نقض SolarWinds ، که سال گذشته کشف شد ، نشان داد که چگونه ، با مهارت کافی ، بدافزار می تواند برای سالها “به خانه تلفن” برسد ، اما کاملاً قابل شناسایی نیست. هکرها راه هایی را در مورد رویکردهای متداول برای اسکن ترافیک خروجی در یک شبکه سازمانی پیدا کردند.
ارتباطات آنها در داخل کانالهای ارتباطی قانونی موجود – مانند مکانیزم بروزرسانی نرم افزار خود فروشنده – پنهان بود و ارتباطات به سمت سرورهای AWS بود.
وینسنت برک ، CTO و معمار ارشد امنیتی در Riverbed ، فروشنده نظارت بر عملکرد شبکه مستقر در سانفرانسیسکو ، گفت: “آنها سرورهای خود را دقیقاً در اینجا در آمریکا چرخانده اند ، بنابراین به نظر می رسد ترافیک عادی است.” خاموش کردن ترافیک AWS برای اکثر مراکز داده غیر قابل تصور است.
متداول ترین روشهای تشخیص ، جستجوی اطلاعات مشکوک در ترافیک خروجی (به عنوان مثال شماره کارت اعتباری) یا دیدن اینکه آیا ترافیکی به مقصد مشکوک محدود است (آیا به سمت سروری در کره شمالی هدایت می شود؟) است. در مورد نقض گسترده SolarWinds به نظر نمی رسد چنین پرچم های قرمز بالا رفته باشد.
برای اکثر بدافزارها ، برقراری ارتباط با دارندگان آن ، به منظور انتقال اطلاعات از طریق اطلاعات یا صرفاً برای بررسی دستورالعمل های بیشتر با دستور و کنترل ، یک قابلیت اساسی است. و امروز ، مدافعان شبکه سازمانی در رقابت تسلیحاتی ارتباطات عقب مانده اند.
دفاع انسان در میانه
یک شرکت استارت آپ امنیت سایبری که توسط سه مقام عالی رتبه سابق امنیت سایبری دولت آمریکا تشکیل شده است ، ادعا می کند که راهی جدید برای پیشبرد آن پیدا کرده است. فناوری Trinity Cyber با جایگزینی فعالانه محتوای مخرب با برنامه های خوش خیم ، ترافیک داده ها را در داخل و خارج از سازمان پاک می کند.
پیتر شوارد ، تحلیلگر گارتنر ، در یک رویکرد جدید در بازار در گزارش اخیر خود اظهار داشت: “ترینیتی سایبر” قادر به ارسال پاسخ نادرست به دشمنان است تا آنها را گیج کرده و آنها را از هدف خود منحرف کند ، و آنها واقعاً نمی فهمند که چرا موفق نبوده اند. “
در حقیقت ، این یک تاکتیک مردانه در وسط است ، با این تفاوت که به جای اینکه ابزاری برای جرایم اینترنتی باشد ، برای مبارزه با آن اعمال می شود.
سرویس Trinity Cyber دقیقاً خارج از محیط مرکز داده قرار دارد. اولین ایستگاه هنگام خروج ترافیک از شبکه سازمانی یا آخرین هاپ قبل از ورود به آن است. و جایگزین دیوارهای آتش موجود ، سیستم های تشخیص نفوذ یا حفاظت از نقطه پایانی نمی شود. در عوض ، این به عنوان یک لایه دفاعی اضافی عمل می کند ، لایه ای که بر روی تکنیک های خاصی متمرکز است که مهاجمان به جای اسکن ترافیک برای یافتن شاخص های شناخته شده سازش ، از آنها استفاده می کنند.
این شرکت ادعا می کند که می تواند دو برابر یا سه برابر تعداد حوادثی را که یک فایروال نسل بعدی معمولی می تواند با نرخ مثبت کاذب “تقریباً صفر” بدست آورد ، بگیرد. پس از کشف ترافیک مخرب ، مشتریان می توانند آن را مسدود کنند ، سایر اقدامات سنتی را انجام دهند ، یا آن را اصلاح کنند و اجازه دهند از آن عبور کند.
