Questo è il primo articolo della nostra serie dedicata al lockdown, in cui discutiamo dei metodi che è possibile utilizzare per contenere efficacemente gli eventi di sicurezza e di come Vectra può essere d'aiuto. Restate sintonizzati per il prossimo articolo, che metterà in evidenza le funzionalità di lockdown automatizzato di Vectra e la nostra copertura per Microsoft Azure e AWS!
Il tempo è essenziale
Chiunque lavori nel campo della risposta agli incidenti (IR) vi dirà che più velocemente si contiene un evento, meno probabile è che si trasformi in un incidente vero e proprio. La convalida di un rilevamento dovrebbe essere seguita rapidamente dall'isolamento. Questo permette di guadagnare tempo per la raccolta delle prove, la definizione dell'ambito e, infine, la risoluzione. A seconda del tipo di rilevamento, potremmo avere solo una visione parziale della situazione.
Prendiamo ad esempio un rilevamento Port Sweep che prende di mira diversi host da un'unica fonte. In questo scenario, dobbiamo sapere come viene effettuato l'accesso al sistema, come l'autore dell'attacco è riuscito a ottenere un punto d'appoggio, da quanto tempo ha accesso al sistema o se sono stati effettuati movimenti laterali riusciti. Rispondere a tutte queste domande richiede tempo.
Dobbiamo anche considerare il tempo di permanenza dell'autore dell'attacco. Più tempo ha a disposizione per accedere all'ambiente, più si avvicinerà al raggiungimento del suo obiettivo (ad esempio, crittografare i file server e tenere in ostaggio l'azienda per ottenere un riscatto, oppure sottrarre la nuova ricerca su cui la vostra organizzazione ha lavorato per diversi anni). Ostacolare l'avanzata dell'aggressore e concedere agli addetti alla risposta agli incidenti tempo prezioso per indagare consentirà di prendere decisioni più informate durante la fase di riparazione. Una volta ottenuto l'accesso privilegiato, l'aggressore può muoversi più rapidamente e più lontano per portare a termine la sua missione.
Si consideri l'esempio di MAZE Ransomware: gli aggressori hanno creato i propri account e hanno sfruttato account privilegiati per diffondersi nella rete. Il contenimento è la risposta per interrompere questa avanzata e impedire agli aggressori, come gli operatori di MAZE, di utilizzare account privilegiati sulla rete per distribuire il loro ransomware.
Come applicare?
Esistono diversi modi per contenere un aggressore. È possibile isolare l'attacco in due modi: il primo consiste nell'utilizzare un endpoint sull'host, mentre il secondo consiste nel disabilitare l'account utilizzato per il movimento laterale o modificare il servizio sfruttato sullo stack di rete. Nella maggior parte dei casi, endpoint può bloccare in modo rapido ed efficace qualsiasi interazione interrompendo la comunicazione dei sistemi di destinazione da o verso qualsiasi luogo, ad eccezione di un elenco predefinito di sistemi. Ciò consente la raccolta remota di ulteriori prove senza la necessità di mettere offline il sistema e rispedirlo al team di risposta agli incidenti, che può eseguire l'indagine da remoto prima di restituire il sistema al team IT locale o all'utente finale.
Se identifichiamo un account utilizzato in modo improprio per il movimento laterale, possiamo disabilitarlo in Active Directory. Se si tratta di un account locale, è meno probabile che l'autore dell'attacco riesca ad andare molto lontano, poiché gli account locali non hanno privilegi di gruppo applicati e impediscono all'autore dell'attacco di muoversi lateralmente.
È possibile ottenere un risultato simile sfruttando lo stack di rete per eseguire l'isolamento, utilizzando gli ACL (Access Control List) o inserendo il sistema in una VLAN separata che impedisce l'interazione con altri sistemi sulla rete. La creazione di una VLAN per la correzione è una pratica comune e questa VLAN consente endpoint comunicare con i sistemi di gestione come il server di aggiornamento Windows Patch Server, Microsoft System Center Configuration Manager (SCCM) o l'antivirus endpoint and response (EDR), ma non con nessun altro elemento della rete.
Un altro modo per ottenere l'isolamento è sfruttare gli oggetti GPO (Group Policy Objects) di Microsoft per gestire le regole endpoint Windows. È possibile creare una politica per bloccare tutti i servizi per impostazione predefinita e quindi inserire nella whitelist i servizi critici. È importante notare che è necessario assicurarsi che le politiche locali vengano ignorate, poiché un utente (o malware) può modificare le regole del firewall dei sistemi locali per impostazione predefinita.
Per i servizi critici in cui non è possibile isolare il sistema senza influire sull'attività aziendale, è opportuno valutare la possibilità di limitare l'accesso al servizio in base all'IP di origine o all'account. Su un sistema Linux, è possibile utilizzare le tabelle IP o aggiornare /etc/host.deny. Dovremmo anche considerare l'accesso dal sistema: se si tratta di un relay di posta, forse possiamo limitare esclusivamente il traffico da e verso la porta TCP 25 e verso una destinazione Internet (Exchange) mentre approfondiamo le indagini. Non sarà possibile scrivere un playbook per ogni scenario; detto questo, è importante essere consapevoli che potrebbero verificarsi scenari insoliti che richiederanno competenze di risposta agli incidenti.
Parte seconda – Passaggio al cloud:
La velocità è un ingrediente fondamentale per un contenimento efficace: accedere a un'altra piattaforma, trovare l'host o la policy desiderata e applicarla richiede tempo. Vectra consente ai team di sicurezza di effettuare il contenimento direttamente nella piattaforma, mentre gli utenti possono facilmente visualizzare e gestire le impostazioni di contenimento da un unico pannello di controllo.
Nella prossima parte di questa serie di blog, vedremo quali azioni possono essere intraprese per l'infrastruttura nel cloud come automatizzare le azioni di blocco da Vectra.