¿Qué tiene de diferente ser atacado por un atacante profesional?

Descargo de responsabilidad: trabajo en una empresa que desarrolla software de seguridad para mitigar los ataques dirigidos.

Algunos de los métodos que utilizamos son similares a los utilizados por los atacantes (cuando los clientes desean probar sus sistemas).

Por ejemplo, un cliente nos pidió que probáramos su seguridad al realizar ataques de phishing dirigidos. Solo enviamos un correo electrónico al departamento de TI con una combinación de 2 correos electrónicos. Uno fue un correo electrónico aparentemente mal dirigido a la junta con un enlace a un Pdf llamado algo como Executive bonus summary.pdf , el otro pretendía ser un nuevo portal externo para que la empresa lo use durante los Juegos Olímpicos. Con una búsqueda rápida en las redes sociales, podríamos haber hecho correos electrónicos específicos para el usuario, pero eso requeriría mucho tiempo y, en última instancia, no era necesario.

Registramos un nombre de dominio que era visualmente similar al del objetivo, luego lo usamos para alojar páginas falsas (con el mismo estilo que las reales) y enviamos DKIM correos electrónicos firmados (para evitar los filtros de spam).

De los técnicos apuntados, el 43% nos dio sus datos de inicio de sesión corporativos, el 54% intentó descargar el pdf falso (el pdf era solo bytes de basura, por lo que parecía una descarga corrupta. Un hombre lo intentó 5 veces con Firefox, IE y finalmente wget).

Nos dijeron que solo un usuario había detectado el ataque y lo informó a la administración (pero solo después nos dio sus credenciales).

Entonces ... Entrar en la empresa no es imposible. En cuanto a la divulgación de información, nuestro argumento de venta normal incluye una demostración de nosotros que pasa por alto los firewalls / tradicionales DLP . No creo que nunca hayamos fallado a menos que tengan un espacio de aire o que estén usando un buen diodo de datos (aunque el la tasa de exfiltración varía. En un caso, teníamos un cortafuegos de lista blanca restrictiva, así que el software codificaba los documentos en imágenes y seguíamos actualizando la imagen de un perfil en Google. Luego observamos el perfil externamente y descargamos cada fragmento). >

Dicho esto, hemos encontrado una y otra vez que el software se puede solucionar, pero los usuarios son siempre el enlace más débil.

Entonces, para responder a tu pregunta, un ataque dirigido incluye el toque personal. Sitios web personalizados diseñados para engañar a los usuarios, investigar qué software (y versión) se está utilizando para verificar vulnerabilidades conocidas, investigaciones en redes sociales, ingeniería social, etc.

Otro tema que vale la pena considerar, aunque menos común, es el soborno / chantaje. Si estás hablando de actores estatales, no es inconcebible.

Toda la seguridad puede reducirse a modelos de amenazas, evaluación de riesgos, gestión de riesgos y mitigación de riesgos. Entonces, no, las defensas diseñadas para protegerse contra ataques no dirigidos probablemente no funcionarán bien contra ataques dirigidos.

¿Qué hace que un atacante objetivo (o lo que usted llama un "atacante profesional") sea diferente? Simplemente la inteligencia y el dinero que están dispuestos a emplear para atacarte específicamente.

Entonces, sí, si alguien está dispuesto a gastar el dinero, el tiempo y el esfuerzo para atacarte específicamente, entonces tienen una ventaja. La estrategia a defender sería reconocer que este tipo de ataques son un escenario de amenaza realista en su modelo de riesgo e implementar controles para administrar y mitigar estos riesgos.

La diferencia entre un ataque aleatorio y un ataque dirigido puede resumirse muy bien:

• El atacante desea N números de nodos remotos para DDoSing / Spamming / Phishing / etc.

o

• El atacante quiere datos XYZ específicamente en la máquina del usuario2174870.

Si el atacante solo está buscando construir una red de bots (> > 99% de los ataques), simplemente ser más difícil de descifrar que el siguiente tipo es generalmente suficiente. Intento disparar durante dos órdenes de magnitud más difíciles de descifrar, e incluso en ese caso empleé IDS para saber cuándo he sido agrietado. Con suerte.

