Όταν δημοσιεύτηκε για πρώτη φορά το OWASP Top 20 Vulnerabilities έφερε επανάσταση στην προσέγγιση του κλάδου μας όσον φορά τη διαχείριση των ευπαθειών και των τρωτών σημείων. Αντί να ασχολούμαστε με χιλιάδες μεμονωμένες ευπάθειες κάθε φορά που ανακαλυπτόταν μία νέα, προσεγγίσαμε τη διαχείριση ευπαθειών αντιμετωπίζοντας κατά πρώτο λόγο αυτές τις 20 κορυφαίες τεχνικές.
Η ανίχνευση συμπεριφοράς, που εξακολουθεί να θεωρείται «προηγμένη», έχει μόλις αρχίσει να γίνεται η επικρατούσα τάση. Παρόλα αυτά, καθώς οι περιπτώσεις αντιμετώπισης συμβάντων (IR) που υποστηρίζουμε εξακολουθούν να το επιβεβαιώνουν, είναι γεγονός ότι η υϊοθέτηση -της τεχνολογίας- παραμένει «νωθρή» για το 90% της αγοράς των μεσαίων και μικρομεσαίων επιχειρήσεων. Σε καμία περίπτωση πλέον δεν μπορεί να αμφισβητηθεί η δήλωση ότι προκειμένου να ανιχνευθούν και να αποτραπούν οι σημερινές επιθέσεις, είναι απαραίτητο πλέον για τους οργανισμούς να διαθέτουν δυνατότητες παρακολούθησης συμπεριφοράς, ειδικά στο endpoint (τερματικές συσκευές).
Το πρόβλημα είναι ότι μας έκαναν να πιστεύουμε ότι η υϊοθέτηση της ανίχνευσης συμπεριφοράς συνοδεύεται από μεγάλα έξοδα για να μεγιστοποιηθεί η κάλυψη όλων των συμπεριφορών των επιτιθέμενων. Και αυτό αποτελεί μία ζημιογόνα προκατάληψη. Η πρόθεση μας στην ανίχνευση μεταξύ των περισσότερων οργανισμών (δηλαδή μεταξύ εκείνων που διαθέτουν μία ομάδα πληροφοριών απειλών πλήρους απασχόλησης) είναι να σταματήσουμε να εστιάζουμε σε μεμονωμένες, νέες τεχνικές επίθεσης και να επικεντρώσουμε την άμυνα μας ενάντια στις 20 πιο συνηθισμένες ή κοινότυπες τεχνικές ATT&CK που έχουν παρατηρηθεί, και που επίσης είναι εφικτό να παρακολουθήσουμε. Αυτές είναι που ουσιαστικά έχουν σημασία, και αυτές που θα μας βοηθήσουν να πιάσουμε τους περισσότερους κακούς, συχνότερα.
Η ακόλουθη λίστα αποτελείται από δεδομένα της Datto, τα οποία διασταυρώθηκαν με δεδομένα από διάφορες εγκληματολογικές αναφορές για επιθέσεις που παρατηρήθηκαν τα τελευταία χρόνια:
Όσον αφορά τις παραπάνω συμπεριφορές, «συνηθισμένες» δεν σημαίνει «κοινότυπες» ή «λιγότερο προηγμένες». Είναι συνηθισμένες επειδή χρησιμοποιούνται με επιτυχία από τους επιτιθέμενους εισβολείς για να διαφεύγουν από την παλαιού τύπου προστασία/πρόληψη. Αυτές είναι οι τεχνικές που χρησιμοποιούν οι πιο εξελιγμένοι παίκτες στον χώρο και οι οποίες βρίσκονται στα χέρια κυβερνοεγκληματιών μέσω frameworks όπως το Cobalt Strike.