تام بوسرت ، رئیس شرکت و یکی از بنیان گذاران آن گفت: “ما در مورد این شخص هیچ کس در این بازار نشنیده ایم.” “ما احساس می کنیم یک زیربخش جدید یا یک ربع جدید هستیم.”
بوسستر قبل از اخراج در سال 2018 به عنوان مشاور عالی امنیت سایبری در کاخ سفید ترامپ فعالیت می کرد. بنیانگذاران وی در ترینیتی مدیر عامل شرکت استیو رایان ، معاون سابق آژانس امنیت ملی و ماری سیارارون ، مشاور جورج دبلیو بوش هستند. اداره امور امنیت سایبری
یک نمونه معمول از مسئله ای که Trinity Cyber برای حل آن طراحی شده است ، انفجار داده های DNS است. مهاجمان از قسمتهای اضافی موجود در پروتکل DNS که معمولاً اطلاعات را حمل نمی کنند ، استفاده می کنند و داده های خود را در آنها وارد می کنند. می توان از این روش هم برای انتقال اطلاعات از مرکز داده و هم برای انتقال قاچاق بدافزار به محیط استفاده کرد.
خاموش کردن ترافیک آلوده DNS می تواند مرکز داده را از اینترنت قطع کند. به علاوه ، این به افراد بدی می گوید که آنها کشف شده اند. می توان این بدافزار را تنظیم کرد که به طور خودکار حمله رمزگذاری را ایجاد کند ، سیستم ها را به طور ناخوشایند پاک کند ، به دنبال کانال ارتباطی دیگری باشد یا پاک کردن تمام آثار خود را شروع کند.
رایان به DCK گفت: “تشخیص سیگنال های موجود در این زمینه های داده بسیار دشوار است.” “پروتکل ها و انواع پرونده های زیادی در آنجا وجود دارد که به افراد بد اجازه می دهد هر چیزی را که می خواهند از بالا بارگذاری کنند.”
حتی رمزگذاری اطلاعاتی که مهاجمان ارسال می کنند نیز اهمیتی ندارد. وی گفت: “ما می توانیم ببینیم كه آن تعلق ندارد و می توانیم ببینیم كه این داده های رمزگذاری شده با آنتروپی زیاد است و ما آنها را بیرون می آوریم.”
‘حملات زمان بندی’
Trinity Cyber در حال حاضر به دنبال هر نوع روش احتراق داده ها نیست. به عنوان مثال حملات مبتنی بر زمان را در نظر بگیرید.
تقریباً هر چیزی می تواند به یک روش ارتباطی تبدیل شود ، رودخانه بستر رودخانه به DCK گفت. “هر چیزی که می توانید اصلاح کنید ، می توانید داده ها را در آن رمزگذاری کنید.”
اگر بدافزار بتواند زمان پیام ها را کنترل کند ، می تواند از تأخیرها به عنوان ارتباط استفاده کند. در ساده ترین حالت ، مکث طولانی بین بسته ها می تواند “یک” و مکث کوتاه “صفر” باشد.
چند سال پیش ، این یک روش بسیار کند برای ارسال اطلاعات بود. اما مراکز داده امروزی بیش از هر زمان دیگری داده را با سرعت بیشتری ارسال می کنند.
برک گفت: “در یک شبکه 100 گیگابیتی ، شما کیلوبیت در ثانیه ظرفیت انفجار دارید.” “هیچ کس نمی داند که شما چه کاری انجام می دهید – این تقریباً غیرقابل شناسایی است.”
وی گفت که یک بار که یک هکر به ایده ای رسید ، ساخت یک سیستم برای این کار چندان سخت نیست. “ممکن است ساختن یک نوع کانال اکسفیلتراسیون به یک مهاجم چند روز طول بکشد. ساخت یک آشکارساز برای آن نوع اکسفیلتراسیون ممکن است ماه ها یا سالها طول بکشد.”