Sin embargo, si el atacante desea específicamente tus datos, entonces la situación se convierte en una carrera de armamentos y el único movimiento ganador es no jugar ( shutdown -h now ). Además de apagar la máquina, debe asumir que el atacante tiene, según sus recursos, vulnerabilidades de día cero para su pila de aplicaciones, rastreadores de redes, malware en su equipo otro que accede al cuadro de destino, y posiblemente también llaves de $ 5 . Ah, y posiblemente cuenta con 50 personas más inteligentes que tú, con un presupuesto ilimitado. Doble si tienes secretos comerciales , secretos de estado, o publicar comentarios despectivos sobre la regla de uso.

Seré honesto, no puedes defenderte de los ataques dirigidos. Es posible que pueda presupuestar una parte significativa de su presupuesto [de la empresa | personal] para contratar a personas que puedan tener una oportunidad de resistir por un período corto, pero no durará ni siquiera entonces. Es mejor desconectar la máquina, e incluso eso no es una garantía .

Dicho esto, no "no seas un objetivo". Demasiadas personas que temen ser un objetivo es lo que mantiene a la NSA en el poder. Sé un objetivo inteligente. Si su especialidad es la disidencia política, no intente ganar una guerra de tecnología. Reconozca que sus comunicaciones electrónicas son inseguras y planifique su desacuerdo en consecuencia.

Sería totalmente diferente si te atacaran los actores patrocinados por el estado. Si usted es un objetivo de alto valor, pueden emplear no solo recursos de piratería como malware de día cero, sino también videovigilancia, escuchas telefónicas, soborno a sus amigos, phishing por correo electrónico, registro de teclas, acceso a su casa o incluso secuestro y tortura. solo para obtener alguna información.

Eche un vistazo a la cantidad de recursos que la CIA utiliza para cazar Osama Bin Laden incluso cuando tiene No hay acceso directo a internet o línea telefónica. La única estrategia es no pintarte en un objetivo.

Por lo general, el lugar más molesto para tratar de penetrar es un sistema completamente personalizado en un kernel totalmente personalizado (sin comandos familiares, paradigmas de io, infraestructura de gestión de procesos, etc.) estas cosas existen de alguna forma, por supuesto, pero solo en el único sistema / objetivo y usted no tiene ninguna visión). Por suerte para los penetradores, hay muy pocos de los que están en la naturaleza.

Lo inverso también es generalmente cierto: los ataques más difíciles de defender (o incluso detectar) son los completamente personalizados. Casi todos los sistemas en uso se adhieren a una política de "sí por defecto" al menos en alguna parte en ellos por razones de facilidad de uso, ya que los usuarios rechazan cualquier cosa realmente segura porque "realmente segura" también significa "rip-your" -fair-out frustrante de usar ". Esto es un hecho, y también es un hecho que la mayoría de los atacantes no tienen tiempo para hacer nada más que usar las herramientas y los marcos existentes, las herramientas de seguridad comunes disponibles para nosotros están construidas alrededor del caso de ataque mayoritario: un ataque basado en herramientas de cracking de productos básicos .

Un ataque totalmente personalizado (que está bien ejecutado) carecerá de todas las señales indicadoras que buscan las herramientas defensivas de los productos básicos, lo que le deja a menudo con una ventana de oportunidad limitada para descubrir un ataque que comienza basándose únicamente en heurísticas (a menudo, ellos mismos basado simplemente en (y) nuestra mejor comprensión de lo que deberían ser los patrones de recursos de red o sistema históricos "normales"). Esta ventana se cierra una vez que el sistema está enraizado, por supuesto, ya que las herramientas de detección en uso suelen ser lo primero en recibir una actualización maliciosa.

