Qu'est-ce qui est différent d'être ciblé par un attaquant professionnel?

Avertissement: je travaille dans une entreprise qui développe des logiciels de sécurité pour atténuer les attaques ciblées.

Certaines des méthodes que nous utilisons sont similaires à celles utilisées par les attaquants (lorsque les clients souhaitent tester leurs systèmes).

Par exemple, un client nous a demandé de tester sa sécurité en effectuant des attaques de phishing ciblées [lance]. Nous avons envoyé un e-mail uniquement au service informatique avec une combinaison de 2 e-mails. L'un était un e-mail apparemment mal adressé au forum avec un lien vers un Pdf nommé quelque chose comme Executive bonus summary.pdf, l'autre prétendait être un nouveau portail externe que la société pourrait utiliser pendant les Jeux olympiques. Avec une recherche rapide sur les réseaux sociaux, nous aurions pu créer des e-mails spécifiques aux utilisateurs, mais cela prendrait beaucoup de temps et n'était finalement pas nécessaire.

Nous avons enregistré un nom de domaine visuellement similaire à celui de la cible, puis l'avons utilisé pour héberger de fausses pages (de style identique aux vraies) et envoyer DKIM courriels signés (pour éviter les filtres anti-spam).

Parmi les techniciens ciblés, 43% nous ont donné leurs informations de connexion d'entreprise, 54% ont essayé de télécharger le faux fichier PDF (le fichier PDF n'était que des octets inutiles, il ressemblait donc à un téléchargement corrompu. Un gars a essayé 5 fois avec Firefox, IE et enfin wget).

On nous a dit qu'un seul utilisateur avait détecté l'attaque et l'a signalée à la direction (mais seulement après en nous donnant leurs informations d'identification).

Alors ... Entrer dans l'entreprise n'est pas impossible. En ce qui concerne la diffusion d'informations, notre argumentaire de vente normal comprend une démonstration de nous en contournant les pare-feu de l'entreprise/traditionnels DLP . Je ne pense pas que nous ayons jamais échoué, à moins qu'ils ne soient limités ou qu'ils n'utilisent un bon diode de données (bien que le taux d'exfiltration varie. Dans un cas, nous avions un pare-feu restrictif à liste blanche) , le logiciel a donc codé les documents en images et mis à jour une photo de profil sur Google. Ensuite, nous avons regardé le profil en externe et téléchargé chaque morceau).

Cela dit, nous avons constaté à maintes reprises que les logiciels peuvent être contournés, mais les utilisateurs sont toujours le maillon le plus faible.

Donc pour répondre à votre question, une attaque ciblée inclut la touche personnelle. Sites Web personnalisés conçus pour tromper les utilisateurs, recherche quels logiciels (et versions) sont utilisés pour vérifier les vulnérabilités connues, enquêtes sur les médias sociaux, ingénierie sociale, etc., etc.

Un autre mérite à considérer, bien que moins courant, est la corruption/le chantage. Si vous parlez d'acteurs de l'État, ce n'est pas inconcevable.

Toute la sécurité peut se résumer à la modélisation des menaces, l'évaluation des risques, la gestion des risques et l'atténuation des risques. Donc non, les défenses conçues pour protéger contre les attaques non ciblées ne sont pas susceptibles de bien faire contre les attaques ciblées.

Qu'est-ce qui différencie un attaquant ciblé (ou ce que vous appelez un "attaquant professionnel")? Simplement l'intelligence et l'argent qu'ils sont prêts à utiliser pour vous attaquer spécifiquement.

Donc, oui, si quelqu'un est prêt à dépenser de l'argent, du temps et des efforts pour vous attaquer spécifiquement, alors il a un avantage. La stratégie à défendre serait de reconnaître que ces types d'attaques constituent un scénario de menace réaliste dans votre modèle de risque et de mettre en œuvre des contrôles pour gérer et atténuer ces risques.

La différence entre une attaque aléatoire et une attaque ciblée peut être bien résumée:

• L'attaquant veut N nombre de nœuds distants pour DDoSing/Spamming/Phishing/etc.

ou

• L'attaquant veut spécifiquement des données XYZ sur la machine de user2174870.

Si l'attaquant cherche simplement à construire un botnet (>> 99% des attaques), il est alors généralement assez difficile à casser que le gars suivant. J'essaie de tirer pour deux ordres de grandeur plus difficiles à casser, et même alors j'utilise IDS pour savoir quand j'ai été fissuré. J'espère.

