16 570
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
16 570
https://androbit.net/ContentUploads/A944/alienvault_hero.jpg
Kattints ide  ➜

Védekezzünk támadóként gondolkodva a cyber kill chain segítségével!

Droppa Béla2016.02.22. 15.22
A fenyegetések állandóan változó jellege miatt nehéz az üzleti környezetben előforduló összes incidenst és jelzést a helyén kezelni. Az incidensekre adott hatékony válaszadáshoz effektív rangsorolási metódusokat kell alkalmazni: el kell dönteni, hogy mely figyelmeztetésekre reagáljunk, és mindezt milyen sorrendben tegyük. Általában a rangsorolás néhány szabványos formáját hívjuk ekkor segítségül, de ha átgondoljuk, ezek mindegyikének van legalább egy Achilles-sarka.

Az időalapú rangsorolás során a legutóbb történt incidensek megoldására fókuszálunk, a régieket csak ezt követően dolgozzuk fel – épp úgy, ahogy a postafiókban felhalmozódott e-mailekre reagálunk. A valóság viszont az, hogy nem mindig azok az események a legfontosabbak, amik épp az imént történtek, jó esély van arra, hogy az egy héttel korábban történt incidens nagyobb fontosságú, de ezt a kizárólagosan időalapú rangsorolás figyelmen kívül hagyja.

Első pillantásra a célorientált rangsorolásnak van a legtöbb értelme, hiszen így a szervezet legfontosabb értékeire összpontosítunk. A valóságban viszont nem biztos, hogy számunkra és a támadó számára a legértékesebb eszköz ugyanabba a halmazba tartozik. Ergo, amíg mi a szerintünk legértékesebb főbejárat védelmének restaurációján dolgozunk, a támadó minden további nélkül besétálhat a hátsó kapun, amire a célorientáltságunk miatt nem szentelünk elegendő figyelmet.

Ha az adatforrás hitelessége alapján priorizálunk, két szarvashibát követhetünk el. Az egyik hiba az, ha a forrástól függetlenül minden figyelmeztetést egyenlőként kezelünk. Ezzel az a probléma, hogy a legtöbb esetben a vakriasztások miatt lyukra futunk, így rengeteg időt és erőforrást pazarolva, amit a valódi hátrányok feltárására fordíthattunk volna. A másik, gyakrabban elkövetett hiba az, ha az adatforrásokhoz a kontextust figyelmen kívül hagyva statikus prioritási szintet rendelünk hozzá.

Ez utóbbi olyan, mintha egy orvos az ujjunkba fúródott szálka eltávolítását egy csonttöréssel azonos szinten kezelné. A fenti példák megmutatják, hogy amennyiben hatékony védelmet szeretnénk, más megközelítést kell alkalmaznunk. Szerencsére az eltérő megoldási mód beépítésre került az AlienVault USM és OSSIM szoftverekbe, ezek funkcióiba tehetünk egy kis betekintést a továbbiakban. De csak azután, miután tisztáztuk, hogy a cyber kill chain pontosan mit is jelent.


A hatékony rangsorolás a legjobb barátod



Ha az időalapú, célorientált és adatforrást figyelembe vevő priorizáció végzetes hibákat tartalmaz, akkor hogyan építhetünk fel egy hatékony rangsorolási megközelítést? Minden sakkmester tudja, hogy a legjobb védekezés a támadás az ellenség stratégiájának kiismerése, majd maga ellen fordítása. Ha a támadó beszivárgási lépései ellen tett erőfeszítéseinket elkezdjük feltérképezni, megtudjuk, hova összpontosítsuk erőforrásainkat. Az úgynevezett cyber kill chainnel a figyelmünket a lánc végén található aktivitásokra összpontosíthajuk, így hatékonyabban beosztva az időnket.


A cyber kill chain áttekintése



Cyber kill chainnek az olyan lépések sorozatát nevezzük, aminek keretében a támadó sikeresen beszivárog egy hálózatba, majd adatokat szivárogtat onnan ki. Minden lépcsőfok a támadó metodikájának egy-egy konkrét célját mutatja be. A cyber kill chain modellje alapján kialakított

felülegyeleti rendszer és reagálási terv azért hatásos(abb minden egyébnél), mert a valódi támadások analógiájára épít. A hálózati behatolások tekintetében a lánc a következőképpen épül fel.



A cyber kill chain védelmi megoldás lehetővé teszi a felhasználójának, hogy egy olyan rangsorolási stratégiát hozzon létre, amellyel elkerülhető az idő-, célorientált vagy adatforrás-alapú megközelítésekben található buktatók sora. A támadóként gondolkodásnak hála ténylegesen azokat az eszközöket találhatjuk meg, amik veszélynek vannak kitéve (attól függetlenül, hogy azok szerintünk üzleti szempontból értékesek-e).

