Język programowania C został opracowany w 1972 roku przez Dennisa Ritchiego z AT&T Bell Labs. Język ten był intensywnie używany w systemie Unix i dlatego jest wszechobecny. W rzeczywistości wiele podstawowych programów sieciowych i systemów operacyjnych, a także dużych aplikacji, takich jak Microsoft Office Suite, Adobe Reader i przeglądarki, jest napisanych w kombinacjach C, C++, Objective-C, Assembly i kilku innych języków niższego poziomu
Dlaczego warto uczyć się programowania? Etyczni hakerzy powinni studiować programowanie i dowiedzieć się jak najwięcej na ten temat, aby znaleźć luki w programach i je naprawić, zanim nieetyczni hakerzy i czarne kapelusze wykorzystają je. Wielu specjalistów ds. bezpieczeństwa podchodzi do programowania z nietradycyjnej perspektywy, często nie mając żadnego doświadczenia w programowaniu przed rozpoczęciem kariery. Polowanie na błędy to w dużej mierze wyścig piechoty: jeśli istnieje luka w zabezpieczeniach, kto pierwszy ją znajdzie? Celem naszym jest wyposażenie cię w umiejętności przetrwania niezbędne do zrozumienia nadchodzących sekcji, a później do znalezienia luk w oprogramowaniu, zanim zrobią to czarne kapelusze.
Tu znalazleś przegląd tematu hakowania w szarym kapeluszu, które definiujemy jako hakowanie etyczne — wykorzystywanie ataku do celów obronnych. Zaczęliśmy od tła i historii tego wyrażenia. Następnie omówiliśmy historię ujawniania luk w zabezpieczeniach i jego powiązanie z etyką hakowania. Na koniec przenieśliśmy naszą uwagę na przeciwnika, hakera z czarnym kapeluszem, i nauczyliśmy się omawiać, opisywać, udostępniać i polować na jego działania, korzystając ze struktury MITRE ATT&CK.
Jako inżynier bezpieczeństwa możesz opracować model zagrożeń w oparciu o framework MITRE ATT&CK. Ten model zagrożenia można opracować za pomocą nawigatora MITRE ATT&CK (więcej informacji można znaleźć w sekcji „Dalsze czytanie”). Nawigatora można użyć do wybrania określonego zestawu APT, który można pobrać w postaci arkusza kalkulacyjnego. Następnie możesz użyć tego arkusza kalkulacyjnego do przeprowadzenia oceny luk, wykorzystując wyniki ćwiczenia CTE i używając kolorów dla poszczególnych technik, aby zarejestrować poziom pokrycia w odniesieniu do tego APT. Wreszcie ten model zagrożeń wraz z powiązaną mapą zasięgu można wykorzystać do zaprojektowania przyszłych kontroli w celu uzupełnienia tych luk.
Threat Hunting to nowy trend w dziedzinie cyberbezpieczeństwa. W tym momencie warto zobaczyć powiązanie ze strukturą MITRE ATT&CK. Korzystając ze schematu, łowca zagrożeń może wybrać zestaw APT w sposób podobny do ćwiczenia CTE, ale w tym przypadku w celu opracowania wielu hipotez ataku. Następnie łowca zagrożeń może wykorzystać dane wywiadowcze dotyczące zagrożeń cybernetycznych wraz ze świadomością sytuacyjną środowiska sieciowego, aby potwierdzić lub obalić te hipotezy. Od dawna wiemy, że najlepszymi obrońcami są napastnicy (czyli hakerzy w szarych kapeluszach). Teraz mamy narzędzie do metodycznego ścigania atakujących, wykorzystując bazę wiedzy zawartą w frameworku do systematycznego ścigania ich po naruszeniu.
Kiedy już wiesz, jak działa przeciwnik, możesz emulować jego TTP i określić, czy (1) Twoje czujniki są prawidłowo ustawione i wykrywają to, co powinny wykryć oraz (2) czy Twoje możliwości monitorowania incydentów są „aktywne” i czy procedury reagowania są odpowiednie . Na przykład, jeśli stwierdzisz, że APT28 stanowi zagrożenie dla Twojej organizacji ze względu na jej zainteresowanie Twoją branżą, możesz zastosować procedury określone dla tego APT i przeprowadzić kontrolowane ćwiczenie, aby ocenić zdolność Twojej organizacji do zapobiegania, wykrywania i przeciwstawiania się atak tego APT. W ten sposób emulacja zagrożeń cybernetycznych (CTE) skutecznie mierzy skuteczność i utrzymuje czujność funkcji bezpieczeństwa obronnego. Jednym ze skutecznych narzędzi w tym zakresie jest narzędzie Atomic Red Team firmy Red Canary.
PRZESTROGA: Przed ich wykonaniem należy skoordynować ćwiczenia dotyczące zagrożeń cybernetycznych ze swoim szefem. Zostałeś ostrzeżony! Jeśli masz centrum operacji bezpieczeństwa (SOC), możesz także chcieć skoordynować działania z liderem tej organizacji, ale zaleca się, aby analitycy nie wiedzieli, że ćwiczenie ma miejsce, ponieważ ich reakcja jest częścią testu.
Tabela przedstawia listę taktyk w wersji 8 ATT&CK. Jak widać, platforma MITRE ATT&CK zawiera mnóstwo przydatnych informacji, które można zastosować w całej dziedzinie cyberbezpieczeństwa. Podkreślimy tylko kilka zastosowań.