Cependant, si l'attaquant veut spécifiquement vos données, alors la situation devient une course aux armements et le seul coup gagnant est de ne pas jouer (shutdown -h now). À moins d'éteindre la machine, vous devez supposer que l'attaquant dispose, selon ses ressources, de vulnérabilités zero-day pour votre pile d'applications, de renifleurs réseau, de logiciels malveillants sur votre autre équipement qui accède à la cible boîte, et éventuellement clés de 5 $ ainsi. Oh, et il est peut-être composé de 50 personnes plus intelligentes que vous avec un budget illimité. Doublement, si vous avez secrets commerciaux , secrets d'État ou publiez des commentaires désobligeants sur le souverain de jour.

Je vais être honnête, vous ne pouvez pas vous défendre contre les attaques ciblées. Vous pourriez être en mesure de budgétiser une partie importante de votre budget [d'entreprise | personnel] pour embaucher des personnes qui pourraient avoir une chance de tenir le coup pendant une courte période, mais cela ne durera même pas. Mieux vaut débrancher la machine, et même ce n'est pas une garantie .

Cela dit, ne "soyez pas une cible". Trop de gens qui ont peur d'être une cible sont ce qui maintient le NSA au pouvoir. Soyez une cible intelligente. Si votre spécialité est la dissidence politique, n'essayez pas de gagner une guerre de la technologie. Reconnaissez que vos communications électroniques ne sont pas sécurisées et planifiez votre dissidence en conséquence.

Ce serait totalement différent si vous êtes ciblé par des acteurs parrainés par l'État. Si vous êtes une cible de grande valeur, ils peuvent utiliser non seulement des ressources de piratage comme les logiciels malveillants zero-day, mais aussi la vidéosurveillance, l'écoute électronique, le pot-de-vin de vos amis, le hameçonnage par courrier électronique, le keylogging, l'entrée par effraction dans votre maison, ou même l'enlèvement et la torture vous juste pour obtenir des informations.

Jetez un œil à la quantité de ressources que la CIA utilise pour traquer Oussama Ben Laden même lorsqu'il n'a pas d'accès direct à Internet ou à la ligne téléphonique. La seule stratégie est de ne pas vous peindre dans une cible.

Habituellement, l'endroit le plus ennuyeux pour essayer de pénétrer est un système complètement personnalisé sur un noyau complètement personnalisé (pas de commandes familières, paradigmes io, infrastructure de gestion des processus, etc. - ces choses existent sous une certaine forme, bien sûr, mais seulement sur un seul système/target et vous n'avez aucune idée). Heureusement pour les pénétrateurs, il y a très quelques-uns de ceux à l'état sauvage.

L'inverse est également généralement vrai: les attaques les plus difficiles à défendre (voire à détecter) sont les attaques entièrement personnalisées. Presque tous les systèmes couramment utilisés adhèrent à une politique de "oui par défaut" au moins quelque part à l'intérieur pour des raisons de facilité d'utilisation car les utilisateurs rejettent tout ce qui est réellement sécurisé car "réellement sécurisé" signifie également "rip-your" -hair-out frustrant à utiliser ". Ceci étant une donnée, et étant donné que la plupart des attaquants n'ont pas le temps de faire autre chose que d'utiliser les outils et les cadres existants, les outils de sécurité communs à notre disposition sont construits autour du cas d'attaque majoritaire: une attaque basée sur des outils de craquage de produits .

Une attaque entièrement personnalisée (qui est bien exécutée) n'aura pas tous les signes révélateurs recherchés par les outils de défense des produits, vous laissant souvent avec une fenêtre d'opportunité limitée pour attraper le vent d'une attaque commençant uniquement sur la base d'heuristiques (elles-mêmes souvent basées simplement sur (y) notre meilleure compréhension de ce que devraient être les modèles historiques de ressources de réseau ou de système "normaux"). Cette fenêtre se ferme une fois que le système est enraciné, bien sûr, car les outils de détection utilisés sont généralement la première chose à recevoir une mise à niveau malveillante.