Pero el gasto de este tipo de ataque avanzado es inmenso. Tienes que ser enormemente desafortunado o enormemente valioso como objetivo para ser objeto de tal atención. Este costo es comparable al costo de implementar un sistema totalmente personalizado (el costo de un sistema personalizado suele ser más alto, por supuesto, pero mejorado por la base de implementación: la economía de un ataque es exactamente inversa a esto). El costo de la seguridad siempre se equilibra algo como:

• molestia que trae la seguridad real
• El costo fiscal / esfuerzo / tiempo de desarrollar una defensa seria

VS

• La criticidad de un ataque real de tipo X

Teniendo en cuenta cuántos sistemas asumen cosas como http - > Los redireccionamientos de https, DNS, IPSec, cualquiera de los bajillion-Bogus-CAs-in-IE, etc. son imposibles de comprometer (har har!), ciertamente parece que el elemento de criticidad tiene muy poco peso. Por lo tanto, los sistemas de productos remendados tardíamente con las más mínimas herramientas de detección mínimas parecen estar a la orden del día. Cualquier cosa que pueda hacer más allá de eso eleva el costo de romperlo e incluso un gobierno se moverá hacia un objetivo más fácil a menos que tenga alguna razón específica para dirigirse a usted. Consejo no muy feliz, supongo, pero es el mundo en el que vivimos a partir de ahora.

Simplemente responderé en una cita de Jacob Appelbaum , sobre quien probablemente no tenga que hablar.

Durante el primer Congreso de privacidad & Vigilancia realizada en la EPFL en Suiza, Applebaum dijo (estoy transcribiendo):

  

"Si la NSA quiere ingresar a cualquier máquina o sistema en el mundo, debemos asumir que están dentro".

"Hackear" es fácil. Hay herramientas por ahí que te brindarán una hermosa GUI para que ejecutes cualquiera de una biblioteca de exploits, herramientas que se conecten a WiFi, ejecuten MiTM, etc. Esto, junto con intentos torpes y generalizados de phishing y otras redes sociales. La ingeniería, constituye una gran parte de los ataques no dirigidos. En resumen, son poco originales. Esto significa que la mayoría de los AV buenos protegerán contra la mayoría de los ataques generales, que a los atacantes no les importa, porque solo necesitan encontrar a alguien sin AV. Un ataque individual y dirigido es mucho más peligroso, ya que un atacante experto no solo examinará la topografía de su red y tratará de comprender sus medidas de seguridad, sino que también observará a sus empleados para tratar de descubrir cómo atacar a los llamados "8va capa" (personas). Uno de los ejemplos más infames de esto fue Kevin Mitnick. Estoy seguro de que tenía talento en el campo de las computadoras, pero realmente se destacó en ingeniería social, tanto que una vez irrumpió en una instalación segura, CONSIGUIÓ UNA PROMOCIÓN, y aún así logró convencer al guardia de seguridad de que lo dejara ir. / p>

Las compañías de AV tienen todas las "herramientas de pirateo" que existen y hacen todo lo posible para negar el riesgo que representan para sus clientes. Los ataques que tienen muchas más posibilidades de funcionar son los que alguien diseña para superar TUS firewalls, permanecer sin ser detectado por TU AV y borrar TUS registros cuando hayan terminado.

Otro ángulo que no he encontrado en las respuestas. enlace

  

Encontramos 4 formas diferentes (incluido el ataque de Kuhn) para recuperar total o parcialmente las pulsaciones de los teclados cableados a una distancia de hasta 20 metros, incluso a través de las paredes. Probamos 12 modelos diferentes de teclado cableado e inalámbrico comprados entre 2001 y 2008 (PS / 2, USB y computadora portátil). Todos son vulnerables a al menos uno de nuestros 4 ataques.

Esto es de un instituto de investigación civil hace cinco años . Estudie los estándares de protección enumerados enlace aquí.

FWs, antivirus y otras defensas orientadas a la prevención solo pueden bloquear de manera efectiva los ataques que se han demostrado malos. Es decir, si un cierto tipo de tráfico o un determinado archivo es malo el 100% del tiempo, se puede bloquear efectivamente. Si bien las herramientas de prevención pueden no ayudar con amenazas más avanzadas, tienen un uso para bloquear el tráfico mal conocido. Hay una gran cantidad de tráfico / archivos malos que deben bloquearse para defender su organización de manera efectiva. Eso es muy valioso pero no contra las amenazas avanzadas. Es posible crear archivos que parezcan ser buenos y ocultar tráfico malo en tráfico bueno. Eso requiere diferencia de defensas para detectar.