برای تشخیص این ارتباط خاص ، مراکز داده باید توزیع زمان بندی بسته ها را بررسی کنند.
رایان از ترینیتی سایبر گفت: “من مدت طولانی در NSA بودم.” “زمان بندی تکنیکی بود که ما با آن بازی کردیم.”
Trinity این توانایی را دارد که به محتوای کامل هر جلسه اینترنتی نگاه کند و یک حمله زمانبندی را مشاهده کند ، اما هنوز این کار را انجام نمی دهد.
وی گفت: “اگر بتوانید توصیف كنید كه تهدید در یك جلسه شبكه چگونه است ، ما می توانیم آن را بیابیم.” اما امروزه گزینه های ساده تری برای لایه برداری در اختیار هکرها قرار دارد که این روش به طور گسترده ای مورد استفاده قرار نمی گیرد.
اگرچه این تغییر کند و مهاجمان شروع به استفاده از حملات زمان بندی (یا روشهای جدید دیگری که شامل یک جلسه شبکه می شود) کنند ، Trinity آماده است ، Bossert گفت. “ما زیرساخت ها و مهندسی لازم برای انجام آن را داریم.”
پس از شناسایی و خنثی شدن حمله ، Trinity Cyber کلیه اطلاعات مربوطه را به تیم امنیتی مرکز داده ارسال می کند. این شامل توصیفاتی است که توسط انسان قابل خواندن است و داده های قابل خواندن توسط ماشین که SIEM ها و ابزارهای فایروال دوست دارند ببینند.
داغتر شدن سرقت داده ها
حملات سایبری که به منظور جاسوسی اطلاعات انجام می شود ، در حال افزایش است و به این بدافزار اهمیت بیشتری می دهد تا در خانه تلفن کند. لیز میلر ، معاون اصلی و تحلیلگر اصلی در تحقیق سازه ها ، گفت: حتی متخصصان باج افزار نیز درگیر بازی اکسفیلتراسیون هستند.
طبق گزارش اخیر فروشنده امنیت سایبری Coveware ، 70 درصد حملات باج افزار در سه ماهه چهارم سال 2020 تهدید به نشت اطلاعات منجمد شده است – این در حالی است که در سه ماهه سوم 43 درصد بوده است.
این واقعیت که مهاجمان می خواهند بدافزارشان با آنها ارتباط برقرار کند ، به مدیران امنیتی مرکز داده فرصت می دهد تا حملات را مسدود کنند. در صورت تشخیص ترافیک مشکوک ، می توانند ارتباطات را قطع کرده و مجدداً آن را به منبع خود برسانند تا عفونت خاموش شود.
کریس ویلیامز ، معمار راه حل های سایبری در Capgemini گفت: “ترافیک خروجی باید به عنوان بخشی از برنامه کلی امنیت ترافیک شبکه مورد تجزیه و تحلیل ، طبقه بندی و فیلتر شود.” “به طور خاص ، بازدید از وب سایت های ناشناخته یا مشکوک باید رهگیری ، رمزگشایی و تجزیه و تحلیل شود.”
راه های زیادی برای تلفن نکردن در خانه وجود ندارد
حملات زمانبندی تنها یکی از بسیاری از استراتژیهای ارتباطی قابل شناسایی برای هکرها است.
روش ارتباطی دیگر ممکن است تغییر پرچم های هدر در پیام های TCP / IP باشد. برک گفت: “یافتن این موارد واقعاً دشوار است.”
وی توصیه می کند که مدیران امنیت سایبری مراکز داده نوع داده های گزارش را که جمع آوری می کنند به طرز چشمگیری گسترش دهند.