Mais les dépenses de ce type d'attaque avancée sont immenses. Vous devez être extrêmement malchanceux ou extrêmement précieux en tant que cible pour faire l'objet d'une telle attention. Ce coût est comparable au coût de déploiement d'un système entièrement personnalisé (le coût d'un système personnalisé est généralement plus élevé, bien sûr, mais amélioré par la base de déploiement - les économies d'une attaque sont exactement inverses). Le coût de la sécurité est toujours équilibré quelque chose comme:

• L'ennui que la sécurité réelle apporte
• Le coût fiscal/effort/temps de développer une défense sérieuse

CONTRE

• La criticité d'une attaque réelle de type X

Compte tenu du nombre de systèmes qui supposent des choses comme les redirections http -> https, DNS, IPSec, any-of-the-bajillion-bogus-CAs-in-IE, etc. sont impossibles à compromettre (har har!) l'élément reçoit très peu de poids. Par conséquent, les systèmes de produits corrigés tardivement avec le moins d'outils de détection minimaux semblent généralement être à l'ordre du jour. Tout ce que vous pouvez faire au-delà augmente le coût de la répression et même un gouvernement passera à un objectif plus facile à moins qu'il n'ait une raison spécifique de vous cibler. Pas un conseil très heureux, je suppose, mais c'est le monde dans lequel nous vivons à partir de maintenant.

Je vais juste répondre dans une citation de Jacob Appelbaum , dont je n'ai probablement pas à parler.

Lors du premier Congrès sur la confidentialité et la surveillance tenu à l'EPFL en Suisse, Applebaum a déclaré (je transcris):

"Si le NSA veut entrer dans n'importe quelle machine ou système dans le monde, nous devons supposer qu'ils sont en . "

Le "piratage" est facile. Il existe des outils qui vous fourniront une belle interface graphique pour exécuter n'importe laquelle d'une bibliothèque d'exploits, des outils qui pénétreront dans le WiFi, exécuter MiTM, etc. Ceci, ainsi que des tentatives de phishing généralisées et maladroites ingénierie, constitue une grande partie des attaques non ciblées. Bref, ils ne sont pas originaux. Cela signifie que la plupart des bons antivirus protègent contre la plupart des attaques générales - ce qui ne dérange pas les attaquants, car ils ont juste besoin de trouver quelqu'un sans antivirus. Une attaque individuelle et ciblée est beaucoup plus dangereuse, car un attaquant qualifié examinera non seulement la topographie de votre réseau et tentera de comprendre vos mesures de sécurité, mais il observera également vos employés pour essayer de comprendre comment attaquer les soi-disant "8ème couche" (personnes). Kevin Mitnick en est l'un des exemples les plus tristement célèbres. Je suis sûr qu'il était talentueux dans le domaine des ordinateurs, mais il excellait vraiment en ingénierie sociale - à tel point qu'il a fait irruption dans un établissement sécurisé, GOT CAUGHT, et a quand même réussi à convaincre le gardien de sécurité de le laisser partir.

Les sociétés AV ont tous les "outils de piratage" là-bas, et ils font de leur mieux pour annuler le risque posé à leurs clients. Les attaques qui ont de bien meilleures chances de fonctionner sont celles que quelqu'un adapte pour contourner VOS pare-feu, ne pas être détecté par VOTRE AV et effacer VOS journaux quand ils ont terminé.

Un autre angle que je n'ai pas trouvé dans les réponses. http://lasec.epfl.ch/keyboard/

Nous avons trouvé 4 façons différentes (y compris l'attaque de Kuhn) de récupérer totalement ou partiellement les touches des claviers filaires à une distance allant jusqu'à 20 mètres, même à travers les murs. Nous avons testé 12 modèles de clavier filaire et sans fil différents achetés entre 2001 et 2008 (PS/2, USB et ordinateur portable). Ils sont tous vulnérables à au moins une de nos 4 attaques.

Il s'agit d'un institut de recherche civil il y a cinq ans . Étudiez les normes de blindage répertoriées http://www.wikiwand.com/en/Tempest_ (nom de code) ici.

Les micrologiciels, antivirus et autres défenses axés sur la prévention ne peuvent que bloquer efficacement les attaques qui se sont avérées mauvaises. IE si un certain type de trafic ou un certain fichier est mauvais 100% du temps, il peut effectivement être bloqué. Bien que les outils de prévention ne puissent pas aider avec des menaces plus avancées, ils ont une utilisation dans blocage du trafic illicite connu. Il y a beaucoup de trafic/fichiers défectueux qui doivent être bloqués pour défendre efficacement votre organisation. C'est très utile, mais pas contre les menaces avancées. Il est possible de créer des fichiers qui semblent bons et de masquer le mauvais trafic Cela nécessite la détection de différences de défense.