Cuando te metes en los ataques avanzados y patrocinados por el estado, necesitas enfocar las cosas de manera integral. Es posible que no tengan que dirigirse directamente a usted para obtener sus datos si se encuentra en otro lugar. Si los terceros con los que trabajas son objetivos más fáciles, probablemente serán los primeros atacados. Esto depende de que usted identifique la forma más fácil de obtener sus datos y de poner mitigaciones para administrar ese riesgo.

La mejor manera de defenderse contra amenazas avanzadas es centrarse en la detección. Los atacantes superarán las defensas preventivas, pero sus acciones una vez que estén en la red deberían ser visibles para usted. Aquí es donde entra en juego la ventaja del defensor. La ofensa tiene la ventaja de entrar porque solo necesitan encontrar una vulnerabilidad para explotar. La defensa tiene la ventaja dentro de la red. Este es su campo de origen, debe saberlo bien, debería haber capas de defensas en su lugar para ralentizar a los atacantes, lo que le da tiempo para detectarlos, aislarlos y bloquearlos. Pensando de manera holística nuevamente, debe conocer los posibles objetivos y los puntos débiles de su organización. Deben tener capas de mitigaciones alrededor de ellos.

La detección se reduce a encontrar y detectar un comportamiento anormal. Es posible que haya una alerta para un ataque que no se encontró entre la pila de otras alertas. Un atacante no debería poder borrar sus pistas en su red. Su actividad está en algún lugar de su infraestructura, necesita ojos para ver esa actividad y el conocimiento de su infraestructura para saber dónde buscar. Una organización debe tener un inventario de activos para saber cuándo se agregan nuevos dispositivos, líneas de base para saber qué comportamiento es normal, por lo que se destaca el comportamiento anormal, la administración / monitoreo de configuraciones para saber cuándo se están manipulando los archivos del sistema, el monitoreo basado en la red y el host para ver el tráfico y actividades, fuertes controles de acceso para frenar el movimiento lateral dentro de su infraestructura, creo que se entiende el punto. Cuantos más controles tengas, mejor será tu visibilidad. Ver controles de seguridad críticos SANS. Dentro de su red, cualquier atacante tendrá que dejar evidencia de sus actividades. Depende de usted contar con herramientas para ver esas actividades y saber dónde buscar.

Al no saber nada más sobre un atacante, puede asumir que querrá establecer una persistencia una vez que ingresen, encuentren datos y extraigan datos. Entrar es donde entran sus herramientas defensivas. Se debe permitir el tráfico válido, lo que le permite concentrarse en cómo exponer a un atacante que está buscando datos y extrayendo datos. Observe sus posibles datos de destino y puntos de salida. Esos serán los puntos más fáciles de encontrar, ya que un atacante avanzado hará todo lo posible para integrarse en el tráfico válido y ser invisible.

Es técnicamente posible establecer suficientes controles para garantizar que no se verá comprometido desde una perspectiva de TI.

El caso extremo es apagar y retirar todo el equipo informático. ¿Ver? Ninguna computadora significa que ninguna computadora estará comprometida. De acuerdo, ¿qué tal si permitimos computadoras, pero no redes: todo está vacío? No estamos garantizados invulnerables, pero estamos cerca. Bien, ¿qué tal si permitimos redes, pero solo en máquinas sin contenido sensible y sin almacenamiento persistente de ningún tipo? No hay descargas o ejecución de código sin firmar. O tal vez permitir que las descargas se conserven en la lista blanca de aplicaciones. Y así sucesivamente.

Hay una continuidad de seguridad entre "Absolutamente impenetrable y completamente inútil" a "extremadamente conveniente e inseguro como el infierno" con seguridad siempre en desacuerdo con la conveniencia. Si una medida de seguridad no está en desacuerdo con la conveniencia, entonces no se considera "seguridad", simplemente se le llama "práctica estándar".

