Försvar Offensivt Underrättelser

Teknisk Lägesbild - Ett Cyberperspektiv

Monday, November 23, 2020

FörsvarUnderrättelserLägesbild

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet
 cstromblad @nopatience blog@x90.se

I den här artikeln utforskar jag och skriver om tekniska lägesbilder. Jag drar från min erfarenhet med att skriva Situational Reports (SITREPs) i Locked Shields 2019 , mina egna underrättelserapporter , underrättelsebrevet och så självklart delvis från mitt arbete.

Lägesbilder kan levereras i många olika tappningar, format och med många olika mottagare. Den tekniska lägesbilden jag skriver om här beskriver en uppfattning om hur väl vi lyckas i vårt uppdrag att skydda vår organisation.

Nyckelinsikter

  • Den tekniska lägesbilden är en iterativ typ av produkt som över tid förklarar om ni klarar av att skydda organisationens tekniska infrastruktur, och om inte vilka behov av resurser och beslut ni har.
  • Skyddsvärden i sammanhang av en teknisk lägesbild är den infrastruktur som er organisation använder för att sälja de produkter eller tjänster ni säljer.
  • Används för att identifiera brister i skyddsåtgärder, för att prioritera införande av skyddsåtgärder, för att sammanfatta relevanta händelser avseende er förmåga att hantera cyberangrepp.

Förutsättningarna för en teknisk lägesbild

För att kunna förmedla denna uppfattning behöver vi ha några saker klart för oss:

  • Vad skyddar vi? Vilka är våra skyddsvärden?
  • Hur sårbara är våra skyddsvärden?
  • Vilka tekniska skyddsförmågor har vi?
  • Vilka gränsytor har vi mot omvärlden?
  • Vilka angrepp har vi upptäckt eller förhindrat?
  • Vem har utfört dessa angrepp?
  • Vilka behov av resurser eller beslut finns?

Vad skyddar vi?

I sammanhang av den tekniska lägesbilden handlar inte skyddsvärden om att beskriva HR- eller ekonomisystemet, forskningsarbete eller personuppgifter. För den tekniska lägesbilden är våra skyddsvärden den tekniska infrastrukturen som kan utsättas för angrepp. Och vad består den av kanske du undrar?

De system ni direkt exponerar mot internet som t.ex. servrar i DMZ (e-postservrar, webb-servrar). Utöver direkt exponerad infrastruktur har ni indirekt exponerad infrastruktur som klientdatorer .

När vi sedan översätter den direkt och indirekt exponerade infrastrukturen till förmågor kan det se ut ungefär så här:

  • Vår förmåga att upprätthålla e-handelsplatsen.
  • Vår förmåga att tillhandahålla svenska medborgare möjligheten att anmäla brott via vår webb-plats.

Infrastrukturen finns endast för att tjäna ett syfte, tjäna en förmåga (eller flera!). Det är dessa förmågor vi skyddar och för dessa vi levererar en teknisk lägesbild.

Hur sårbara är våra skyddsvärden?

Tekniska system har sårbarheter, kända eller okända. En viktig pusselbit i den tekniska lägesbilden är således information kring sårbarheter i den tekniska infrastrukturen (era skyddsvärden). En sårbarhet i den externa infrastrukturen kan ge en angripare ett nödvändigt och viktigt fotfäste, kanske giltiga inloggningsuppgifter ?

En sårbarhet kan också vara att ni saknar förmåga att upptäcka försök till intrång.

Gränsytor mot omvärlden

  • Vilka tjänster och applikationer exponerar vi mot internet?
  • Vilka tjänster och applikationer exponerar mot betrodda parter?

Givetvis handlar det inte endast om nätverksmässiga gränsytor. Hur installerar vi applikationer på våra klienter, eller servrar? Granskas varje applikation innan den installeras? Installationen av applikationen blir således gränsytan mellan angripare och klient. Tänk supply-chain angrepp som exemplifierar denna gränsyta.

Eller varför inte en mer traditionell gränsyta som en USB-enhet…

Gränsytorna är där vår organisation möter angriparen. Där angriparen får en möjlighet att påverka vår organisations integritet (eng. integrity, inte privacy!). Förklaring. När en angripare utnyttjar en sårbarhet i en applikation och genom det ändrar exekveringsflödet är det precis integriten som har påverkats. Samma sak gäller en organisation. När en sårbarhet utnyttjas har organisationens integritet påverkats.

En teknisk lägesbild behöver förståelse för de gränsytor där våra skyddsvärden möter angriparen. Den mest uppenbara och också enklaste att inventera är er externa nätverksperimeter. Den del av internet där ni tillgängliggör en tjänst eller två.

De tekniska skyddsförmågorna

Er sammantagna skyddsförmåga består av flera olika åtgärder som ni, eller någon annan, bedömt som lämpliga i uppdraget för att skydda organisationen från angrepp. Ni har troligtvis någon form av brandvägg med en uppsättning funktioner och mekanismer. En lösning för virtuella privata nätverk (VPN) som möjliggör att användare kan ansluta till interna applikationer och tjänster. På era klientdatorer har ni sannolikt någon form av klientskydd. Och så vidare, och så vidare.

De tekniska skyddsförmågorna ger oss en möjlighet att förhindra eller upptäcka angrepp. Er säkerhetsövervakning har till uppgift att bevaka och agera på larmen, utreda om det finns anledning att eskalera ett ärende till incident. Vad lägesbilden gör är att förklara hur väl skyddsförmågorna hanterar verkligheten de möter. Hur väl ni lyckas med uppdraget att skydda organisationen.