Lorsque vous vous lancez dans des attaques parrainées par l'État et avancées, vous devez aborder les choses de manière globale. Ils peuvent ne pas avoir besoin de vous cibler directement pour obtenir vos données si elles sont hébergées ailleurs. Si les tiers avec lesquels vous travaillez sont des cibles plus faciles, ce seront probablement les premiers attaqués. Cela dépend de vous pour identifier le moyen le plus simple d'obtenir vos données et mettre en place des atténuations pour gérer ce risque.

La meilleure façon de se défendre contre les menaces avancées est de se concentrer sur la détection. Les attaquants franchiront les défenses préventives, mais leurs actions une fois sur le réseau devraient être visibles pour vous. C’est là que l’avantage du défenseur entre en jeu. L'offensive a l'avantage d'entrer car elle n'a besoin que de trouver une vulnérabilité à exploiter. La défense a l'avantage à l'intérieur du réseau. C'est votre domaine d'origine, vous devez bien le savoir, il devrait y avoir des couches de défenses en place pour ralentir les attaquants vous donnant le temps de les détecter, les isoler et les bloquer. En pensant à nouveau de manière holistique, vous devez connaître les cibles probables et les points faibles de votre organisation. Ils devraient avoir des couches d'atténuation en place autour d'eux.

La détection se résume à trouver et détecter un comportement anormal. Il est possible qu'il y ait eu une alerte pour une attaque qui n'a pas été trouvée parmi la pile d'autres alertes. Un attaquant ne devrait pas être en mesure d'effacer ses traces dans votre réseau. Leur activité se situe quelque part dans votre infrastructure, vous avez besoin d'yeux pour voir cette activité et de la connaissance de votre infrastructure pour savoir où chercher. Une organisation doit avoir un inventaire des actifs pour savoir quand de nouveaux appareils sont ajoutés, des lignes de base pour savoir quel comportement est normal, donc un comportement anormal se démarque, une gestion/surveillance des configurations pour savoir quand les fichiers système sont falsifiés, une surveillance basée sur le réseau et l'hôte pour voir le trafic et activités, des contrôles d'accès rigoureux pour ralentir les mouvements latéraux au sein de votre infrastructure, je pense que vous avez compris. Plus vous avez de contrôles, meilleure est votre visibilité. Voir Contrôles de sécurité critiques SANS. À l'intérieur de votre réseau, tout attaquant devra laisser des preuves de ses activités. C'est à vous d'avoir des outils en place pour voir ces activités et savoir où chercher.

Ne sachant rien d'autre sur un attaquant, vous pouvez supposer qu'il voudra établir la persistance une fois qu'il sera entré, trouvera des données et exfiltrera des données. C'est là que vos outils défensifs entrent en jeu. Un trafic valide doit être autorisé, vous permettant de vous concentrer sur la façon d'exposer un attaquant à la recherche de données et d'exfiltration de données. Observez vos données et points de sortie probablement ciblés. Ce seront les points les plus faciles à trouver car un attaquant avancé fera tout son possible pour se fondre dans un trafic valide et être invisible.

Pour le garder aussi court et doux que possible: (bien que je puisse ajouter des détails plus tard si la communauté l'exige)

Attaques aléatoires

Cible généralement une vulnérabilité spécifique dans une version spécifique d'un logiciel spécifique. Le but ici est de l'essayer contre toutes les machines possibles et toutes les machines n'auront pas la vulnérabilité, et les solutions IDS/IPS ne laisseront pas le même type d'attaque être exécuté contre le reste de leurs clients dès qu'il sera détecté. Ce genre d'attaque "Je vous salue Marie" sera rapidement déjoué par les bons.

Attaques ciblées

Il s'agit de l'objectif final qui est généralement celui d'une poignée d'ordinateurs qui appartiennent tous à une entité spécifique. Un attaquant qui cherche à obtenir vous va dépenser du temps et de l'argent pour collecter des informations sur tout votre matériel et vos logiciels. Ils achèteront le même équipement qui gère votre usine s'ils le doivent. Ils passeront d'innombrables heures à rechercher des failles dans chaque partie de votre système. Une fois qu'ils ont trouvé cette faille et l'ont testée sur leur réplique ou émulation de votre système, ils l'exécuteront une fois et agiront rapidement car ils savent ce qu'ils recherchent. Cela passera probablement inaperçu dans les journaux car il n'apparaît pas sur des centaines d'ordinateurs à travers le monde, il n'y a pas d'analyse sur de grandes plages d'adresses IP pour qu'un FAI puisse le détecter. Essentiellement, l'attaque n'a jamais eu lieu sauf si vous gardez un œil très attentif sur vos journaux et notez que certaines données critiques ont été téléchargées de votre côté, ce qui n'aurait pas dû l'être.

