Cloud Capacità di rilevamento delle minacce con il DeRF: colmare le lacune degli strumenti attuali

9 agosto 2023

Quando le organizzazioni si sforzano di integrare il rilevamento delle minacce cloud nelle operazioni, la maggior parte di esse si trova di fronte a una grande lacuna. Troppo spesso gli strumenti esistenti mancano di flessibilità per adattarsi a casi d'uso in espansione e di estensibilità per supportare lo sviluppo di tecniche di attacco personalizzate.

Per colmare queste lacune, siamo orgogliosi di presentare il DeRF (Detection Replay Framework). Il nostro nuovo strumento affronta le sfide comuni che si presentano quando i casi d'uso si evolvono oltre gli incidenti isolati.

Il nuovo framework incorpora diverse decisioni progettuali chiave che lo distinguono. Fornisce la separazione delle autorizzazioni necessarie per la distribuzione dell'infrastruttura da quelle necessarie per l'esecuzione di un attacco. Questa separazione diventa sempre più preziosa man mano che le capacità si espandono e sono necessari più utenti per svolgere queste funzioni distinte.

Inoltre, DeRF è stato progettato per essere estensibile. Sebbene venga fornito con numerose tecniche di attacco integrate, il processo di incorporazione delle proprie tecniche è semplice come la creazione di un file YAML. Ciò consente la personalizzazione senza la necessità di modificare la funzionalità di base dello strumento.

Che cos'è il DeRF?

Il DeRF, uno strumento open-source disponibile su GitHub, è composto da moduli Terraform e da un'applicazione Cloud ^Run1 scritta in Python. All'interno di questo pacchetto, viene fornita una serie di tecniche di attacco integrate, con particolare attenzione ad AWS e GCP. Il DeRF viene fornito con la parità di tecniche di attacco con Stratus Red Team per eliminare la necessità per gli operatori di scegliere le capacità di attacco basate sugli strumenti. Al contrario, è possibile selezionare il tooling che meglio si adatta al proprio caso d'uso specifico. Per un'analisi più completa del confronto tra DeRF e altri strumenti cloud , consultate questa pagina di confronto.

I moduli di attacco incorporati più importanti sono elencati di seguito, mentre l'elenco completo di tutte le tecniche di attacco incorporate si trova nella documentazione di DeRF.

Accesso alle credenziali:

Difesa Evasione:

AWS | Arresta CloudTrail

Esecuzione:

AWS | Esecuzione di comandi su istanza EC2 tramite dati utente

Scoperta:

AWS | EC2 Scaricare i dati dell'utente

Esfiltrazione:

AWS | EC2 Condividi l'istantanea EBS

Escalation dei privilegi:

GCP | Impersonare l'account del servizio

Analogamente ad altri strumenti incentrati sulla generazione di rilevamenti, il DeRF distribuisce e gestisce l'infrastruttura cloud di destinazione, che viene manipolata per simulare le tecniche di attacco. Terraform viene utilizzato per gestire tutte le risorse, distribuendo (e distruggendo) le tecniche di attacco ospitate e l'infrastruttura target in meno di 3 minuti.

Sebbene il modello BYOI (bring-your-own-Infrastructure) non sia attualmente supportato, mantenere l'infrastruttura DeRF costa meno di 10 dollari al mese per Google Cloud e 5 dollari al mese per AWS. Il comodo modello di distribuzione dello strumento consente di utilizzarlo in base alle esigenze, anziché farlo funzionare continuamente 24 ore su 24, 7 giorni su 7. Per maggiori dettagli, consultate la guida all'implementazione.

Cosa distingue il DeRF da altri strumenti cloud ?

In parole povere, molto. Le differenze principali includono:

Interfaccia facile da usare: Poiché il DeRF è ospitato in Google Cloud, gli utenti finali possono invocare gli attacchi attraverso l'interfaccia utente della console cloud senza dover installare software o utilizzare la CLI.
Accessibilità per i non professionisti della sicurezza: Il DeRF si rivolge a un ampio pubblico di utenti finali, tra cui il personale di progettazione, vendita e assistenza, nonché i processi automatizzati.
OpSec robusto: Le credenziali a lunga durata non vengono passate tra gli operatori. Al contrario, l'accesso al DeRF e alle sue tecniche di attacco è controllato attraverso il GCP IAM Role-Based Access Control (RBAC).
Estensibilità al centro: Le sequenze di attacco sono scritte in YAML, consentendo una facile configurazione di nuove tecniche.
Distribuzione chiavi in mano: La distribuzione (e la distruzione!) del DeRF è un processo completamente automatizzato, completato in meno di 3 minuti.

Come iniziare con il DeRF

Per le istruzioni su come utilizzare il DeRF ed eseguire la prima tecnica di attacco, consultare la guida per l'utente. Questa guida vi guiderà attraverso:

Distribuzione di tutte le risorse su AWS e GCP con Terraform
Configurazione del controllo degli accessi ai flussi di lavoro di Google Cloud
Esecuzione di un attacco contro AWS o GCP invocando un flusso di lavoro di Google Cloud .

Come funziona il DeRF?

L'architettura unica del DeRF è interamente distribuita tramite Terraform. È composta da risorse distribuite su AWS e GCP.

