先來一張蕭美琴。
現在的網路世界處處都是陷阱,詐騙、釣魚、勒索病毒無處不在,駭客的手法千變萬化,早上的「分分鐘拿下整個網域- 關於 AD,你還疏忽了什麼?」,DEVCORE就展示了微軟頒發憑證時,用預設範本導致的漏洞,利用一般帳號取得管理員權限。中間沒有利用漏洞,只是管理員部署的失誤就讓企業完全淪陷。
入侵AD的一般方法:
以上方法都沒用,就會使用別的手段,例如從「Active Directory 憑證服務」的設定錯誤下手,因此EDR、MDR不一定會有警告。演講中DEVCORE就展示使用預設範本建立憑證服務的問題把整個網域控制器拿下。
我們該如何避免這樣的錯誤?下一場杜浦數位安全的演講「AD 錯誤配置利用的攻擊以及檢測方式」就指出一些常見的設定錯誤,來測試這樣的部署是否有遺漏。一個駭客只要能取得Ntds.dit這個AD地圖檔,企業就再見了。Hack The Box文章可以讓我們檢視AD設定完成後有沒有需要注意的地方,取得NTDS.dit是MITRE ATT&CK其中一個技巧,可在SIEM查詢相關事件:4768、4769、4662,如果發現可疑活動表示已經被入侵
這些都做完後,就能開始找駭客模擬是否還有設定上的疏失。DEVCORE的演講「紅隊演練有三關,你在哪一關?」有四種模式:
- 簡單模式:上面的設定完成後,與紅隊駭客一起找出設定錯誤
- 普通模式:通過簡單模式後,外網具有一定強度、內網具備網路隔離
- 困難模式:通過普通模式後,外網已經難以入侵、內網控管嚴格告警即時,可確認日常團隊防禦與應變能力
- 地獄模式:模擬真實駭客入侵過程,還沒有人用過,演練過程不會告知入侵手法,完成後才會有報告
這也是烏克蘭每天開局的模式,可參考「沙蟲駭客:全球最具侵略性和破壞性的克里姆林宮黑客組織」這本書,除了打爆你、還會要你命
提到俄羅斯駭客,那能不能請俄羅斯駭客來打一輪?當然可以,卡巴斯基也提供類似服務:Kaspersky Security Assessment。與DEVCORE一樣,要談模擬環境、簽保密協議、但模擬時籃隊必需在攻擊當下做出反應,演練結束後才會出報告,也就是開局即為地獄模式、也只有地獄模式可以選。
即使通過所有模式也不能掉以輕心,因為紅隊演練是在不影響企業營運的前提下,對企業進行模擬入侵攻擊,在有限的時間內以無所不用其極的方式,從各種進入點執行攻擊,嘗試達成企業指定的演練目標。既然時間有限,就會有取得第一台主機控制權時間為4.64天、平均取得AD天數為10.89天、結案後一天才入侵AD等情況,而真實世界的攻擊沒有時間限制,APT攻擊永遠在角落虎視眈眈地觀察著它的目標。
是否有一個XDR方案可以監控到這些方法,不要說100%少說也能擋個90%?我們可以導入卡巴斯基反針對攻擊平台(Kaspersky Anti Targeted Attack Platform, KATA)。卡巴斯基自己的安全中心也是用同樣的方案,並在測試階段抓到Duqu 2.0這個被美國用來竊取卡巴斯基機密的惡意程式。這個平台可以收集電腦、郵件、網路流量資料進行檢測與回應。雖然駭客不會管國家的政治傾向、或領導人換某某某就減少攻擊,但如果就是無法接受俄羅斯,也可以改用賽門鐵克TAA、或杜浦數位的ThreatSonar。
說了這麼多都是建立在公司有MIS或資安團隊的情況,對於缺乏MIS的公司該怎麼辦?有沒有一個方案可以做到單一品牌事前預防、事中偵測、事後復原?以資安的觀點並不建議這樣,但在人力缺乏的中小企業、或是無法投資的企業下,Acronis Cyber Protect Cloud是一個折衷方案。這家公司原本是備份起家,去年與他們的瑞士技術聊過後,他們已經轉型成災難復原廠商,因此也有端點防護、與EDR功能。
上面這些方案是整場看下來對系統管理員有幫助的方案,EDR、MDR等概念出來後,一堆阿沙布魯通通跳下來搶這塊大餅。以前我們只知道Bitdefender、卡巴斯基、小紅傘、趨勢科技等做防毒,現在每個都說有XXDR、有紅隊演練、做這個做那個,再加個AI彷彿潮到爆炸。誠如DEVCORE的預測,現在是紅隊演練的爆炸成長期,十年後我們再回頭看,就會知道頂尖的團隊只會是這幾家,因此挑選方案時先從上面下手即可,不用再浪費時間找其他方案。
講完了心得,再來就是照片欣賞。
你到了俄羅斯,遇到綠色卡巴熊、還有政府裡的舒適熊、奇幻熊。先選卡巴熊,才能抵禦後面兩頭熊
說不定卡巴熊摘下面具就是後面兩者。
說不定卡巴熊摘下面具就是後面兩者
