Light mode

9 стратегий защиты. Не можешь устранить хакера? Удлини его путь к цели

7 минут
  • #Defence
  • #Белый хакер

Занимаясь защитой, мы обычно фокусируемся на том, чтобы не допустить плохих парней до их цели, до реализации недопустимого события, которое может быть осуществлено через одну или несколько целевых систем. Часто это фокус на том, чтобы не подпустить хакера к этим системам. Но единственная ли это стратегия?

Давайте посмотрим на простую модель реализации абсолютно любой атаки. Она состоит всего из трех элементов: хакера, актива/цели и канала реализации атаки. Устранение любого из этих элементов приводит к тому, что атака будет неуспешной.

схема.svg

Давайте попробуем порассуждать и понять: какие стратегии защиты у нас могут быть с точки зрения этой модели? Я бы выделил девять:

  1. Устранить хакера.
  2. Сделать цель недоступной.
  3. Устранить все уязвимости, через которые действуют злоумышленники.
  4. Сделать канал реализации атаки невозможным.
  5. Усложнить атаку (сделать ее долгой).
  6. Сделать атаку очень дорогой.
  7. Обнаруживать атаки быстрее.
  8. Уменьшить площадь атаки.
  9. Привлечь белых хакеров.

Устранение хакера

Эта стратегия направлена не на физическое устранение злоумышленника или отправку его в места не столь отдаленные (это все-таки находится вне сферы деятельности специалистов по ИБ), а на создание условий, при которых его деятельность становится невозможной — именно его, а не используемого им инструментария.

pr устранение хакера.png

Навскидку можно предложить 5 вариантов реализации этой стратегии, требующих достаточно высокого уровня технической и юридической зрелости:

  • Контратаковать ресурсы атакующих. Этот нередко рекомендуемый и даже иногда реализуемый сценарий находится в серой зоне законодательства, а может быть даже и в явно запрещенной, квалифицируемой по статье 272 УК РФ.
  • Блокировать ресурсы атакующих. Это гораздо проще, чем их контратаковать: достаточно просто внести соответствующие IP-адреса, домены или автономные системы в черный список в NGFW или иных средствах защиты или обеспечения доступа в интернет.
  • Разделегировать домены.
  • Обратиться в правоохранительные органы.
  • Провести threat actor intelligence, то есть сработать на опережение, отслеживая в даркнете потенциальные площадки, где встречаются хакеры, размещаются и берутся заказы, обсуждают возможные цели.

Недоступность цели

Вместо создания условий, которые делают невозможной деятельность хакера, можно сделать недоступной цель атаки. Это может быть достигнуто:

  • за счет блокирования доступа к цели с помощью межсетевых экранов, ACL, NAT;
  • динамической смены адресации у цели. Есть даже патенты, описывающие ежеминутную смену адреса сервера для защиты от хакеров
  • динамической смены сетевой топологии за счет применения виртуализации и облаков.

pr недоступность цели.png

Скорейшее обнаружение атаки

Эта стратегия достаточно традиционна для любого специалиста по ИБ, и именно поэтому она требует отдельных пояснений. Стоит помнить, что для обнаружения атак бессмысленно использовать какое-то одно решение или технологию. Серебряной пули не существует. С учетом разносторонности и атак, и каналов их реализации, и техник, и тактик технологии тоже должны быть разнообразными. Достаточно только посмотреть на типы источников и «контейнеров» для угроз, чтобы понять, насколько непросто реализовать эту стратегию (см. таблицу).
 

 ФайлTCP/IPURLFlowЛогиE-mailДоменыМета-данные Web-трафикаАктивность пользователяАктивность приложенийAPI
Периметрхххххххххх 
Серверахх ххххххх 
ПКхх ххххххх 
Мобильные устройствахх ххххххх 
Внутренняя сетьххххх хх х 
Wi-Fiххххх хх х 
3G / 4G / 5Gхххх  хх х 
АСУ ТПххххх хххх 
Облакаххххх х ххх
Приложения    хх  ххх
Виртуальная машинахх хххххххх
Контейнерхх хххххххх
Сетевые устройствахх хх х хх 
Таблица. Источники и «контейнеры» для описания угроз

Устранение всех уязвимостей

Это тоже очевидная для специалистов стратегия, которая заключается в выявлении и устранении известных и Zero Day уязвимостей. И здесь тоже важно не допустить ошибку, сфокусировавшись только на инфраструктурных уязвимостях, дырах в приложениях и веб-сервисах. Уязвимости также могут быть:

  • в аппаратном обеспечении;
  • конфигурации систем;
  • архитектуре систем;
  • поведении людей;
  • моделях и алгоритмах;
  • данных.