À part: À moins que vous en valiez la peine, une attaque comme celle-ci est peu susceptible de se produire, mais si c'est le cas, il semble que la seule chose possible que vous puissiez faire est de la détecter et non de l'empêcher. Mais là encore, il existe toujours des moyens de contourner la détection.

Il est techniquement possible de mettre en place suffisamment de contrôles pour garantir que vous ne serez pas compromis d'un point de vue informatique.

Le cas extrême est d'arrêter et de retirer tout l'équipement informatique. Voir? Aucun ordinateur signifie qu'aucun ordinateur ne sera compromis. OK, alors pourquoi ne pas autoriser les ordinateurs, mais pas les réseaux: tout est insuffisant. Nous ne sommes pas garantis invulnérables, mais nous sommes proches. OK, alors comment autoriser les réseaux, mais uniquement sur les machines sans contenu sensible et sans stockage persistant de tout type. Aucun téléchargement ou exécution de code non signé. Ou peut-être permettre aux téléchargements de conserver la liste blanche des applications. Etc.

Il y a un continuum de sécurité entre "Absolument impénétrable et complètement inutile" à "extrêmement pratique et peu sûr comme l'enfer" avec une sécurité toujours en contradiction avec la commodité. Si une mesure de sécurité n'est pas en contradiction avec la commodité, alors elle n'est pas considérée comme "sécurité" - vous l'appelez simplement "pratique standard".

Mais voici le point important: à moins que votre sécurité informatique ne soit une catastrophe de Home Depot ), votre composant le plus faible est votre personnel, pas vos systèmes . La sécurité ne fonctionne que lorsqu'elle est réellement mise en œuvre et les systèmes d'une entreprise sont rarement à la hauteur des normes de l'entreprise.

De plus, l'ingénierie sociale gagne toujours. Le phishing est de loin l'attaque la plus efficace contre des cibles endurcies, et peu est fait pour atténuer cette menace. L'attaquant a toujours eu l'avantage; l'attaquant ne doit gagner qu'une seule fois, tandis que le défenseur doit gagner à chaque fois pour rester en sécurité. Et l'ingénierie sociale signifie que l'attaquant peut sortir du combat de l'informatique et exploiter l'interaction humaine pour remporter sa victoire.

Oui, vous pouvez être sécurisé, mais cela signifie traiter votre technologie comme hostile et vos employés comme des attaquants. Cela signifie mettre des barrières aux interactions et à l'interopérabilité. Cela signifie interdire les petites choses que les gens tiennent pour acquises. Et cela signifie que votre opération paiera un prix élevé pour cette sécurité. Mais c'est possible.

Les techniques sont les mêmes pour les attaques aléatoires non ciblées. Ce que mon humble avis différencie vraiment ce genre d'attaques sont:

• temps disponible
• argent disponible pour acheter un exploit non divulgué
• effort dépensé
• surface d'attaque attaquée
• travaux post-exploitation

Généralement avec des attaques aléatoires et non ciblées:

• son effort en termes de temps sera limité principalement à ne seule tentative
• il essaiera d'exploiter un seul aspect de toute votre surface d'attaque
• Une fois les attaques réussies, le travail sera principalement fait
• il sera plus facile de nettoyer la cible des attaques

Au lieu de cela, avec une attaque professionnelle ciblée:

• son l'effort en termes de temps sera plus long et continu dans le temps
  • Plus d'une personne sera probablement impliquée en tant qu'attaquant
• la surface d'attaque ciblée sera toute la surface d'attaque
  • tous les points faibles de la surface d'attaque seront testés
• Une fois qu'il pourra pénétrer dans vos périmètres, le travail ne sera pas fait
  • les attaques se poursuivront en interne pour garantir un accès plus facile
• il sera vraiment difficile de refuser tout accès supplémentaire aux systèmes/réseaux car après le cambriolage:
  • des portes dérobées seront placées tout autour
  • les informations d'identification seront volées
  • une faiblesse interne et une meilleure connaissance du réseau/des systèmes augmenteront la surface d'attaque (c'est-à-dire WAN de partenaires commerciaux, etc.)