Những người phòng thủ tư duy bằng danh sách, những kẻ tấn công tư duy bằng đồ thị (2015)

 (github.com/JohnLaTwC)
3 điểm bởi GN⁺ 2024-08-26 | 1 bình luận | Chia sẻ qua WhatsApp

Cách tư duy của người phòng thủ

  • Nhiều hoạt động phòng thủ mạng bắt đầu sai hướng ngay từ trước khi tiếp xúc với đối thủ
  • Người phòng thủ tập trung vào việc bảo vệ tài sản, xác định mức độ ưu tiên và phân loại theo chức năng nghiệp vụ
  • Người phòng thủ bị bao quanh bởi các danh sách tài sản trong dịch vụ quản lý hệ thống, cơ sở dữ liệu kiểm kê tài sản, bảng tính BCDR, v.v.
  • Vấn đề là người phòng thủ thực ra đang có một đồ thị chứ không phải một danh sách tài sản
  • Các tài sản được liên kết với nhau bằng các quan hệ bảo mật
  • Kẻ tấn công sử dụng các kỹ thuật như spear-phishing để xâm nhập vào đâu đó trong đồ thị, rồi lần theo đồ thị để tìm các hệ thống dễ bị tấn công

Đồ thị là gì?

  • Đồ thị của mạng thể hiện các phụ thuộc bảo mật giữa các tài sản
  • Thiết kế mạng, cách quản trị, phần mềm và dịch vụ được sử dụng, cũng như hành vi người dùng đều ảnh hưởng đến đồ thị
  • Ví dụ, nếu máy trạm của Bob dùng để quản trị domain controller (DC) không được bảo vệ thì DC có thể bị xâm phạm
  • Những tài khoản khác có quyền quản trị trên máy trạm của Bob cũng có thể làm lộ DC
  • Kẻ tấn công có thể xâm phạm DC thông qua các đường đi này

Sáu bước của Mallory

  • Kẻ tấn công chờ trên thiết bị đã bị xâm phạm cho đến khi một tài khoản có giá trị cao đăng nhập
  • Một đồ thị ví dụ giải thích cách kẻ tấn công có thể tiếp cận tài sản giá trị cao
  • Nếu xâm phạm được terminal server, có thể dump thông tin xác thực của nhiều người dùng
  • Kẻ tấn công khám phá đồ thị và phát hiện nhiều đường đi để tiến đến tài sản giá trị cao
  • Để bảo vệ tài sản giá trị cao, mọi thành phần phụ thuộc cũng phải được bảo vệ ở mức tương đương

Phụ thuộc bảo mật

  • Trong mạng Windows, thông tin xác thực có thể bị đánh cắp khi người dùng thực hiện một số kiểu đăng nhập nhất định
  • Nhiều loại quan hệ khác nhau tạo ra phụ thuộc bảo mật
    • Tài khoản quản trị viên cục bộ dùng chung mật khẩu
    • File server và máy chủ cập nhật phần mềm lưu trữ login script cho nhiều người dùng
    • Print server cung cấp printer driver cho các thiết bị client
    • Cơ quan cấp chứng chỉ phát hành chứng chỉ cho đăng nhập bằng smart card
    • Quản trị viên cơ sở dữ liệu có khả năng thực thi mã trên database server, v.v.

Quản lý đồ thị

  • Những việc người phòng thủ có thể làm:
    • Trực quan hóa mạng để chuyển danh sách thành đồ thị
    • Triển khai các biện pháp kiểm soát để cắt tỉa đồ thị
      • Kiểm tra các cạnh không mong muốn tạo ra mức độ liên kết lớn
      • Giảm số lượng quản trị viên
      • Sử dụng xác thực hai yếu tố
      • Áp dụng cách tiếp cận xoay vòng thông tin xác thực khi tài khoản người dùng bị xâm phạm
      • Xem xét lại quan hệ tin cậy giữa các forest

