaczenia, usłyszenia już za tydzień.