Nyt fra RSA-konferencen: Et overblik fra keynoten "The Five Most Dangerous New Attacks and How to Counter Them"

12. marts 2019 - På RSA-konferencen i San Fransisco er én af de mest interessante tilbagevendende keynotes ”The Five Most Dangerous New Attacks and How to Counter Them” og i år var ingen undtagelse. Dubex' CRO, Klaus Kongsted, tilbragte tid i Californien, hvor han fik indblik i de mange trusler for it-sikkerheden.

"Der er næppe de store nyheder i dette for os, der løbende følger med i den slags, men omtalen af de fem angrebsvektorer gav et meget godt overblik" - Klaus Kongsted, Chief Relations Officer, Dubex

Klaus' vinkel på de fem farligste angrebsmetoder

#1 DNS-manipulering. Dette er som sådan ikke noget nyt, men angriberne benytter nu i stor stil stjålne credentials (brugernavn og passwords) til DNS-udbydere og cloud-tjenester og logger selv ind som ejerne af domænerne hos disse infrastrukturudbydere. Her sætter de DNS-records på mail og web til at pege på egne – men kompromitterede – web- og mailservere, der kan ligne de originale. Herefter er der fri adgang til at overvåge al mailkommunikation, men de videresender det selvfølgelig pænt til den ”rigtige” organisation, så det ikke umiddelbart bliver opdaget. Til gengæld har angriberne nu fuld adgang til al ekstern kommunikation mod den kompromitterede organisation. Dette kan f.eks. misbruges til at bestille langtidsholdbare TLS-certifikater hos mindre seriøse udbydere af sådanne.

Forslag til mitigation:

  • To-faktor-autentificering på al infrastruktur-management
  • DNSSEC, husk både at signere og validere
  • Tilbagetræk udløbne/kompromitterede certifikater ASAP
  • Hold løbende øje med DNS-opdateringer og certifikatudstedelser til egne domæner, f.eks. her

 

#2 Domain Fronting. Domain Frontning er en avanceret måde at skjule ulovlig trafik som comand and control og data exfiltering i https trafik. Domain Frontning sker ved at angriberen etablerer et ondsindet website hos samme content delivery network udbyder som anvendes af store og legitime sites. Herefter etableres en forbindelse til det legitime site, hvorefter der i samme TLS-forbindelse vha. https header SNI forespørges på det ondsindede website. Da sitet ligger hos samme CDN, forwardes trafikken og hackeren er lykkedes med at sløre deres kommunikation som legitim TLS-trafik. Store udbydere som Google og Amazon har blokeret for Domain Fronting ved at tjekke, at det oprindeligt forespurgte site og evt. sites, der forespørges via SNI, skal være de samme, men en lang række mindre udbydere foretager stadig ikke dette simple tjek.

Forslag til mitigation:

  • TLS-interception på perimeteren af egen infrastruktur
  • Lad være med blindt at stole på trafik til og fra egen cloud-udbyder
  • Hav en plan for evt. kompromittering af egen cloud-udbyder
  • Real Intelligence Threat Analytics (RITA) er et gratis tool fra Black Hills, der kan overvåge visse aspekter af Domain Fronting
  • Det hollandske Nationale Cyber Security Centre har udgivet en glimrende vejledning om TLS-interception. Læs den her 

 

#3 Targeted individual attacks. I hver af de indgående komponenter er der ikke meget nyt. Men målrettede angreb, der udnytter erhvervet eller delvist offentlig viden om privatpersoner, er i kraftig stigning og er med kombinerede angrebsvektorer skræmmende. De fleste af os afgiver en meget stor mængde privatlivsoplysninger til f.eks. Google, Facebook og Apple, samt alle de andre sociale medier. Svarene på kontrolspørgsmål for at få nulstillet et password er ofte offentligt tilgængelige (kæledyr, bilmærke, kælenavne, første kæreste osv.), og kombinationen af stigende kompromitteringsmuligheder i apps og på websider gør, at angriberne ofte er i stand til at følge offerets bevægelse i stort set realtid. For eksempel benytter mange Google Maps til at blive adviseret om trafikinformation, og når den afgivne information den anden vej fortæller alt om, hvor vi bevæger os hen, er angriberne nogle gange i stand til at være foran offerets næste træk, f.eks. kreditkort-hævinger eller -forbrug. Når først én enhed eller konto er kompromitteret, er angriberne stort set umulige at ryste af – den omfattende genbrug af passwords og synkronisering af enheder gør, at angriberne følger med i password-skift osv.

