Verteidiger denken in Listen, Angreifer in Grafiken. Solange dies der Fall ist, werden die Angreifer gewinnen.

Warum erreichen Hacker ihre Ziele immer wieder, indem sie diejenigen besiegen, die ihre Vermögenswerte bewachen? Laut einem der berühmten Forscher auf dem Gebiet der Informationssicherheit, John Lambert (John Lambert), ist der Punkt der Unterschied im Denken. Diese Idee ist emeritierter Ingenieur und General Manager des Microsoft Threat Intelligence Center formuliert in Ihrem Github-Konto.

Denkweise der Verteidiger

Der Unterschied liegt darin, dass sich jede Seite das Schlachtfeld auf ihre eigene Weise vorstellt. Verteidiger konzentrieren sich darauf, ihre Assets aufzulisten, zu priorisieren und nach Auswirkungen auf Geschäftsprozesse zu sortieren. Um all dies zu automatisieren, werden IT-Infrastrukturmanagementsysteme angebunden, Anweisungen zur Wiederherstellung der Leistung geschrieben usw. Und das alles funktioniert hervorragend: Das System wird Ihnen mit Sicherheit mitteilen, dass die Speichergeräte bereits abgenutzt sind und ersetzt werden müssen, und im Falle eines Verlusts des Kommunikationskanals muss der Betreiber eine Backup-Schaltung anschließen. Alle Server-Backups aus der kritischen Liste werden zeitnah gesammelt und Sie können jederzeit darauf zurückgreifen.

Aber dieser Ansatz hat einen Nachteil: Der Angreifer sieht diese Listen nicht und er wird nicht durch sie eingeschränkt. Der Angreifer sieht einen Graphen (also ein Diagramm, in dem nicht nur die Objekte selbst, sondern auch die Verbindungen zwischen ihnen stehen).

Was ist dieses Diagramm und wer erstellt es?

Die Eckpunkte des Diagramms sind die Ressourcen des Unternehmens (Benutzer, Konto, Anwendung, Computer), und die Kanten zeigen, wie die Ressourcen aus Sicherheitssicht zusammenhängen: wo Benutzer autorisiert sind und mit welchen Rechten, wer ein lokaler ist Administrator, welche Richtlinien für Computer gelten und wer von ihnen kontrolliert wird, besitzt usw.

Ein Beispiel für ein IT-Infrastrukturdiagramm.  Quelle - github.comEin Beispiel für ein IT-Infrastrukturdiagramm. Quelle – github.com

Wenn es keine direkte Verbindung zwischen zwei Infrastrukturobjekten gibt, aber Pfade vorhanden sind, die sie durch Zwischenstützpunkte verbinden, werden diese Pfade im Diagramm sichtbar. Für diejenigen, die in Listen denken, wird es eine echte Herausforderung, sie zu finden.

Der Graph wird von denjenigen erstellt, die die Infrastruktur konfigurieren und betreiben. Es wird automatisch erstellt, unabhängig davon, ob sie davon wissen oder nicht.

Ein klassisches Beispiel ist die Autorisierung eines Active Directory-Domänenadministrators auf einem Computer. Wir werden die Gültigkeit solcher Aktionen nicht berücksichtigen – das passiert ständig, aber wir werden analysieren, was aus der Sicht des Diagramms passiert. Das Betriebssystem eines solchen Computers speichert die Anmeldeinformationen des Domänenadministrators während der Autorisierung im Speicher des Dienstprozesses lsass.exe. Je nach Version und Konfiguration von Windows kann dies ein Klartext-Passwort, ein davon abgeleiteter NTLM-Hash oder ein Kerberos-Ticket sein. Die Übernahme eines solchen Computers ermöglicht es dem Hacker, schließlich die gesamte Domain zu übernehmen, die in der Grafik als separater Link angezeigt wird. Jede solche Autorisierung erzeugt eine neue Kante im Graphen, was seine Konnektivität erhöht. Um die Erstellung von Graphen zu automatisieren, gehören zu den Werkzeugen der Hacker die Dienstprogramme Powersploit und Bloodhound, die Mathematik verbinden, um die kürzesten Wege zu finden.