I personaggi DeRF

Il DeRF si distingue dagli altri strumenti di attacco per il suo approccio unico che disaccoppia la distribuzione degli strumenti dall'esecuzione degli attacchi. Con The DeRF, gli operatori possono selezionare diversi utenti quando lanciano gli attacchi. Questa scelta serve a diversi scopi, come la costruzione di scenari realistici di attori minacciosi o la distinzione dei comportamenti nei log. Per ulteriori informazioni sulle personas disponibili, tra cui "DeRF Deployment User", "DeRF AWS Execution User 01", "DeRF AWS Execution User 02", "DeRF AWS Default User" e "AWS Custom IAM Role", consultare la documentazione di DeRF.

Esecuzione di tecniche di attacco

Che l'obiettivo sia AWS o GCP, gli attacchi vengono sempre eseguiti invocando i flussi di lavoro di Google Cloud . Di seguito è riportato un esempio di come eseguire le tecniche di attacco, sia manualmente che programmaticamente, con DeRF.

Esecuzione dell'attacco - Manuale

1. Accedere a Google Cloud Console e navigare nella pagina dei flussi di lavoro.

2. Fare clic sul nome del flusso di lavoro che corrisponde all'attacco che si desidera eseguire.

3. Cliccate sul pulsante Esegui.

4. Fare riferimento al pannello Codice sul lato destro e selezionare l'utente come cui eseguire l'attacco copiando uno dei possibili ingressi.

Selezionare nel pannello del codice l'utente come cui eseguire l'attacco copiando uno dei possibili input.

5. Incollare il JSON selezionato nel pannello di input sul lato sinistro.

6. Infine, selezionare il pulsante "Esegui" nella parte inferiore della schermata.

7. I risultati dell'attacco saranno visualizzati sul lato destro dello schermo.

Esecuzione dell'attacco -Programmatico

1. Assicurarsi che lo strumento a riga di comando di Google sia installato sul sistema locale. Per le istruzioni sull'installazione di gcloud cli, consultare la documentazione di Google.

2. Autenticare il progetto Google Cloud in cui è distribuito DeRF.

3. Invocare il flusso di lavoro di una particolare tecnica di attacco con il client gcloud. Per istruzioni più complete sul servizio flussi di lavoro, consultare la documentazione di Google.

Esempio di utilizzo:

Creare tecniche di attacco personalizzate

La versione iniziale di DeRF comprende un'ampia gamma di tecniche di attacco cloud prevalenti, fornendo alla vostra organizzazione ampie risorse per la formazione, il test dei controlli e l'esecuzione di scenari di attacco. Tuttavia, con l'evolversi delle esigenze, potrebbe essere necessario espandersi oltre il set iniziale e introdurre i propri moduli di attacco personalizzati. Con DeRF, questo processo è semplificato. Tutte le tecniche di attacco sono definite come flussi di lavoro di Google Cloud , che possono essere distribuiti come moduli terraform aggiuntivi all'interno della vostra versione forzata della base di codice.

Specificare i dettagli di una chiamata API AWS

Ogni chiamata API effettuata ad AWS è esplicitamente definita all'interno di una richiesta HTTP inviata da un Google Cloud Workflow all'applicazione proxy di AWS per l'instradamento alla destinazione prevista. Istruzioni complete sulla costruzione di una tecnica di attacco AWS come flusso di lavoro di Google Cloud sono disponibili nella documentazione di DeRF. Per comprendere la costruzione di questi flussi di lavoro, date un'occhiata qui di seguito.

Struttura di un flusso di lavoro Google Cloud

Eliminazione del flusso di lavoro Trail Cloud

Cosa c'è dopo?

Il prossimo passo sarà:

La versione iniziale del DeRF è incentrata sulla parità dei moduli di attacco con Stratus Red Team per AWS e GCP. In futuro, rilasceremo tecniche di attacco uniche per il DeRF attraverso lo strumento e aggiungeremo il supporto per Azure.
Aggiungere l'automazione per l'invocazione di tecniche di attacco. Un caso d'uso comune del DeRF è la convalida continua dei controlli e il test della logica di rilevamento.
Attualmente, i lavori Cron devono essere creati manualmente per invocare le tecniche di attacco. Nel prossimo futuro, il DeRF supporterà l'automazione delle tecniche di attacco attraverso le configurazioni di Cloud ^Scheduler2.

Ringraziamenti

Vorremmo ringraziare il creatore e manutentore di The DeRF, Kat Traxler, e i seguenti membri della comunità per aver fornito il loro supporto e feedback durante lo sviluppo del progetto:

Christophe Tafani-Dereeper di DataDog
Nick Jones di WithSecure
Rich Mogull di Firemon

Per discutere di questo post e di altri argomenti, contattateci direttamente nella communityVectra AI Reddit.

‍

Riferimenti:

[1]: https:cloud

[2]: https:cloud

Volete saperne di più?

Vectra® è leader nel rilevamento e nella risposta alle minacce cloud ibrido guidati dall'intelligenza artificiale. La piattaforma e i servizi Vectra coprono il cloud pubblico, le applicazioni SaaS, i sistemi di identità e l'infrastruttura di rete, sia on-premises che cloud. Le organizzazioni di tutto il mondo si affidano alla piattaforma e ai servizi di Vectra per resistere a ransomware, compromissioni della catena di approvvigionamento, appropriazioni di identità e altri attacchi informatici che colpiscono la loro organizzazione.

Se volete saperne di più, contattateci e vi mostreremo esattamente come facciamo e cosa potete fare per proteggere i vostri dati. Possiamo anche mettervi in contatto con uno dei nostri clienti per conoscere direttamente le loro esperienze con la nostra soluzione.

Contattateci