Des défenseurs qui pensent en listes, des attaquants qui pensent en graphes (2015)

 (github.com/JohnLaTwC)
3 points par GN⁺ 2024-08-26 | 1 commentaires | Partager sur WhatsApp

La façon de penser des défenseurs

  • Une grande partie de la défense réseau commence dans la mauvaise direction avant même le contact avec l’adversaire
  • Les défenseurs se concentrent sur la protection des actifs, leur hiérarchisation et leur classification selon leur fonction métier
  • Les défenseurs sont entourés de listes d’actifs issues de services de gestion des systèmes, de bases de données d’inventaire des actifs, de feuilles de calcul BCDR, etc.
  • Le problème, c’est que les défenseurs n’ont pas une liste d’actifs, mais un graphe
  • Les actifs sont reliés les uns aux autres par des relations de sécurité
  • Les attaquants utilisent des techniques comme le spear-phishing pour pénétrer quelque part dans le graphe, puis l’explorent pour trouver des systèmes vulnérables

Qu’est-ce qu’un graphe ?

  • Le graphe d’un réseau représente les dépendances de sécurité entre les actifs
  • La conception du réseau, son administration, les logiciels et services utilisés, ainsi que le comportement des utilisateurs influencent le graphe
  • Par exemple, si le poste de travail de Bob, qui administre un contrôleur de domaine (DC), n’est pas protégé, le DC peut être compromis
  • D’autres comptes disposant de privilèges administrateur sur le poste de travail de Bob peuvent également compromettre le DC
  • Un attaquant peut compromettre le DC en passant par ces chemins

Les six étapes de Mallory

  • L’attaquant reste en attente sur un appareil compromis jusqu’à ce qu’un compte à forte valeur s’y connecte
  • Un graphe d’exemple montre comment un attaquant peut atteindre des actifs de grande valeur
  • En compromettant un terminal server, il est possible de dumper les identifiants de nombreux utilisateurs
  • L’attaquant explore le graphe et découvre plusieurs chemins permettant d’atteindre des actifs de grande valeur
  • Pour protéger des actifs de grande valeur, tous les éléments dont ils dépendent doivent être protégés au même niveau

Dépendances de sécurité

  • Dans un réseau Windows, des identifiants peuvent être volés lorsqu’un utilisateur effectue certains types de connexion
  • Diverses relations créent des dépendances de sécurité
    • Comptes administrateur locaux partageant un mot de passe commun
    • Serveurs de fichiers hébergeant des scripts de connexion pour de nombreux utilisateurs, ainsi que serveurs de mise à jour logicielle
    • Serveurs d’impression fournissant des pilotes d’imprimante aux appareils clients
    • Autorités de certification émettant des certificats pour l’authentification par carte à puce
    • Administrateurs de bases de données capables d’exécuter du code sur des serveurs de base de données, etc.

Gestion du graphe

  • Ce que les défenseurs peuvent faire :
    • Visualiser le réseau pour transformer les listes en graphe
    • Mettre en place des contrôles pour élaguer le graphe
      • Examiner les arêtes indésirables qui créent une forte connectivité
      • Réduire le nombre d’administrateurs
      • Utiliser l’authentification à deux facteurs
      • Appliquer une approche de rotation des identifiants lorsqu’un compte utilisateur est compromis
      • Reconsidérer les relations de confiance entre forêts

Détecter une pensée en listes

  • Les défenseurs doivent éviter de laisser l’attaquant prendre l’avantage en visualisant le champ de bataille
  • Les défenseurs peuvent disposer d’une information complète sur le réseau
  • Les attaquants doivent étudier le réseau morceau par morceau
  • Les défenseurs doivent tirer des leçons de la manière dont les attaquants comprennent le graphe
  • Gérer la réalité telle qu’elle est constitue l’état d’esprit du défenseur bien préparé

Pour aller plus loin

  • Articles sur plusieurs graphes d’attaque :
    • Heat-ray: Combating Identity Snowball Attacks Using Machine Learning, Combinatorial Optimization and Attack Graph
    • Two Formal Analyses of Attack Graphs
    • Using Model Checking to Analyze Network Vulnerabilities
    • A Graph-Based System for Network-Vulnerability Analysis
    • Automated Generation and Analysis of Attack Graphs
    • Modern Intrusion Practices
    • Attack Planning in the Real World

Résumé de GN⁺

  • Cet article compare la façon de penser de la défense réseau et l’approche des attaquants
  • Il souligne que les défenseurs doivent comprendre le réseau à travers un graphe, et non une liste d’actifs
  • Les attaquants explorent les vulnérabilités et recherchent des chemins d’attaque à travers le graphe
  • Les défenseurs peuvent renforcer la sécurité en visualisant le réseau et en gérant le graphe
  • Cet article est utile aux personnes intéressées par la sécurité réseau et aide à comprendre la différence de mentalité entre attaquants et défenseurs

À lire aussi

1 commentaires

 
GN⁺ 2024-08-26
Avis Hacker News
  • Les attaquants ont le privilège d’explorer en profondeur pour atteindre un objectif précis
  • Les défenseurs doivent suivre de multiples signaux et vecteurs de menace tout en définissant des priorités
    • Les défenseurs utilisent des listes pour gérer les actifs
    • Les listes servent à maintenir les actifs à jour, à supposer une confiance limitée et à isoler les ressources
    • Il faut d’abord établir des listes avant de construire des graphes de dépendances
  • Les systèmes adaptatifs complexes disposent de composants et d’un bus de messagerie pour leurs interactions
    • Il est plus efficace de détruire les pistes de phéromones que d’attraper les fourmis une par une
  • Le rôle du défenseur ne se limite pas à la simple défense
    • La cybersécurité n’est pas l’activité principale, mais un rôle annexe
    • Le seul objectif des attaquants est d’attaquer le système
  • Les attaquants cherchent des faiblesses et n’ont besoin de réussir qu’une seule fois
  • Les défenseurs doivent tout protéger en même temps
  • Les attaquants n’utilisent pas de graphes
    • En sécurité web, la pensée en graphes ne s’applique pas
    • Les rapports de tests d’intrusion contiennent des listes de tâches, pas des graphes
    • Les défenseurs passent souvent du temps sur des tâches sans importance
  • J’ai travaillé dans une entreprise de cybersécurité
    • J’ai eu l’impression que de nombreuses pratiques de cybersécurité n’avaient aucun sens
  • La défense se compose de plusieurs éléments
    • Développement de contrôles efficaces, identification des attaques, réponse aux incidents, etc.
    • La défense inclut des décisions architecturales tenant compte des graphes réseau
  • Le maillon faible de la défense détermine sa solidité globale
    • La sécurité fondée sur des checklists ignore les problèmes d’infrastructure
    • On peut utiliser un SBOM pour cartographier les relations entre composants
  • Un honeypot est nécessaire pour attraper les intrus sur le réseau
    • Faux identifiants chiffrés, faux coffre de mots de passe, etc.