وی گفت: “من می توانم سعی كنم آنچه را كه در شبكه من اتفاق می افتد ، آنچه در نقاط پایانی من اتفاق می افتد ، و آنچه در سرورهای من اتفاق می افتد را ضبط كنم.” “من امروز نمی دانم که فردا باید چه چیزی را بررسی کنم. ما به دید چند زاویه ای خوب و سابقه پزشکی قانونی نیاز داریم.”
وضعیت ضعیف نظارت
Capgemini’s Williams گفت: “فقط پیشرفته ترین سازمان ها اتصالات خروجی TCP / IP را کنترل می کنند و نظارت پیچیده و گران است.” با استفاده گسترده از رمزگذاری در مرور وب ، نظارت بر مرور وب از همیشه دشوارتر است.
این فقط ترافیک TCP / IP است. وقتی صحبت از پروتکل های دیگر می شود ، نظارت کاملاً وجود ندارد.
ویلیامز گفت: “این یک مشکل دشوار برای حل است ، زیرا بسیاری از مسیرهای ارتباطی خروجی از سازمانهای معمولی وجود دارد.”
بسیاری از این کانالها به طور معمول قانونی هستند و قطع آنها به عملیات آسیب می رساند. به عنوان مثال ، شناخته شده است که مهاجمان ارتباطات DNS ، کانال های فروشنده مانند کانال SolarWinds را ربوده و یا به وب سایت های قانونی مراجعه می کنند ، جایی که مهاجمان به افزونه ها ، افزودنی ها ، تبلیغات یا تعبیه شده اند.
Mathieu Saulnier ، مدیر ارشد پاسخگویی به حوادث امنیتی در Syntax ، ارائه دهنده ابر مدیریت شده برای برنامه های مهم ماموریت ، گفت: مهاجمان همچنین دامنه های قانونی اما منقضی شده را در دسته های حساس مانند خدمات بانکی یا بهداشتی خریداری کرده اند.
وی به DCK گفت: “دامنه های متعلق به آن دسته معمولاً برای جلوگیری از GDPR و سایر مقررات از رمزگشایی SSL حذف می شوند.”
همانطور که مهاجمان مدام استراتژی های خود را تغییر می دهند ، ابزارهایی که برای جستجوی ترافیک مشکوک استفاده می شوند نیز باید تغییر کنند.
باب پترسون ، معمار امنیت و CTO در خدمات در دسترس بودن Sungard ، به DCK گفت: “ابزارهای مبتنی بر امضا فقط حملات شناخته شده و تعریف شده را تشخیص می دهند.” “تشخیص ناهنجاری به دنبال تغییراتی در رفتار و مواردی است که غیر طبیعی به نظر می رسند.” اما با متغیرتر شدن میزان ترافیک ، تشخیص ناهنجاری تأثیر کمتری می یابد.
وی افزود: “هوش مصنوعی و یادگیری ماشینی هنوز به الگوریتم های استفاده شده ، حجم داده ها و انواع داده ها وابسته هستند.” “رمزگذاری ترافیک خروجی همچنین بسیاری از ابزارهای شناسایی را محدود می کند.”
میلر گفت ، این اغلب به معنی مدافعانی است که به صورت دستی سوابق را رصد یا تجزیه و تحلیل می کنند. این کار خسته کننده ، دشوار و به صورت پراکنده انجام می شود.
وی گفت: “این دشوار است زیرا بسیار پیچیده است ، به طور مداوم در حال حرکت است و دارای شتاب است.” “ابزاری که ما برای پایش و تجزیه و تحلیل ترافیک و حملات استفاده می کنیم ممکن است با هشدارها و اعلان ها هماهنگ باشند اما در واقع نمی توانند افرادی را که متهم به امنیت این سیستم ها هستند ، شبیه سازی یا تسریع کنند.”
وی گفت که این بدان معنا نیست که کارکنان امنیتی مرکز داده مقصر هستند. این یک کار حرام است. “غلبه بر باران کاملاً به معنای واقعی کلمه غیرممکن است.”