Phát hiện tư duy kiểu danh sách

  • Người phòng thủ không nên để kẻ tấn công chiếm ưu thế khi hình dung chiến trường
  • Người phòng thủ có thể có thông tin đầy đủ về mạng
  • Kẻ tấn công phải nghiên cứu mạng theo từng mảnh
  • Người phòng thủ nên rút ra bài học từ cách kẻ tấn công hiểu đồ thị
  • Quản trị trong thực tế là cách tư duy của một người phòng thủ có chuẩn bị

Đọc thêm

  • Các bài nghiên cứu về nhiều loại đồ thị tấn công:
    • Heat-ray: Combating Identity Snowball Attacks Using Machine Learning, Combinatorial Optimization and Attack Graph
    • Two Formal Analyses of Attack Graphs
    • Using Model Checking to Analyze Network Vulnerabilities
    • A Graph-Based System for Network-Vulnerability Analysis
    • Automated Generation and Analysis of Attack Graphs
    • Modern Intrusion Practices
    • Attack Planning in the Real World

Tóm tắt của GN⁺

  • Bài viết này so sánh cách tư duy trong phòng thủ mạng với cách tiếp cận của kẻ tấn công
  • Bài viết nhấn mạnh rằng người phòng thủ cần hiểu mạng thông qua đồ thị thay vì danh sách tài sản
  • Kẻ tấn công dùng đồ thị để lần tìm điểm yếu và đường đi tấn công
  • Người phòng thủ có thể tăng cường bảo mật bằng cách trực quan hóa mạng và quản lý đồ thị
  • Bài viết hữu ích cho những ai quan tâm đến an ninh mạng và giúp hiểu sự khác biệt trong tư duy giữa kẻ tấn công và người phòng thủ

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-08-26
Ý kiến trên Hacker News
  • Kẻ tấn công có đặc quyền đào sâu để đạt được một mục tiêu cụ thể
  • Người phòng thủ phải theo dõi nhiều tín hiệu và vector đe dọa, đồng thời phải sắp xếp ưu tiên
    • Người phòng thủ dùng danh sách để quản lý tài sản
    • Thông qua danh sách, họ giữ tài sản luôn được cập nhật, giả định mức độ tin cậy hạn chế và cô lập tài nguyên
    • Trước khi tạo đồ thị phụ thuộc, trước tiên phải lập danh sách
  • Các hệ thống thích nghi phức tạp có các thành phần và bus nhắn tin cho sự tương tác giữa chúng
    • Phá hủy đường mùi pheromone hiệu quả hơn là bắt từng con kiến riêng lẻ
  • Vai trò của người phòng thủ không chỉ đơn thuần là phòng thủ
    • An ninh mạng là vai trò phụ, không phải công việc chính
    • Kẻ tấn công có mục tiêu duy nhất là tấn công hệ thống
  • Kẻ tấn công tìm điểm yếu và chỉ cần thành công một lần
  • Người phòng thủ phải bảo vệ mọi thứ cùng lúc
  • Kẻ tấn công không sử dụng đồ thị
    • Trong bảo mật web, tư duy đồ thị không áp dụng
    • Báo cáo kiểm thử xâm nhập chứa danh sách việc cần làm chứ không phải đồ thị
    • Người phòng thủ thường tiêu tốn thời gian vào những việc không quan trọng
  • Tôi từng làm việc tại một công ty an ninh mạng
    • Cảm thấy nhiều thực hành an ninh mạng là vô nghĩa
  • Phòng thủ được cấu thành từ nhiều yếu tố
    • Bao gồm phát triển kiểm soát hiệu quả, nhận diện tấn công, ứng phó sự cố, v.v.
    • Phòng thủ bao gồm các quyết định kiến trúc có tính đến đồ thị mạng
  • Mắt xích yếu nhất của phòng thủ quyết định sức mạnh tổng thể
    • Bảo mật dựa trên checklist bỏ qua các vấn đề hạ tầng
    • Có thể dùng SBOM để lập bản đồ quan hệ giữa các thành phần
  • Cần honeypot để bắt kẻ xâm nhập trong mạng
    • Thông tin xác thực mã hóa giả, kho lưu trữ mật khẩu giả, v.v.