Forslag til mitigation:

  • Brug to-faktor-autentificering hvor muligt
  • Undlad genbrug af passwords, og brug stærke password
  • Tænk over hvilke informationer af privat karakter, du afgiver, og hvor
  • Brug producenternes privatlivs-guides
  • Kig på aktiviteterne en gang imellem, f.eks. på myactivity.google.com
  • Ansvaret er dit eget – regn ikke med, at nogen gør det for dig!

 

#4 DNS Sniffing. Ikke et egentligt angreb, men da traditionelle DNS-forespørgsler ofte foregår i klar tekst til og fra ISP’en, kan indblik i disse afgive en del private og fortrolige informationer om besøgte websider og anden kommunikation, og det er ofte et mål for angribere til at opsnappe information, blandt andet med henblik på at finde angrebsvektorer til APT-angreb. Den anden vej rundt kan DNS-logs også give rigtig meget god information i organisationens logovervågning f.eks. om kommunikation fra kompromitterede enheder mod command-and-control-hosts og dermed potentielt opdage angreb og andre kompromitteringer i tide. Selvfølgelig er DNS-forespørgsler også nu kommet i en krypteret udgave, DNS over HTTPS, og foreløbig understøtter Firefox dette.

Forslag til brug:

  • DNS over HTTPS er en slags ”Fattigmands-VPN” i privatlivskontekst, men kan selvfølgelig på ingen måde erstatte rigtig VPN, specielt ikke i virksomhedssammenhæng
  • Bør bandlyses på virksomhedens netværk af hensyn til sikkerhedsovervågningen af logs
  • DNS-forespørgsler på remote enheder bør ”vende” i virksomhedens egen infrastruktur

 

#5 Hardware-sårbarheder i management-chipsæt. Vi har tidligere set sikkerhedsbrister i CPU’er, men det er ikke den eneste angrebsvektor i hardware. For nyligt har vi også set sårbarheder i Baseboard Management Controller chipsets (sårbarheden blev fundet i et chipsæt fra Marvel). Disse er, især på servere, beregnet til Out-of-Band mangament af hardware og selvfølgelig en åbenlys angrebsvektor, der benyttet rigtig kan give adgang til stort set al manipulation og horisontale/laterale angreb. Ikke nok med det, er de som regel forbundet til samme management-netværk og er ofte kun beskyttet – hvis overhovedet – med simple passwords, som ofte enten genbruges, eller kan give adgang til alle management-enheder på det pågældende netværk.

Forslag til mitigation:

  • Fjern management-muligheden, hvis den alligevel ikke bruges
  • Kontrollér og overvåg adgangen til management-netværk
  • Overvåg adgangen til management-konsoller, f.eks. med et værktøj til privilegeret brugerstyring (PAM)
  • Brug unikke passwords i hvert system, og to-faktor-autentificering hvor muligt

Dubex sidder med i det nye Cybersikkerhedsråd

Som en del af den nye aftale om lovforslag om Center for Cybersikkerhed, har partierne bag forsvarsforliget besluttet at oprette et Cybersikkerhedsråd.

Dubex Security & Risk Management Summit 2019

[Afholdt] – I 13 år har Dubex Summit været det foretrukne event for videndeling og råd om it-sikkerhed. Stadig flere ledere tilslutter sig i søgen efter redskaber til håndtering af digitale risici. Slut dig til dem, og gå på opdagelse i over 30 indlæg fra internationale eksperter og danske ledere.

Indblik i security analytics (SIEM) use cases og threat hunting

Automatisk respons er inden for rækkevidde, men intelligente computere kan ikke klare hele SIEM-jobbet for os. Kvaliteten afhænger af use cases, som vi mennesker giver computerne. På trusselssiden er vi også afhængige af samspillet med dygtige threat hunters.

Tak for din henvendelse. Du hører fra os hurtigst muligt.