ผู้ป้องกันคิดเป็นลิสต์ ผู้โจมตีคิดเป็นกราฟ (2015)

วิธีคิดของผู้ป้องกัน

• การป้องกันเครือข่ายจำนวนมากเริ่มต้นผิดทิศก่อนจะได้ปะทะกับศัตรู
• ผู้ป้องกันมุ่งเน้นการปกป้องทรัพย์สิน จัดลำดับความสำคัญ และจัดหมวดหมู่ตามหน้าที่งาน
• ผู้ป้องกันแวดล้อมไปด้วยรายการทรัพย์สินจากบริการจัดการระบบ ฐานข้อมูลสินทรัพย์ และสเปรดชีต BCDR เป็นต้น
• ปัญหาคือสิ่งที่ผู้ป้องกันมีไม่ใช่รายการทรัพย์สิน แต่เป็นกราฟ
• ทรัพย์สินต่าง ๆ เชื่อมโยงถึงกันด้วยความสัมพันธ์ด้านความปลอดภัย
• ผู้โจมตีใช้เทคนิคอย่าง spearphishing เพื่อเจาะเข้ามายังจุดใดจุดหนึ่งในกราฟ แล้วสำรวจกราฟเพื่อหาระบบที่เปราะบาง

กราฟคืออะไร?

• กราฟของเครือข่ายแสดงการพึ่งพาด้านความปลอดภัยระหว่างทรัพย์สินต่าง ๆ
• การออกแบบเครือข่าย การดูแลจัดการ ซอฟต์แวร์และบริการที่ใช้งาน รวมถึงพฤติกรรมของผู้ใช้ ล้วนส่งผลต่อกราฟ
• ตัวอย่างเช่น หากเวิร์กสเตชันของ Bob ที่ใช้บริหารจัดการโดเมนคอนโทรลเลอร์ (DC) ไม่ได้รับการป้องกัน DC ก็อาจถูกเจาะได้
• บัญชีอื่นที่มีสิทธิ์ผู้ดูแลระบบบนเวิร์กสเตชันของ Bob ก็อาจทำให้ DC ถูกเจาะได้เช่นกัน
• ผู้โจมตีสามารถใช้เส้นทางเหล่านี้เพื่อเจาะ DC ได้

หกขั้นตอนของ Mallory

• ผู้โจมตีจะรออยู่ในอุปกรณ์ที่ถูกเจาะแล้ว จนกว่าบัญชีมูลค่าสูงจะล็อกอินเข้ามา
• ใช้กราฟตัวอย่างเพื่ออธิบายว่าผู้โจมตีสามารถไปถึงทรัพย์สินมูลค่าสูงได้อย่างไร
• หากเจาะ terminal server ได้ ก็สามารถดัมพ์ข้อมูลรับรองของผู้ใช้จำนวนมากได้
• ผู้โจมตีสำรวจกราฟและค้นพบหลายเส้นทางที่ใช้เคลื่อนไปยังทรัพย์สินมูลค่าสูงได้
• หากต้องการปกป้องทรัพย์สินมูลค่าสูง องค์ประกอบที่พึ่งพาทั้งหมดก็ต้องได้รับการปกป้องในระดับเดียวกัน

การพึ่งพาด้านความปลอดภัย

• ในเครือข่าย Windows ข้อมูลรับรองของผู้ใช้อาจถูกขโมยได้เมื่อมีการล็อกอินบางประเภท
• ความสัมพันธ์หลากหลายแบบก่อให้เกิดการพึ่งพาด้านความปลอดภัย
  • บัญชีผู้ดูแลระบบภายในเครื่องที่ใช้รหัสผ่านร่วมกัน
  • file server และเซิร์ฟเวอร์อัปเดตซอฟต์แวร์ที่โฮสต์ล็อกอินสคริปต์สำหรับผู้ใช้จำนวนมาก
  • print server ที่แจกจ่ายไดรเวอร์เครื่องพิมพ์ให้กับอุปกรณ์ไคลเอนต์
  • หน่วยงานออกใบรับรองที่ออกใบรับรองสำหรับการล็อกอินด้วยสมาร์ตการ์ด
  • ผู้ดูแลระบบฐานข้อมูลที่สามารถรันโค้ดบน database server ได้ เป็นต้น

การจัดการกราฟ

• สิ่งที่ผู้ป้องกันทำได้:
  • ทำให้เครือข่ายมองเห็นภาพ เพื่อแปลงรายการให้เป็นกราฟ
  • ใช้มาตรการควบคุมเพื่อตัดแต่งกราฟ
    • ตรวจสอบ edge ที่ไม่พึงประสงค์ซึ่งทำให้เกิดการเชื่อมต่อขนาดใหญ่
    • ลดจำนวนผู้ดูแลระบบ
    • ใช้การยืนยันตัวตนแบบสองปัจจัย
    • หากบัญชีผู้ใช้ถูกเจาะ ให้ใช้แนวทางหมุนเวียนข้อมูลรับรอง
    • ทบทวนความสัมพันธ์ forest trust

การตรวจจับวิธีคิดแบบลิสต์

• ผู้ป้องกันต้องไม่ปล่อยให้ผู้โจมตีได้เปรียบจากการมองเห็นสนามรบเป็นภาพรวม
• ผู้ป้องกันอาจมีข้อมูลของเครือข่ายครบถ้วน
• ผู้โจมตีต้องศึกษาระบบเครือข่ายแบบค่อย ๆ ปะติดปะต่อทีละส่วน
• ผู้ป้องกันควรเรียนรู้จากวิธีที่ผู้โจมตีใช้ทำความเข้าใจกราฟ
• การจัดการกับสิ่งที่มีอยู่จริงคือวิธีคิดของผู้ป้องกันที่เตรียมพร้อมแล้ว

อ่านเพิ่มเติม

• งานวิจัยหลายฉบับเกี่ยวกับ attack graph:
  • Heat-ray: Combating Identity Snowball Attacks Using Machine Learning, Combinatorial Optimization and Attack Graph
  • Two Formal Analyses of Attack Graphs
  • Using Model Checking to Analyze Network Vulnerabilities
  • A Graph-Based System for Network-Vulnerability Analysis
  • Automated Generation and Analysis of Attack Graphs
  • Modern Intrusion Practices
  • Attack Planning in the Real World

สรุปโดย GN⁺

• บทความนี้อธิบายโดยเปรียบเทียบวิธีคิดของการป้องกันเครือข่ายกับแนวทางของผู้โจมตี
• เน้นว่าผู้ป้องกันควรทำความเข้าใจเครือข่ายผ่านกราฟ ไม่ใช่เพียงรายการทรัพย์สิน
• ผู้โจมตีใช้กราฟในการสำรวจช่องโหว่และค้นหาเส้นทางโจมตี
• ผู้ป้องกันสามารถเสริมความปลอดภัยได้ด้วยการทำเครือข่ายให้มองเห็นภาพและจัดการกราฟ
• บทความนี้มีประโยชน์สำหรับผู้ที่สนใจความปลอดภัยเครือข่าย และช่วยให้เข้าใจความแตกต่างของวิธีคิดระหว่างผู้โจมตีกับผู้ป้องกัน