Defensores pensam em listas, atacantes pensam em grafos (2015)

Forma de pensar do defensor

• Muitas defesas de rede começam na direção errada antes mesmo de haver contato com o inimigo
• Os defensores se concentram em proteger ativos, definir prioridades e classificá-los de acordo com a função operacional
• Os defensores estão cercados por listas de ativos em serviços de gestão de sistemas, bancos de dados de inventário de ativos, planilhas de BCDR etc.
• O problema é que os defensores têm um grafo, não uma lista de ativos
• Os ativos estão conectados entre si por relações de segurança
• O atacante usa técnicas como spear phishing para invadir algum ponto do grafo e o explora em busca de sistemas vulneráveis

O que é um grafo?

• O grafo de uma rede representa as dependências de segurança entre os ativos
• O projeto da rede, sua administração, os softwares e serviços em uso e o comportamento dos usuários afetam o grafo
• Por exemplo, se a estação de trabalho de Bob, que administra o controlador de domínio (DC), não estiver protegida, o DC pode ser comprometido
• Outras contas com privilégios administrativos na estação de trabalho de Bob também podem comprometer o DC
• O atacante pode comprometer o DC por meio desses caminhos

As seis etapas de Mallory

• O atacante fica à espera em um dispositivo comprometido até que uma conta de alto valor faça login
• Um grafo de exemplo mostra como o atacante pode alcançar ativos de alto valor
• Ao comprometer um terminal server, é possível fazer dump de credenciais de muitos usuários
• O atacante explora o grafo e descobre vários caminhos para se mover até ativos de alto valor
• Para proteger ativos de alto valor, todos os elementos dos quais eles dependem também devem ser protegidos no mesmo nível

Dependências de segurança

• Em redes Windows, as credenciais podem ser roubadas quando um usuário realiza certos tipos de logon
• Vários tipos de relação criam dependências de segurança
  • Contas de administrador local com senha em comum
  • Servidores de arquivos e servidores de atualização de software que hospedam scripts de login para muitos usuários
  • Servidores de impressão que fornecem drivers de impressora para dispositivos cliente
  • Autoridades certificadoras que emitem certificados para logon com smart card
  • Administradores de banco de dados, que podem executar código em servidores de banco de dados, entre outros

Gerenciamento de grafos

• O que o defensor pode fazer:
  • Visualizar a rede para converter listas em grafos
  • Implementar controles que façam a poda do grafo
    • Inspecionar arestas indesejadas que geram grande conectividade
    • Reduzir o número de administradores
    • Usar autenticação de dois fatores
    • Aplicar uma abordagem de rotação de credenciais caso contas de usuário sejam comprometidas
    • Reavaliar relações de confiança entre florestas

Detectando a mentalidade de lista

• O defensor deve evitar que o atacante tenha vantagem ao visualizar o campo de batalha
• O defensor pode ter informações completas sobre a rede
• O atacante precisa estudar a rede aos poucos, em partes
• O defensor deve aprender com a forma como o atacante entende o grafo
• Gerenciar o que existe no mundo real é a mentalidade de um defensor preparado

Leitura adicional

• Artigos sobre vários grafos de ataque:
  • Heat-ray: Combating Identity Snowball Attacks Using Machine Learning, Combinatorial Optimization and Attack Graph
  • Two Formal Analyses of Attack Graphs
  • Using Model Checking to Analyze Network Vulnerabilities
  • A Graph-Based System for Network-Vulnerability Analysis
  • Automated Generation and Analysis of Attack Graphs
  • Modern Intrusion Practices
  • Attack Planning in the Real World

Resumo do GN⁺

• Este texto compara a forma de pensar da defesa de rede com a abordagem dos atacantes
• Ele enfatiza que os defensores devem entender a rede por meio de um grafo, e não de uma lista de ativos
• Os atacantes exploram o grafo para localizar vulnerabilidades e encontrar caminhos de ataque
• Os defensores podem reforçar a segurança ao visualizar a rede e gerenciar o grafo
• O texto é útil para quem tem interesse em segurança de redes e ajuda a entender a diferença entre a forma de pensar de atacantes e defensores