Ισχυροποιώντας λοιπόν τις δυνατότητες ανίχνευσης σας έναντι των παραπάνω 20 τεχνικών, καταφέρνετε περισσότερα με λιγότερα έξοδα από οποιαδήποτε άλλη προσέγγιση, εξοικονομώντας χρόνο και χρήμα από το κυνήγι απειλών, τεχνικών και συμπεριφορών όπως η «Bluebird», την οποία το πιθανότερο είναι να μην δείτε στο κατώφλι του εταιρικού δικτύου σας.
Είναι αρκετό το Top 20;
Ναι!
Ανταποκρινόμαστε σε πολλές επιθέσεις και πραγματοποιούμε threat hunting και response (κυνήγι απειλών και απόκριση) σε μεγάλους και μικρούς οργανισμούς για περισσότερο από μία δεκαετία. Σε αυτό το διάστημα, υπήρξαν πολύ λίγες επιθέσεις που δεν παρουσίαζαν συμπεριφορές που καλύπτονταν από την παραπάνω λίστα με τις 20 πλέον συμπεριφορές, τις οποίες μπορείτε να ξεκινήσετε να παρακολουθείτε από σήμερα.
Όταν τον Δεκέμβριο του 2020 μάθαμε για το SolarWinds Solarigate, το οποίο αργότερα έγινε γνωστό ως SUNBURST, όλοι είπαν ότι είχαμε να κάνουμε με κάτι πρωτοφανές, και πράγματι το διάνυσμα εισόδου σίγουρα ήταν. Όταν όμως εξετάσεις διεξοδικά τη συγκεκριμένη περίπτωση, παρατηρούνται οι ίδιες 20 συμπεριφορές: Η «καινοτομική» λοιπόν ευπάθεια της εφοδιαστικής αλυσίδας χρησιμοποιήθηκε για κακόβουλες τεχνικές PowerShell (T1059), για την εκτέλεση scripts (T1059), για τεχνικές έγχυσης μνήμης (T1055), για πλευρική κίνηση (T1544) και για το dumping διαπιστευτηρίων (T1003).
Όταν το Hafnium επίσης χτύπησε τους Exchange Servers αξιοποιώντας τις πιο πρόσφατες ευπάθειες μηδενικής ημέρας, είδαμε τα ίδια πράγματα: πρωτοεμφανιζόμενα διανύσματα εισόδου που οδηγούν σε πολλές από τις ίδιες 20 κορυφαίες συμπεριφορές όπως WebShells (T1505), εντολές PowerShell (T1059) και την εισαγωγή του Cobalt Strike στη μνήμη (T1055).
Όσοι παρακολουθούσαν επί της ουσίας τις 20 κορυφαίες συμπεριφορές που έχουν επιτιθέμενοι είχαν και την ικανότητα να δουν τις επιθέσεις να ξεδιπλώνονται και από ότι φαίνεται, η επόμενη μεγάλη ευπάθεια θα ανακαλυφθεί με την παρακολούθηση τους.
Συμπέρασμα
Τελικά, με τη προσέγγιση «Top 20» είναι πλέον κατανοητό ότι δεν είναι απαραίτητες όλες οι τεχνικές για ειδοποίηση ή παρακολούθηση με στόχο τον εντοπισμό επιθέσεων. Η Άμυνα σε Βάθος εξακολουθεί να λειτουργεί: κάθε τακτική και τεχνική στην οποία έχετε ορατότητα αποτελεί και μία ευκαιρία ανίχνευσης στην αλυσίδα επίθεσης και το «Top 20» έχει αρκετό εύρος που σας καλύπτει ακόμα και ενάντια σε μερικές από τις πιο προηγμένες επιθέσεις. Όλοι έχουμε περιορισμούς σε πόρους. Δεν χρειάζεται να πασχίζετε να επιτύχετε την υψηλότερη κάλυψη και εστιάστε στο Top 20. Με αυτές τις 20 συμπεριφορές, θα υπάρχουν εξαιρετικά λίγες επιθέσεις που θα μπορούσαν να μην πέσουν στην αντίληψή σας.