Listelerle Düşünen Savunmacılar, Grafiklerle Düşünen Saldırganlar (2015)

 (github.com/JohnLaTwC)
3 puan yazan GN⁺ 2024-08-26 | 1 yorum | WhatsApp'ta paylaş

Savunmacının düşünme biçimi

  • Birçok ağ savunması, düşmanla temas kurulmadan önce yanlış yönde başlar
  • Savunmacılar varlıkları korumaya, önceliklendirmeye ve işlevlerine göre sınıflandırmaya odaklanır
  • Savunmacılar; sistem yönetim servisleri, varlık envanteri veritabanları, BCDR elektronik tabloları gibi ortamlardaki varlık listeleriyle çevrilidir
  • Sorun şu ki savunmacıların elinde varlık listeleri değil, aslında bir grafik vardır
  • Varlıklar güvenlik ilişkileriyle birbirine bağlıdır
  • Saldırganlar spear phishing gibi tekniklerle grafiğin bir yerinden içeri sızar ve zayıf sistemleri bulmak için grafiği dolaşır

Grafik nedir?

  • Bir ağın grafiği, varlıklar arasındaki güvenlik bağımlılıklarını temsil eder
  • Ağ tasarımı, yönetim, kullanılan yazılım ve servisler, kullanıcı davranışları gibi unsurlar grafiği etkiler
  • Örneğin, etki alanı denetleyicisini (DC) yöneten Bob'un iş istasyonu korunmuyorsa DC tehlikeye girebilir
  • Bob'un iş istasyonunda yönetici yetkisine sahip başka hesaplar da DC'yi tehlikeye atabilir
  • Saldırganlar bu yollar üzerinden DC'yi tehlikeye atabilir

Mallory'nin altı adımı

  • Saldırgan, ele geçirilmiş bir cihazda bekler ve yüksek değerli bir hesap oturum açana kadar bekler
  • Örnek grafik üzerinden saldırganın nasıl yüksek değerli varlıklara ulaşabildiği açıklanır
  • Bir terminal sunucusu ele geçirilirse birçok kullanıcının kimlik bilgisi dökümü alınabilir
  • Saldırgan, grafiği dolaşarak yüksek değerli varlıklara ilerleyebileceği birden çok yol keşfeder
  • Yüksek değerli varlıkları korumak için tüm bağımlı unsurların da aynı düzeyde korunması gerekir

Güvenlik bağımlılıkları

  • Windows ağlarında kullanıcılar belirli türde oturum açtığında kimlik bilgileri çalınabilir
  • Çeşitli ilişkiler güvenlik bağımlılıkları oluşturur
    • Ortak parola kullanan yerel yönetici hesapları
    • Çok sayıda kullanıcı için oturum açma betikleri barındıran dosya sunucuları ve yazılım güncelleme sunucuları
    • İstemci cihazlara yazıcı sürücüleri sağlayan yazıcı sunucuları
    • Akıllı kartla oturum açma için sertifika veren sertifika otoriteleri
    • Veritabanı sunucusunda kod çalıştırabilen veritabanı yöneticileri gibi

Grafiği yönetmek

  • Savunmacıların yapabilecekleri:
    • Ağı görselleştirerek listeleri grafiğe dönüştürmek
    • Grafiği budayan kontroller uygulamak
      • Geniş bağlantısallık yaratan istenmeyen edge'leri incelemek
      • Yönetici sayısını azaltmak
      • İki faktörlü kimlik doğrulama kullanmak
      • Kullanıcı hesabı ele geçirildiğinde kimlik bilgisi rotasyonu yaklaşımı uygulamak
      • Forest trust ilişkilerini yeniden değerlendirmek

Liste odaklı düşünmeyi tespit etmek

  • Savunmacılar, saldırganların savaş alanını görselleştirerek avantaj elde etmesine izin vermemelidir
  • Savunmacılar ağ hakkında tam bilgiye sahip olabilir
  • Saldırganlar ağı parça parça incelemek zorundadır
  • Savunmacılar, saldırganların grafiği nasıl anladığından ders çıkarmalıdır
  • Gerçekte yönetilebilir olanı yönetmek, hazırlıklı savunmacının düşünme biçimidir

Ek okumalar

  • Çeşitli saldırı grafikleri üzerine makaleler:
    • Heat-ray: Combating Identity Snowball Attacks Using Machine Learning, Combinatorial Optimization and Attack Graph
    • Two Formal Analyses of Attack Graphs
    • Using Model Checking to Analyze Network Vulnerabilities
    • A Graph-Based System for Network-Vulnerability Analysis
    • Automated Generation and Analysis of Attack Graphs
    • Modern Intrusion Practices
    • Attack Planning in the Real World

GN⁺ özeti

  • Bu yazı, ağ savunmasının düşünme biçimi ile saldırganın yaklaşımını karşılaştırarak açıklar
  • Savunmacıların ağı varlık listeleriyle değil, grafik üzerinden anlaması gerektiğini vurgular
  • Saldırganlar, grafik üzerinden zafiyetleri araştırır ve saldırı yollarını bulur
  • Savunmacılar, ağı görselleştirip grafiği yöneterek güvenliği güçlendirebilir
  • Bu yazı, ağ güvenliğiyle ilgilenenler için yararlıdır ve saldırganlarla savunmacılar arasındaki düşünme farkını anlamaya yardımcı olur

İlgili okumalar

1 yorum

 
GN⁺ 2024-08-26
Hacker News görüşü
  • Saldırganlar, belirli bir hedefe ulaşmak için derinlemesine araştırma yapabilme ayrıcalığına sahiptir
  • Savunmacılar, birden çok sinyali ve tehdit vektörünü izleyip önceliklendirmek zorundadır
    • Savunmacılar, varlıkları yönetmek için listeler kullanır
    • Listeler aracılığıyla varlıkları güncel tutar, sınırlı güven varsayar ve kaynakları izole eder
    • Bağımlılık grafiği oluşturmadan önce önce liste hazırlanmalıdır
  • Karmaşık uyarlanabilir sistemler, bileşenler ve bunların etkileşimleri için mesajlaşma veriyoluna sahiptir
    • Karıncaları tek tek yakalamaktan ziyade feromon izini bozmak daha etkilidir
  • Savunmacının rolü yalnızca savunma değildir
    • Siber güvenlik, asıl iş değil yan bir roldür
    • Saldırganların tek amacı sistemi hedef almaktır
  • Saldırganlar zayıflıkları bulur ve yalnızca bir kez başarılı olmaları yeterlidir
  • Savunmacılar her şeyi aynı anda korumak zorundadır
  • Saldırganlar grafik kullanmaz
    • Web güvenliğinde grafik temelli düşünme geçerli değildir
    • Sızma testi raporları grafik değil, yapılacaklar listesi içerir
    • Savunmacılar çoğu zaman önemsiz işlere zaman harcar
  • Siber güvenlik şirketlerinde çalışma deneyimim var
    • Pek çok siber güvenlik pratiğinin anlamsız olduğunu düşünüyorum
  • Savunma birçok unsurdan oluşur
    • Etkili kontroller geliştirme, saldırıları tespit etme, olay müdahalesi vb.
    • Savunma, ağ grafiğini dikkate alan mimari kararları da içerir
  • Savunmadaki en zayıf halka, genel dayanıklılığı belirler
    • Kontrol listesi temelli güvenlik, altyapı sorunlarını göz ardı eder
    • SBOM kullanılarak bileşen ilişkileri haritalanabilir
  • Ağdaki davetsiz misafirleri yakalamak için honeypot gerekir
    • Sahte şifreleme kimlik bilgileri, sahte parola depoları vb.