Teraz, gdy masz już podstawową wiedzę na temat ataków APT i łańcucha cyberzabójstw, czas omówić strukturę MITRE ATT&CK. Struktura MITRE ATT&CK sięga głębiej niż Cyber Kill Chain i pozwala nam dotrzeć do podstawowych taktyk, technik i procedur (TTP) atakującego, a tym samym uzyskać bardziej szczegółowe podejście do udaremnienia atakującego na poziomie TTP. Jak stwierdziła Katie Nickels, kierownik ds. analizy zagrożeń w MITRE32, ramy te stanowią „bazę wiedzy na temat zachowań przeciwnika”. Struktura jest zorganizowana z taktyką u góry, która, jak możesz zauważyć, zawiera niektóre etapy łańcucha Cyber Kill Chain, ale wiele innych. Następnie techniki są przedstawione w ramach każdej taktyki i zostały skrócone dla zwięzłości na pokazanej tutaj ilustracji.
UWAGA : Chociaż przykładowe procedury są powiązane z podtechnikami, ramy ATT&CK nie zawierają wyczerpującej listy procedur i nie są takie zamierzone. Aby uzyskać więcej informacji, zobacz często zadawane pytania dotyczące witryny. Procedury przedstawiają odmiany technik znanych ze stosowania APT i są powiązane ze stronami poświęconymi technikom. Na przykład w przypadku techniki Spear Phishing załączników (T1566.001) grupa APT19 wysyła formaty RTF i XLSM w celu dostarczenia początkowych exploitów. Framework jest często aktualizowany i udostępniane są nowe wersje. Aktualną listę znajdziesz na stronie internetowej.
W każdej fazie łańcucha cyberzabijania istnieją metody radzenia sobie z aktywnym atakiem i przerywania łańcucha cyberzabijania przeciwnika, co omówiono poniżej.
Wykrycie
W każdej fazie możesz wykryć atakującego, ale często łatwiej jest wykryć atak w jego początkowej fazie. Im dalej atakujący wnika w sieć, tym bardziej zaczyna wyglądać jak zwykły użytkownik i tym trudniej go wykryć. Jest tu jeden znaczący wyjątek – metoda „oszukiwania”, którą omówimy za chwilę.
Zaprzeczenie
Skuteczną metodą rozprawienia się z atakującym jest „odmowa” mu dostępu do wrażliwych zasobów. Okazuje się to jednak trudniejsze, niż się wydaje. Ponownie, jeśli osoba atakująca po prostu wykorzystuje odkrytą lukę, która na przykład omija wbudowane mechanizmy kontroli dostępu, odmowa dostępu do tego systemu może nie być możliwa, szczególnie jeśli jest on podłączony do Internetu. Jednak w przypadku systemów wtórnych dalsza segmentacja sieci i dostęp należy zastosować mechanizmy kontrolne, aby odeprzeć atakującego. Na skrajnym krańcu tej obrony znajduje się rozwiązanie Zero Trust, które staje się popularne i, jeśli zostanie właściwie wdrożone, znacznie ulepszy tę metodę.
Zakłócanie
Zakłócenie działania atakującego wiąże się ze zwiększeniem jego kosztów poprzez nowe formy programów antywirusowych lub aktualizacje systemu operacyjnego, które wprowadzają nowe formy ochrony pamięci, takie jak zapobieganie wykonywaniu danych (DEP), randomizacja układu przestrzeni adresowej (ASLR) i Stack Canaries. Wraz z ewolucją atakującego powinniśmy ewoluować także my, obrońcy. Jest to szczególnie ważne w przypadku systemów zewnętrznych, ale nie możemy na tym poprzestać: wszystkie systemy i wewnętrzne segmenty sieci należy uznać za podatne na ataki i zastosować metody zakłócające działanie atakującego, spowalniając go i kupując cenny czas na ich wykrycie.
Degradowanie
Zdegradowanie atakującego oznacza ograniczenie jego możliwości odniesienia sukcesu. Na przykład możesz ograniczyć dane wychodzące powyżej pewnego progu, aby ograniczyć eksfiltrację. Co więcej, możesz blokować cały ruch wychodzący, z wyjątkiem zatwierdzonych i uwierzytelnionych serwerów proxy, co może dać ci czas na wykrycie takich prób, zanim osoba atakująca to wykryje i użyje tych serwerów proxy.
Zwodzenie
Oszukiwanie wroga jest znowu tak stare jak sama wojna. Jest to podstawowy element operacji cybernetycznych i jest najskuteczniejszy dla atakującego, który przedarł się przez wszystkie inne zabezpieczenia, ale czai się i węszy w sieci wewnętrznej. Istnieje nadzieja, że osoba atakująca nadepnie na jedną z cyfrowych pułapek na myszy (tj. Honeypotów), które uruchomiłeś w celu wykrycia tego właśnie działania.
Zniszczenie
Jeśli nie pracujesz dla sił cybernetycznych na poziomie państwa, prawdopodobnie nie będziesz w stanie „włamać się”. Możesz jednak zniszczyć przyczółek atakującego we własnej sieci, gdy zostanie on wykryty. W tym miejscu mała uwaga: będziesz musiał dokładnie zaplanować i upewnić się, że wyciągniesz atakującego z korzeniami; w przeciwnym razie możesz rozpocząć niebezpieczną grę w chowanego, co rozgniewa atakującego, który może znajdować się w Twojej sieci głębiej, niż początkowo sądziłeś.
Wreszcie, po całym tym wysiłku, który może zająć tylko sekundy, przeciwnik wykona działania na celach, co jest również wyrażeniem ilitarycznym, co oznacza: ukończ misję, ukończ zadanie, które miałeś do wykonania. Często wiąże się to z poruszaniem się po całej organizacji, odkrywaniem poufnych informacji, zdobywaniem przywilejów administracyjnych przedsiębiorstwa, ustanawianiem większej liczby form trwałości i dostępu, a ostatecznie eksfiltracją wrażliwych danych, wymuszeniami za pomocą oprogramowania ransomware, wydobywaniem bitcoinów lub innym motywem zysku