TrustWave. 5 απροσδόκητα πράγματα που μπορεί να φέρει στο φως το κυνήγι απειλών

Για τις εταιρείες και τους οργανισμούς, που οι άμυνες τους στον κυβερνοχώρο κατέληξαν να είναι μονοδιάστατες, το κυνήγι απειλών εμφύσησε νέα ζωή στα «τρεκλίζοντα» προγράμματα ασφαλείας τους.

Ευρύτερα γνωστό και ως η χειροκίνητη πρακτική της εφαρμογής εργαλείων, τακτικών, διαδικασιών και πληροφοριών για την αποκάλυψη προηγμένων δικτυακών επιθέσεων που έχουν καταφέρει να «πετάξουν κάτω από τα ραντάρ» και να «ξεφύγουν» από τις υφιστάμενες άμυνες, το κυνήγι απειλών, αυξάνει συνεχώς τη δημοτικότητα του.

Ικανοί να παρακάμπτουν εύκολα τις παραδοσιακές ασφάλειες βάσει υπογραφής (signature-based), επίμονοι επιτιθέμενοι, χρησιμοποιούν μη ανιχνεύσιμα μέσα για να «πετούν κάτω από το ραντάρ» και να κινούνται χωρίς περιορισμούς στις εταιρικές βάσεις δεδομένων, σε δίκτυα και σε εφαρμογές – σε αυτό το σημείο θα πρέπει μάλιστα να υποθέσετε ότι βρίσκονται ήδη εντός του δικού σας (δικτύου).

Οπότε πως τους βρίσκεις;

Παρόλο που έχουν αναδειχθεί δράσεις όπως η ανάλυση αρχείων καταγραφής συμβάντων και περιστατικών καθώς και διάφορες τεχνολογίες κυβερνοασφάλειας όπως οι λύσεις ανίχνευσης και ανταπόκρισης για τερματικές συσκευές (EDR) που βοηθούν τους οργανισμούς να ενεργούν περισσότερο προληπτικά στην επισήμανση και στην απομάκρυνση τέτοιων εξελιγμένων εχθρών, το «κυνήγι απειλών» πηγαίνει τα πράγματα ένα βήμα παραπέρα, οδηγούμενο από το ανθρώπινο στοιχείο. Εκπαιδευμένο προσωπικό καταδιώκει τους επιτιθέμενους ενώ παράλληλα αξιοποιεί πολλές από τις ίδιες δυνατότητες που χρησιμοποιούν οι αντίπαλοι τους, και το ίδιο σκεπτικό.

Ακόμη και αν ο απώτερος στόχος ασφαλείας σας είναι να αποτρέψετε τη μεγάλη παραβίαση, με το κυνήγι απειλών θα ανακαλύψετε οτιδήποτε μοιάζει ασυνήθιστο, υποδηλώνοντας ότι κάτι δεν πάει καλά στο περιβάλλον σας – κατά τη διαδικασία αυξάνεται σημαντικά η ορατότητα στο δίκτυό σας, μειώνοντας τους κινδύνους και διευρύνοντας την ωριμότητα της ασφάλειας της επιχείρησης σας.

Πολλές φορές, αυτό σημαίνει να «ξεθάψετε» κάτι που είναι πολύ λιγότερο επιβλαβές από μία προηγμένη, επίμονη απειλή, ωστόσο παραμένει κρίσιμης σημασίας, καθώς η μη συνηθισμένη δραστηριότητα οποιουδήποτε είδους μπορεί να επηρεάσει τις λειτουργίες του οργανισμού σας και την επιχείρηση σας.

Αυτό που μπορεί να ανακαλύψετε από την ομάδα σας σε ένα κυνήγι απειλής (ή από εμπειρογνώμονες στο τομέα της ασφάλειας που έχετε προσλάβει να «κυνηγήσουν» για χάρη σας) θα μπορούσε να είναι μεταξύ ενός απλού, τίμιου λάθους και ενός μισαλλόδοξου, κακόβουλου υπαλλήλου και μέχρι ένα κανονικό περιστατικό χάκινγκ. Ως υπεύθυνος επαγγελματίας στον τομέα της ασφαλείας, θα θέλετε να μάθετε τα πάντα για τα παραπάνω.

1) Οι χάκερς «που ζουν από τη γη»

Όσο απλό είναι να βρεθεί κάποιο πρόβλημα ή λάθος με την τρέχουσα κατάσταση της ασφάλειας σας, άλλο τόσο πολλές επιχειρήσεις κάνουν τα πράγματα όσο γίνεται και πιο δύσκολα για να εισβάλλουν επιτήδειοι στο δίκτυο σας.

Μπορεί να εκπλαγείτε αν μάθετε ότι αυτή η πραγματικότητα έχει αναγκάσει τους κακοποιούς να στρέψουν το ενδιαφέρον τους σε αυτοσυντηρούμενες πρακτικές. Μια τακτική γνωστή ως «ζω από τη γη» (living off the land) γνωρίζει αυξημένη δημοτικότητα τα τελευταία χρόνια μεταξύ όλων των τύπων των κακόβουλων hackers που τους θέλει να χρησιμοποιούν εργαλεία που έχουν ήδη εγκριθεί και εγκατασταθεί από την ομάδα IT σας – όπως για παράδειγμα, το PowerShell, ένα νόμιμο εργαλείο διαχείρισης που χρησιμοποιείται για την αυτοματοποίηση διεργασιών – και τα χρησιμοποιούν για να τρέχουν «exploits» (ειδικά επιθέσεις χωρίς αρχεία), να «λυμαίνονται» διαπιστευτήρια και να «σαρώνουν» το δίκτυο.