И все они должны быть идентифицированы для устранения слабых мест, используемых злоумышленниками разными способами — от социального инжиниринга до технической эксплуатации.

Уменьшение площади атаки

Предыдущую стратегию можно сузить до более приземленной — вместо устранения всех уязвимостей, что иногда бывает физически невозможно, можно сфокусироваться на уменьшении площади атаки, то есть нивелировании причин, приводящих к успешной реализации атак. К таким способам можно отнести:

  • отказ от использования административных прав там, где в этом нет необходимости, для реализации принципа минимума привилегий;
  • закрытие неиспользуемых портов;
  • отключение ненужных сервисов;
  • удаление ненужных приложений и расширений (плагинов);
  • запрет неиспользуемых протоколов.

pr уменьшение площади атаки.png

Эти достаточно очевидные и простые методы почему-то игнорируются большинством компаний. Поэтому государство не только обратило внимание на эту проблему, но и взяло ее под контроль. В частности, был принят приказ ФСБ от 11.05.2023 № 213 «Об утверждении порядка осуществления мониторинга защищенности информационных ресурсов…». Согласно ему российская спецслужба будет проводить анализ защищенности публичных ресурсов субъектов КИИ и других организаций, попадающих под действие 250-го Указа Президента России. У Роскомнадзора также есть планы по анализу защищенности внешних ресурсов на предмет имеющихся в них уязвимостей. Аналогичные планы есть и у ФСТЭК, которая в случае принятия соответствующих поправок в законодательстве сможет оценивать защищенность объектов топливно-энергетического комплекса.

Привлечение белых хакеров

Еще одна стратегия защиты от плохих парней — их опережение. Я имею в виду не анализ их активности с помощью threat actor intelligence, а приглашение легальных хакеров, которые смогут первыми проверить все возможные способы проникновения в организацию. Она, в свою очередь, сможет их своевременно перекрыть или устранить.

Среди этих способов:

  • тесты на проникновение (пентесты) и red teaming;
  • собственные программы поиска уязвимостей за вознаграждение (багбаунти);
  • внешние открытые и приватные программы багбаунти;
  • пентесты на платформах багбаунти;
  • багбаунти на максималках — верификация недопустимых событий.

Удорожание атаки

Если перефразировать известную аксиому о том, что цена защиты не должна превышать стоимость защищаемой информации, а «стоимость атаки должна превышать стоимость защищаемой информации», то у нас появляется еще одна стратегия. Она заключается в удорожании инструментов хакеров, способов их использования, привлечения и т.п. Раньше эта стратегия вполне себя оправдывала, пока хакерский инструментарий не превратился в коммодити, то есть стал доступен всем без исключения. И утечки киберарсенала из АНБ и ЦРУ, произошедшие несколько лет назад, а также регулярно выбрасываемые в свободный доступ исходники самых современных шифровальщиков, только ухудшают ситуацию. Поэтому цена большинства атак сегодня стала катастрофически низкой, а дорожает только защита.

Усложнение атаки

Если мы не можем устранить цель, хакера, уязвимости или уменьшить площадь атаки, то нам остается примириться с фактом возможности проникновения злоумышленников в инфраструктуру. Но это еще не причина опускать руки. Можно попробовать взять немного от всех ранее описанных стратегий, поставив себе задачу удлинить, изолировать и сделать видимым движение хакера по инфраструктуре. Это повышает вероятность его оперативного обнаружения и блокирования. Помимо ранее перечисленных сценариев, есть следующие варианты:

  • сегментация инфраструктуры;
  • использование нетипичных портов для приложений и сервисов;
  • шифрование данных;
  • применение обманных систем.

С помощью этих методов мы устраняем самые простые точки проникновения, которыми пользуются хакеры, усложняем их перемещение по атакуемой инфраструктуре, увеличиваем время движения по цепочке атаки, делая все, чтобы оно было больше времени обнаружения за счет анализа журналов регистрации и иных источников данных.

Что выбрать?

В заключение вы, наверное, ждете рецепта и совета, какую из стратегий выбрать. Но, увы, я не дам ни того ни другого. Я не знаю ни ваших ресурсов, ни вашей текущей ситуации, ни ваших целей. А без этого любой мой совет может направить вас по ложному пути. Однако подсказку все-таки дам. У каждой из стратегий есть свои плюсы и минусы, своя область применения и ограничения. Но присмотритесь к последней описанной мной стратегии — она является комбинацией ряда предыдущих, а значит, вобрала в себя все лучшее, что в них было; правда, и не без ограничений всех этих стратегий.

Мы дěлаем Positive Research → для ИБ-экспертов, бизнеса и всех, кто интересуется ✽ {кибербезопасностью}