Pero este es el punto importante: A menos que su seguridad de TI sea un desastre de Home Depot , su componente más débil es su gente, no sus sistemas. La seguridad solo funciona cuando en realidad se implementa, y los sistemas de una compañía rara vez están a la altura de los propios estándares de la compañía.

Además, la ingeniería social siempre gana. El phishing es, con mucho, el ataque más efectivo contra objetivos endurecidos, y poco se está haciendo para mitigar esa amenaza. El atacante siempre ha tenido la ventaja; el atacante tiene que ganar solo una vez, mientras que el defensor tiene que ganar todas las veces para mantenerse seguro. Y la ingeniería social significa que el atacante puede eliminar la lucha de TI y explotar la interacción humana para obtener su victoria.

Sí, puede estar seguro, pero significa tratar su tecnología como hostil y sus empleados como atacantes. Significa poner barreras a las interacciones y la interoperación. Significa rechazar las pequeñas cosas que las personas dan por sentado. Y significa que su operación pagará un gran precio por esa seguridad. Pero es posible.

Para que sea lo más breve y dulce posible: (aunque puedo agregar detalles más adelante si la comunidad lo requiere)

Ataques aleatorios

Generalmente, se dirige a una vulnerabilidad específica en una versión específica de un software específico. El objetivo aquí es probarlo contra todas las máquinas posibles y no todas las máquinas tendrán la vulnerabilidad, y las soluciones IDS / IPS no permitirán que se ejecute el mismo tipo de ataque contra el resto de sus clientes tan pronto como se detecte. Este tipo de ataque "Hail Mary" se frustrará rápidamente por los buenos.

Ataques dirigidos

Se trata del objetivo final que generalmente es de una a un puñado de computadoras que todas pertenecen a una entidad específica. Un atacante que salga a buscar uu va a gastar tiempo y dinero para recopilar información sobre todo su hardware y software. Ellos comprarán el mismo equipo que maneja tu fábrica si es necesario. Pasarán innumerables horas buscando defectos en cada parte de su sistema. Una vez que hayan encontrado ese defecto y lo hayan probado en su réplica o emulación de su sistema, lo ejecutarán una vez y actuarán rápido porque saben lo que están buscando. Es probable que esto pase desapercibido en los registros porque no aparece en cientos de computadoras en todo el mundo, no se realizan escaneos en grandes rangos de direcciones IP para que lo detecte un ISP. Esencialmente, el ataque nunca ocurrió a menos que vigile muy de cerca sus registros y observe que se cargaron algunos datos críticos desde su extremo que no deberían haber sido.

Aparte: a menos que valga la pena, no es probable que ocurra un ataque como este, pero si lo hace, parece que lo único que puede hacer es detectarlo y no prevenirlo. Pero, de nuevo, siempre hay formas de evitar la detección también.

Las técnicas son las mismas que para los ataques aleatorios y no dirigidos. Lo que realmente distingue este tipo de ataques es:

• tiempo disponible
• dinero disponible para comprar un exploit no revelado
• esfuerzo gastado
• superficie de ataque atacada
• trabajos posteriores a la explotación

Generalmente con ataques aleatorios, no dirigidos:

• su esfuerzo en términos de tiempo se limitará principalmente a un solo intento
• intentará explotar un aspecto único de toda su superficie de ataque
• Una vez que los ataques tengan éxito, el trabajo se realizará principalmente
• será más fácil limpiar el objetivo de los ataques

En lugar de un ataque dirigido profesional:

• su esfuerzo en términos de tiempo será más largo y continuo a lo largo del tiempo
  • Probablemente más de una persona participará como atacante
• la superficie de ataque dirigida será toda la superficie de ataque
  • se probarán todos los puntos débiles de la superficie de ataque
• Una vez que pueda entrar en sus perímetros, el trabajo no se realizará
  • los ataques continuarán internamente para garantizar un acceso más fácil
• será realmente difícil negar un mayor acceso a los sistemas / redes después de la interrupción:
  • las puertas traseras se colocarán alrededor
  • se robarán las credenciales
  • la debilidad interna y un mayor conocimiento de la red / sistemas se harán incrementando más la superficie de ataque (es decir, la WAN de los socios comerciales, etc.)