2) Ασυνήθιστη συμπεριφορά χρηστών

Το κυνήγι απειλών μπορεί επίσης να «αναδείξει» προβληματική ή ανώμαλη δραστηριότητα χρηστών, γεγονός που μπορεί να υποδηλώνει πιθανές απειλές με εμπλεκόμενο κάποιον υπάλληλο σας. Ενέργειες που θα μπορούσαν να υποδεικνύουν έναν κακόβουλο υπάλληλο περιλαμβάνουν πολλαπλές αιτήσεις για κλιμάκωση προνομίων, «κατέβασμα» μεγάλων ποσοτήτων δεδομένων σε περίεργες ώρες, συνδέσεις πολύ αργά το βράδυ ή μαζικές λήψεις ή διαγραφές αρχείων – συμπεριφορές δηλαδή και ενέργειες που δεν συμπεριλαμβάνονται στα κανονικά καθήκοντα του υπαλλήλου και που πιθανόν δείχνουν ότι σχεδιάζουν, για παράδειγμα, να αλλάξουν δουλειά ή να εκδικηθούν την επιχείρηση σας.

3) Παλιά ή μη χρησιμοποιούμενα μηχανήματα 

Σε μια περίοδο τεχνολογικού αναβρασμού, ενδέχεται να είναι χάσετε τα «ίχνη» ενεργών σταθμών εργασίας και άλλων συστημάτων, που εξακολουθούν να αποτελούν κίνδυνο για μια εταιρεία. Ένας από τους κυνηγούς απειλών της Trustwave έκανε λόγο για μια περίπτωση  κατά την οποία η ομάδα του αναγνώρισε ορισμένες διευθύνσεις IP μέσα σε ένα δίκτυο που συμπεριφέρονταν παράξενα. Οι κυνηγοί παρουσίασαν αποδείξεις στον πελάτη, ο οποίος χρειάστηκε τρεις εβδομάδες για να εντοπίσει τους υπολογιστές που δημιουργούσαν το πρόβλημα – βρίσκονταν αποθηκευμένοι εν αγνοία του, σε ένα γραφείο κάπου.

4) Παραβιάσεις πολιτικών

Μία απειλή από το εσωτερικό της εταιρείας σας, δεν σημαίνει ότι προέρχεται από κάποιον κακόβουλο υπάλληλο – μερικές φορές ένας εργαζόμενος προσπαθεί να κάνει το σωστό, αν και «παραβλέπει» τόσο τις πολιτικές ασφάλειας όσο και τις συνέπειες των ενεργειών του. Επιστρέφοντας στο προηγούμενο παράδειγμα του PowerShell, ένας εργαζόμενος στο λογιστήριο μπορεί να έχει ανακαλύψει ότι το εργαλείο του είναι χρήσιμο για την αυτοματοποίηση των αναφορών του, ωστόσο δεν γνωρίζει ότι οι εισβολείς μπορεί επίσης να το χρησιμοποιήσουν για να εκτελέσουν κακόβουλα scripts. 

5) Shadow IT

Υπάρχουν πολλοί τρόποι να προσκαλέσετε κακόβουλο περιεχόμενο ή κινδύνους διαρροής δεδομένων στον οργανισμό σας και ο πολλαπλασιασμός του web-based και cloud-based λογισμικού άνοιξε αυτή την πόρτα ακόμα περισσότερο. Ενώ πολλοί υπάλληλοι (συμπεριλαμβανομένων των στελεχών σε επίπεδο C) εγκαθιστούν εφαρμογές, συχνά επικαλούμενοι την επιθυμία τους να τις χρησιμοποιήσουν για τη βελτίωση της παραγωγικότητας τους, συνήθως καταλήγουν εκτός ελέγχου αυξάνοντας την επιφάνεια επίθεσης μιας επιχείρησης. Μερικές φορές, το κίνητρο ενός χρήστη για μια τέτοια λήψη δεν είναι τόσο επικεντρωμένο στην εργασία: ο προαναφερόμενος κυνηγός απειλών ανακάλυψε πρόσφατα μια επιχείρηση «mining» Pokemon Go, κατά την οποία ένα μέλος της ομάδας IT χρησιμοποιούσε διάφορα συστήματα για να «πιάνει» τα πλάσματα επαυξημένης πραγματικότητας.

Γνωρίζοντας όλα όσα μπορούν να βγουν στην επιφάνεια από ένα κυνήγι απειλών, μπορείτε άμεσα να αναλάβετε δράση για τη μείωση του κινδύνων εντός του οργανισμού σας. Σκεφτείτε, ότι δεν είναι μόνο o παράγοντας APT (Advanced Persistent Threat) που μπορεί να «γονατίσει» την επιχείρηση σας.

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.