Vilka angrepp har ni utsatts för?

  • Hur många portscanningar har ni upptäckt?
  • Hur många försök av SQLi-angrepp har er e-handelsplats utsatts för?

Skyddsförmågorna och de larm som säkerhetsövervakningen utreder kan aggregerat ge dig insikt i hotbilden. Antag följande scenario. Säkerhetsöveravkningen får återkommande larm om, men nekade, försök till SQLi mot er e-handelsplats. Säkerhetsövervakningen ställer sig frågan om hur många försök som lyckats, är det 9/10 blockerade försök, eller 1/10?

Den tekniska lägesbilden försöker sätta angreppen i ett större sammanhang. Vilka ligger bakom? Har andra organisationer utsatts för samma försök? Är IP-adresserna kända sedan tidigare som angripare?

Vem har utfört angreppen?

  • Vad kan vi säga om angriparna? Utsätts vi för kvalificerade angrepp, eller breda, icke-riktade angrepp?
  • Finns det några korrelationer mot kända aktörer?

Med hjälp av de tekniska lägesbilderna samlar vi information. Förekommer någon typ av angrepp ofta, eller kanske någon IP-adress? Lägesbilden ska också förmedla information som utvecklas över tid, incidenter som någon gång började som en oskyldig port-scan.

Vilka behov av resurser och beslut har ni?

Den yttersta målsättningen med den tekniska lägesbilden är att besvara frågan om vi klarar av uppdraget och om inte, vilka behov avseende resurser och beslut har vi?

  • Klarar vi av att skydda organisationen?
  • Vilka resurser behöver vi, teknik eller personal?
  • Vilka beslut är nödvändiga att fatta?

När vi sammanställer all information enligt ovan frågeställningar kommer en lägesuppfattning börja framträda som avslöjar vilken information vi har, vilken vi saknar och hur väl vi står rustade för uppdraget.

Den första tekniska lägesbilden

Den allra första tekniska lägesbilden kanske omedelbart identifierar att vi saknar förmåga att besvara flera av ovan frågor. Ni kanske fullständigt saknar insyn i hur många angrepp som blockerats? Ni har kanske ingen sammanställning på vilka förmågor som finns exponerade i DMZ?

Det är HELT ok och kanske t.o.m förväntat. Den tekniska lägesbilden är iterativ och byggs således upp över tid.

Exempel 1

Sammanfattning Under den aktuella perioden har ett av totalt 14 internet-anslutna system utsatts för ett vad vi bedömer vara ett kvalificerat försök till intrång och utreds i ärende CI-2020-023.

Behov av beslut och resurser

  • Beslut: Genom intrångsförsöket har vi identifierat en nödvändig skyddsåtgärd men analys och utredning behövs och beräknas till cirka 40 timmar.

Skyddsvärden

  • VPN-server. Status (KRITISK) - Kvalificerat försök till intrång. Sannolikt tidigare okänd sårbarhet utnyttjad. Identifierad genom misstänkta nätverkskopplingar från aktuell server till närliggande infrastruktur (DTE0017).
  • Publik hemsida. Status (OK). Inga händelser.

Skyddsförmågor Skyddsvärde mappad mot typ av angrepp och försvarande åtgärd, enligt MITRE. (Denna del bör betraktas som experiemantativ.)

  • VPN-server:
    • T1046 - Network scanning (angripare)
      • DTE0017 - Decoy System (försvarare)
  • Publik hemsida:
    • T1190 - Exploit Public-Facing Application (angripare)
      • DTE0013 - Decoy Diversity (försvarare)

Nätverkskarta

312.112.114.101 80/TCP 443/TCP - www.cstromblad.com - (1:C 0:H 1:M 4:L) VARNING: ÅTGÄRD NÖDVÄNDIG! Identifierad sårbarhet. 312.112.114.102 3389/TCP - remote.cstromblad.com - (0:C 1:H 0:M 2:L) Status: OK 312.112.114.103 443/TCP - staging.cstromblad.com - (0:C 0:H 1:M 0:L) Status: INFO - Ökad norm aktivitet.

Exempel 2

Sammanfattning Under aktuell period har flertalet (11/14) av våra internet-anslutna system utsatts för angrepp men samtliga bedöms som icke-kvalificerade och automatiserade.

Vi har proaktivt infört temporära skyddsåtgärder för phishing-angrepp som utger sig för att vara Postnord.

Behov av resurser och beslut Inga i skrivande stund.

Skyddsvärden

  • E-handelsplattform. Status (VARNING) - Under aktuell period har vi utsatts för flertalet cyberangrepp, i huvudsak mot vår e-handelsplattform. Identifierade angrepp har utförts med vad vi bedömer låg komplexitet, exempelvis flertalet uppenbara SQLi-attacker.
  • E-postserver. Status (OK) - Något ökande trend av inkommande meddelanden med skadlig kod och skadliga länkar.
  • VPN-server. Status (OK) - Inga händelser.
  • Publika hemsida. Status (OK) - Försök till spegling av sajt, blockerat.
FörsvarUnderrättelserLägesbild

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet
 cstromblad @nopatience blog@x90.se

Intrångsvektorn: Supply Chain när underleverantörer angrips

MITRE Shield - Aktivt Cyberförsvar