去年開始的 SolarWinds 事件受害範圍的廣度和深度讓大家非常吃驚,最令人不安的是有很多資安大廠也沒能倖免,那我們不免要問我們一直以來採用的防禦思維,策略和工具是不是還有效?我們台灣的企業和政府機關受害範圍不大,但是這個事件的啟示很多,值得我們拿來討論。
這個攻擊是惡意程式和真人駭客的配合:
1. 如果使用了 SolarWinds Orion 軟體,它在做軟體自動更新時新的版本已經被植入惡意程式了。這個惡意程式會先潛伏大約兩個星期,然後跟 C&C 伺服器連線,下載其他程式來執行,建立後門和遠端連線的能力,然後通知 C&C 伺服器讓駭客隨時可以進入。
2. 駭客進來以後先取得 SolarWinds 機器上的管理權限,然後在內網或是雲端進行勘查,橫向移動,盜取更多的帳號,憑證,再橫向移動,一直到取得有價值的標的,成功偷運出去。
這種攻擊方法不僅我們在周邊佈置的防禦體系防止不了,即使在內網佈下了 EPP 和 XDR 的防線也沒有能防止或偵測到惡意程式或駭客的活動,就是說所有傳統的防禦方法都失敗了。後來在 Microsoft 和 FireEye 都被駭之後,他們聯手研究出駭客的戰術,手法,和程序( TTP ),公佈給全世界。在那之後各種資安工具經才慢慢的透過更新或更改設定來辨識這個新的攻擊,為用戶提供保護。
我們如果用不一樣的防禦思維,策略,和工具,有沒有可能一開始就把這一類型的精巧攻擊防止住呢?答案是可以的。Attivo 的主動防禦 (Active Defense) 的體系可以很早期就偵測出駭客的活動而加以制止。以前也有很多人說主動防禦,但都沒有符合美國國防部對主動防禦的定義:必須是對敵方進行攻擊或者是反擊來爭取陣地的控制權才叫主動防禦;放在資安上的體現就是要在駭客進行攻擊的時候就能夠用各種手段迫使駭客現形,阻擋駭客接觸到客戶重要的資料,儘早把駭客隔離起來,或者是趕出去。舉幾個例子:
1. 駭客在對內網或雲端資產進行偵查和探索的時候,就會有跡象被 Attivo 偵測到並發出告警,這個階段還不能確認有駭客的行蹤,但是建議提高警戒。
2. 駭客必需盜取帳戶和憑證來提高權限以進行橫向移動,Attivo 一方面把電腦記憶體中會被盜取的特權帳號及憑證刪除,另一方面會植入各種非常有吸引力的仿真帳號和憑證。一旦駭客盜取這些仿真帳號和憑證並加以使用,Attivo 馬上會偵測到並發出告警,而且會和駭客繼續互動,一直到安全人員決定把駭客趕走為止。
3. 駭客如果去訪問 SQL 資料庫想摸清楚重要資產的位置或是管理帳號的使用情形,Attivo 會馬上發出吿警,而且Attivo還可以返回假的資料給駭客,駭客如果使用這些假資料,Attivo 會進一步偵測到,而且會和駭客繼續互動,一直到資安人員決定收網為止。
4. 駭客如果去訪問 Active Directory(AD) , 想對它進行攻擊,Attivo 會馬上發出吿警,而且 Attivo 還可以返回假的資料,引導駭客到誘餌 AD 去。駭客不會知道真實 AD 的位置,所以可以保障真實 AD 安全;而當駭客對誘餌 AD 發動攻擊時,Attivo 會進一步偵測到,而且會和駭客繼續互動,在此期間客戶可以隨時決定是否要中斷駭客連線將駭客驅散。
這些全新的主動防禦的方式不止新奇,而且非常有效。Gartner 認為這是最有效最準確的內網威脅偵測技術, 有最低的誤判率。MITRE也正在推動主動防禦,提出了 MITRE SHIELD 的框架。如果您有興趣進一步了解,歡迎來我們的講座交流意見,或是到我們的攤位來進行研討。
Attivo Networks 官網:https://attivonetworks.com/
Attivo Networks 台灣獨家代理商:https://www.ortech.com.tw/