A sebezhetőségen alapuló modellek ezzel összehasonlítva széthullanak, ugyanis azok esetében a hangsúly a bárminemű sebezhetőségre összpontosul, de azt nem veszik figyelembe, hogy az adott biztonsági rés értékes-e egy támadó számára.

A biztonsági beállítások és procedúrák számon tartásával a cyber kill chain bármely szakaszában lehetővé tesszük magunknak, hogy rendkívül részletes, eredményorientált biztonsági eljárásokat dolgozzunk ki. A támadásokat az eredeti céljuktól gyorsan eltérítve a cyber kill chain módszer eltávolodik az úgynevezett one signature/one attack mentalitástól, ami a többi biztonsági ellenőrzési modellt jellemzi.


Az AlienVault cyber kill chain megoldása



A különböző riasztások rangsorolása az AlienVault USM-ben és OSSIM-ben a Lockheed Martin cyber kill chain módszerének egyszerűsített változata. Az AlienVault minden riasztási kategóriában a fenyegetésben megbúvó szándékot fedi fel, ezzel segítve a felhasználót a fontossági sorrendbe rendezésben. A szándék pedig a támadáshoz köthető aktivitásból, illetve a hálózat, valamint az eszközök kapcsolatba lépésének folyamatából derül ki.

Az AlienVault mögött álló biztonsági csapat, és az általuk üzemeltetett Labs kiterjedt kutatást folytat a támadási profilok, eszközök és technikák után kutatva, hogy ezen veszélyforrásokat kiértékelve meghatározzák az egyes riasztásoknak megfelelő kategóriákat.


Mely riasztási kategóriát kell a legfontosabbként kezelni?



Az AlienVault fenyegetettségi előfizetésében több mint 1700 eseménykorrelációs szabályt találunk – minden egyes riasztás egy eseménykorrelációs szabály által kerül kiadásra. Biztonsági expozíció tekintetében a legkritikusabb események a System Compromise kategóriába kerülnek. Miután a rendszer alapjában véve veszélybe került, a támadók már megvetették a lábukat a legbelső hálózatban.



Ez adott esetben lehet egy alrendszerben található elszigetelt jelenség, azonban a legtöbb esetben utóbbi csak a jéghegy csúcsa. Tehát amikor megtekintjük az összes riasztást, érdemes a legkritikusabbakkal kezdeni, és jellemzően ezek a System Compromised címke alatt futnak.

Általánosságban, érdemes ezeket észben tartani:

- Minden egyes incidens esetén tegyük fel magunknak ezt a két egyszerű kérdést: „Milyen közel volt ez egy sikeres betöréshez?” és „Milyen közel jutottak a támadók az eredeti céljukhoz?”.

- Felejtsük el az elsőt elsőként modellt. Minden egyes incidenst megéri egyesével átnézni, és kapcsolatot keresni közöttük, valamint megnézni a támadó szándékát, illetve azt, hogy mely esemény teljesíti be azt a leginkább.

- Használjuk a környezetünk és üzletágunk felfogását, ezzel átgondolva, hogy vajon mi lehetett a támadó célja, ehhez a forrásjelentést is felhasználhatjuk, hogy még inkább finomítsuk a rangsorolási erőfeszítéseket.
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)
Hamarosan Apple‑drónok fognak repkedni a fejünk felett
A Chrome 55 már alig ad esélyt az Adobe Flash‑nek
Ezek a jelenleg kapható legerősebb okostelefonok
Videókból fog tanulni a mesterséges inteligencia
A Huawei Mate 9 december elejétől Magyarországon is elérhető
A Windows Mobile piaci részesedése 0,1 százalékra csökkenhet
Felkapott témák
Ezek a különbségek az iPhone- és Android-felhasználók között
Ezek a jelenleg kapható legerősebb okostelefonok
Microsoft Surface Phone - Számítógép és okostelefon egy készülékben
Ezek a Huawei-készülékek kapják meg az Android 7.0 Nougat frissítést
Egy alkalmazás bitcoin-terminált csinál a telefonunkból
Keret nélküli kijelzővel érkezik a szétcsúsztatható ZTE Nubia
Állásajánlatok
Szoftvertesztelő Budapest
Java Developer
Gépészmérnök csoportvezető HF 11-7927
C++ fejlesztő
Ügyfélszolgálati Munkatárs
Sales and Marketing Executive Hungary, Romania, Bulgaria
UI Developer