Defensores que piensan en listas, atacantes que piensan en grafos (2015)

 (github.com/JohnLaTwC)
3 puntos por GN⁺ 2024-08-26 | 1 comentarios | Compartir por WhatsApp

La forma de pensar del defensor

  • Muchas defensas de red empiezan mal orientadas antes de entrar en contacto con el adversario
  • Los defensores se enfocan en proteger activos, asignar prioridades y clasificarlos según la función del negocio
  • Los defensores están rodeados de listas de activos en servicios de gestión de sistemas, bases de datos de inventario de activos, hojas de cálculo de BCDR y más
  • El problema es que los defensores no tienen una lista de activos, sino un grafo
  • Los activos están conectados entre sí por relaciones de seguridad
  • Los atacantes usan técnicas como el spear phishing para entrar en algún punto del grafo y luego recorrerlo en busca de sistemas vulnerables

¿Qué es un grafo?

  • El grafo de una red representa las dependencias de seguridad entre los activos
  • El diseño de la red, su administración, el software y los servicios en uso, y el comportamiento de los usuarios influyen en el grafo
  • Por ejemplo, si la estación de trabajo de Bob, que administra el controlador de dominio (DC), no está protegida, el DC puede verse comprometido
  • Otras cuentas con privilegios de administrador en la estación de trabajo de Bob también pueden comprometer el DC
  • Un atacante puede comprometer el DC a través de esas rutas

Los seis pasos de Mallory

  • El atacante espera en un dispositivo comprometido hasta que una cuenta de alto valor inicie sesión
  • Con un grafo de ejemplo se explica cómo un atacante puede llegar a activos de alto valor
  • Si se compromete un servidor terminal, se pueden volcar credenciales de muchos usuarios
  • El atacante recorre el grafo y descubre varias rutas para moverse hacia activos de alto valor
  • Para proteger activos de alto valor, todos los elementos de los que dependen deben estar igual de protegidos

Dependencias de seguridad

  • En redes Windows, las credenciales pueden ser robadas cuando un usuario realiza ciertos tipos de inicio de sesión
  • Distintas relaciones generan dependencias de seguridad
    • Cuentas de administrador local con contraseñas compartidas
    • Servidores de archivos y servidores de actualización de software que alojan scripts de inicio de sesión para muchos usuarios
    • Servidores de impresión que entregan controladores de impresora a dispositivos cliente
    • Autoridades certificadoras que emiten certificados para inicio de sesión con tarjeta inteligente
    • Administradores de bases de datos que pueden ejecutar código en servidores de bases de datos, entre otros

Gestión del grafo

  • Lo que puede hacer el defensor:
    • Visualizar la red para convertir listas en un grafo
    • Implementar controles para podar el grafo
      • Revisar aristas no deseadas que generan gran conectividad
      • Reducir la cantidad de administradores
      • Usar autenticación de dos factores
      • Aplicar un enfoque de rotación de credenciales cuando una cuenta de usuario sea comprometida
      • Replantear las relaciones de confianza entre bosques

Detectar la mentalidad de listas

  • El defensor debe evitar que el atacante tenga ventaja al visualizar el campo de batalla
  • El defensor puede tener información completa sobre la red
  • El atacante debe estudiar la red pieza por pieza
  • El defensor debe aprender de la forma en que el atacante entiende el grafo
  • Gestionar la realidad tal como es constituye la mentalidad de un defensor preparado

Lecturas adicionales

  • Artículos sobre varios grafos de ataque:
    • Heat-ray: Combating Identity Snowball Attacks Using Machine Learning, Combinatorial Optimization and Attack Graph
    • Two Formal Analyses of Attack Graphs
    • Using Model Checking to Analyze Network Vulnerabilities
    • A Graph-Based System for Network-Vulnerability Analysis
    • Automated Generation and Analysis of Attack Graphs
    • Modern Intrusion Practices
    • Attack Planning in the Real World

Resumen de GN⁺

  • Este texto compara la mentalidad de la defensa de redes con el enfoque de los atacantes
  • Destaca que los defensores deben entender la red a través de un grafo, no de una lista de activos
  • Los atacantes exploran vulnerabilidades y encuentran rutas de ataque mediante el grafo
  • Los defensores pueden reforzar la seguridad visualizando la red y gestionando el grafo
  • Este texto es útil para quienes se interesan por la seguridad de redes y ayuda a entender la diferencia entre la mentalidad del atacante y la del defensor

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-08-26
Opiniones de Hacker News
  • Los atacantes tienen el privilegio de poder profundizar para alcanzar un objetivo específico
  • Los defensores deben rastrear múltiples señales y vectores de amenaza mientras establecen prioridades
    • Los defensores usan listas para gestionar activos
    • A través de listas mantienen los activos actualizados, asumen confianza limitada y aíslan recursos
    • Antes de crear un grafo de dependencias, primero hay que hacer una lista
  • Los sistemas adaptativos complejos tienen componentes y un bus de mensajería para sus interacciones
    • Es más efectivo destruir el rastro de feromonas que atrapar hormigas una por una
  • El rol del defensor no es simplemente defender
    • La ciberseguridad es un rol secundario, no la tarea principal
    • El único propósito del atacante es atacar el sistema
  • Los atacantes buscan debilidades y solo necesitan tener éxito una vez
  • Los defensores tienen que proteger todo al mismo tiempo
  • Los atacantes no usan grafos
    • En seguridad web, el pensamiento basado en grafos no se aplica
    • Los reportes de pruebas de penetración incluyen listas de tareas, no grafos
    • Los defensores a menudo gastan tiempo en cosas que no son importantes
  • Tengo experiencia trabajando en una empresa de ciberseguridad
    • Siento que muchas prácticas de ciberseguridad no tienen sentido
  • La defensa está compuesta por múltiples elementos
    • Desarrollo de controles efectivos, identificación de ataques, respuesta a incidentes, etc.
    • La defensa incluye decisiones arquitectónicas que consideran el grafo de la red
  • El eslabón más débil de la defensa determina la fuerza del conjunto
    • La seguridad basada en checklists ignora problemas de infraestructura
    • Se puede usar un SBOM para mapear relaciones entre componentes
  • Se necesitan honeypots para atrapar intrusos en la red
    • Credenciales de cifrado falsas, almacenes de contraseñas falsos, etc.