Eine grafische Darstellung der von Bloodhound erstellten Active Directory-Objektbeziehungen.  Quelle - Positive Technologies-BlogEine grafische Darstellung der von Bloodhound erstellten Active Directory-Objektbeziehungen. Quelle – Positive Technologies-Blog

Das Problem ist, dass sich das Modell, das die IT-Abteilung zur Verwaltung des Netzwerks verwendet, normalerweise stark von dem Diagramm unterscheidet, das der Angreifer das System sieht. Und da Verteidiger keine Möglichkeit haben, nicht offensichtliche Verbindungen zu verfolgen, wird ein solcher Computer nicht als äußerst kritisches Gut geschützt, es sind möglicherweise nicht die erforderlichen Sicherheitsupdates installiert oder es ist möglicherweise kein Antivirus-Tool vorhanden.

Hacker-Mentalität

Egal wie sicher die Infrastruktur eines Unternehmens ist, aus der Sicht eines Hackers hat es bereits alles, was es zum Funktionieren braucht. In jedem Fall hat es einen Administrator, der Assets verwaltet, sowie eine angemessene Arbeitsumgebung mit den erforderlichen Dienstprogrammen und Software. Es bleibt nur die Frage, ein legitimes Passwort zu erhalten, um die konfigurierte Umgebung für unrechtmäßige Zwecke zu verwenden. Trotz der Tatsache, dass verschiedene Exploits ein wesentlicher Bestandteil des Arsenals des Angreifers sind, kann er daher im weitesten Sinne als normaler Administrator betrachtet werden, der nur für andere Zwecke auf dem System agiert.

Stellen Sie sich vor, dass ein solcher Eindringling im Netzwerk aufgetaucht ist. Der Einstiegspunkt in die Infrastruktur könnte beispielsweise der Computer eines Benutzers sein, der in ein Netzwerk von Social Engineering geraten ist.

So etwas könnte in den Augen eines Hackers wie ein Stück Unternehmensnetzwerk aussehen.  Quelle - github.comSo etwas könnte in den Augen eines Hackers wie ein Stück Unternehmensnetzwerk aussehen. Quelle – github.com

Wo der Hacker relativ zu seinem Ziel “gelandet” ist, ist ihm unbekannt, die Aufgabe besteht darin, den Graphen zu studieren und den Pfad zum Zielpunkt zu finden. Es verwendet das Kennwort des lokalen Administrators und stellt fest, dass es zu mehreren nahe gelegenen Computern geht. In der Erinnerung eines von ihnen findet er ein Workstation-Administratorkonto, das den Zugriff auf eine viel größere Anzahl von Computern ermöglicht. Auf ähnliche Weise untersucht der Angreifer nach und nach den gesamten Sicherheitsgraphen und richtet schließlich einen Pfad zum Zielknoten ein.

Und was sollten die Verteidiger in diesem Fall tun?

Es besteht die Meinung, dass die Bereiche Verteidigung und Angriff gleichwertig, weitgehend unabhängig sind und sich parallel entwickeln, ohne sich zu überschneiden. Vielleicht ist dieses Paradigma der Grund für die entstandene Differenz im Denken der Kriegsparteien. Und bis sich die Situation ändert, werden die Angreifer gewinnen. Um den Verteidigern erfolgreich entgegenzutreten, müssen sie erkennen, dass sie in diesem Wettrüsten immer die Nummer zwei sein werden, wenn sie nicht lernen, die Welt anders zu sehen, und die Rolle des Lehrlings akzeptieren.

Kennen Sie den Infrastrukturgraphen, den Sie erstellen, denken Sie wie ein Hacker!

Similar Posts

Leave a Reply

Your email address will not be published.