web-dev-qa-db-ja.com

プロの攻撃者の標的になることの何が違うのですか?

ファイアウォールやウイルス対策プログラムなどのセキュリティツールは、ランダムな非標的型攻撃に対してのみ効果的であるとよく言われます。意図的なプロの攻撃者(国家支援、NSA、中国国家攻撃者、または企業秘密を盗もうとしている競争相手など)のターゲットとなっている場合、これらの保護のほとんどは役に立ちません。これは本当ですか?

それが真実である場合、プロの攻撃者による標的型攻撃をどのようなツールまたは手法で変えるのでしょうか?攻撃者は私よりもはるかに有利ですか?攻撃が成功するリスクを減らすためにどのような戦略を採用できますか?

attacksdefense
85
user2174870

免責事項:私は、標的型攻撃を軽減するためのセキュリティソフトウェアを開発している会社で働いています。

私たちが使用する方法の一部は、攻撃者が使用する方法と似ています(クライアントがシステムをテストしたい場合)。

たとえば、あるクライアントから、標的型[スピア]フィッシング攻撃を実行してセキュリティをテストするよう依頼されました。 IT部門のみに2通のメールを送信しました。 1つはExecutive bonus summary.pdfのような名前のPdfへのリンクが記載された、掲示板への誤ったアドレスの電子メールでした。もう1つは、オリンピック中に会社が使用する新しい外部ポータルであるとされていました。ソーシャルメディアですばやく検索することで、ユーザー固有のメールを作成できましたが、これは時間がかかり、最終的には不要でした。

ターゲットと視覚的に類似したドメイン名を登録し、それを使用して偽のページをホストし(実際のページと同じスタイル)、 [〜#〜] dkim [〜#〜] 署名されたメールを送信しました(スパムフィルターを回避するため)。

対象となる技術者のうち、43%が企業のログイン情報を提供し、54%が偽のPDFをダウンロードしようとしました(PDFはごみのバイトでしたので、ダウンロードが破損しているように見えました。1人の人がFirefoxを使用して5回試しましたIEそして最後にwget)。

1人のユーザーだけが攻撃を検出し管理者に報告した(しかしafter資格情報を提供してください)。

だから…会社に入ることは不可能ではありません。情報の入手に関しては、私たちの通常の売り込みには、会社のファイアウォール/従来の [〜#〜] dlp [〜#〜] をバイパスするデモが含まれています。エアギャップが発生したり、適切な データダイオード を使用したりしない限り、私たちが失敗したことはないと思います。ただし、流出の速度はさまざまです。ある場合には、制限付きのホワイトリストファイアウォールがありました。に、ドキュメントを画像にエンコードし、Googleでプロフィール写真を更新し続けます。次に、プロフィールを外部で監視し、各チャンクをダウンロードしました)。

とはいえ、ソフトウェアを回避できることは何度も見つかりましたが、ユーザーは常に最も弱いリンクです。

したがって、質問に答えるために、標的型攻撃には個人的なタッチが含まれます。ユーザーをだまし、既知の脆弱性、ソーシャルメディアの調査、ソーシャルエンジニアリングなどをチェックするために使用されているソフトウェア(およびリリース)を調査するために設計されたカスタムWebサイト。

あまり一般的ではありませんが、贈収賄/脅迫は考慮する価値のあるもう1つの問題です。国の俳優について話している場合、それは考えられないことではありません。

98
Basic

すべてのセキュリティは、脅威のモデリング、リスク評価、リスク管理、リスク軽減に要約できます。したがって、非標的型攻撃を防御するように設計された防御は、標的型攻撃に対してうまく機能する可能性は低いです。

標的型攻撃者(または「プロの攻撃者」と呼ぶもの)の違いは何ですか?単に彼らがあなたを攻撃するために喜んで使うインテリジェンスとお金です。

だから、はい、誰かがあなたを具体的に攻撃するためにお金と時間と努力を費やすことをいとわないなら、彼らには利点があります。防御するための戦略は、これらの種類の攻撃がリスクモデルの現実的な脅威シナリオであることを認識し、これらのリスクを管理および軽減するための制御を実装することです。

57
Xander

ランダム攻撃と標的型攻撃の違いはうまく要約できます:

  • 攻撃者は、DDoSing、スパム、フィッシングなどのためにN個のリモートノードを必要としています。

または

  • 攻撃者は、user2174870のマシン上のXYZデータを特に望んでいます。

攻撃者がボットネットを構築しようとしているだけの場合(>> 99%の攻撃)、次の攻撃者よりもクラックするのが難しいだけです通常。私はクラックするのが難しい2桁を狙って撃ちますが、それでもIDSを使用してクラックされたことを確認します。うまくいけば。

ただし、攻撃者が具体的にデータを必要とする場合、状況は軍拡競争になり、勝つ唯一の手はプレイしないことです(shutdown -h now)。マシンをオフにする前に、攻撃者はリソースに応じて、アプリケーションスタックのゼロデイ脆弱性、ネットワークスニッファ、その他の機器にマルウェアがあると想定する必要がありますターゲットボックスにアクセスし、場合によっては $ 5レンチ にもアクセスします。ああ、そして彼はおそらく無制限の予算であなたよりも賢い50人のスタッフがいます。あなたが トレードシークレット 、州のシークレットを持っている場合、またはルーラーデジャールに関する中傷的なコメントを投稿している場合は、二重にしてください。

正直に言うと、標的型攻撃を防ぐことはできません。 [会社|個人]の予算のかなりの部分を予算に組み入れて、短期間持ちこたえる可能性のある人々を雇うことができるかもしれませんが、それでもそれは持続しません。マシンのプラグを抜くのが最善です 保証はありません

とはいえ、「ターゲットにならない」ことはできません。 NSAの力を維持するには、ターゲットになることを恐れる人が多すぎます。賢いターゲットになってください。あなたの専門分野が政治に反対するなら、テクノロジーの戦争に勝つことは避けてください。認識あなたの電子通信は安全ではなく、それに応じて反対意見を計画していること。

27
dotancohen

州が後援している俳優のターゲットになっている場合は、まったく異なります。あなたが価値の高いターゲットである場合、彼らはゼロデイマルウェアのようなハッキングリソースだけでなく、ビデオ監視、盗聴、友達への賄賂、メールスピアフィッシング、キーロギング、家への侵入、さらには誘拐や拷問さえも採用できます情報を取得するだけです。

CIAがインターネットや電話回線に直接アクセスできない場合でも、CIAが Osama Bin Laden を追い払うために使用するリソースの量を見てください。唯一の戦略は、自分をターゲットにペイントしないことです。

20
Question Overflow

通常、侵入を試みるのに最も煩わしい場所は、完全にカスタム化されたカーネル上の完全にカスタム化されたシステムです(使い慣れたコマンド、IOパラダイム、プロセス管理インフラストラクチャなどはありません)。これらのものは、何らかの形で存在しますが、1つのシステムにのみ存在します。/targetであり、洞察がありません)。ペネトレーターにとって幸運なことに、実際に存在するものは非常に少数です。

逆も一般的に当てはまります。防御(または検出)するのが最も難しい攻撃は、完全にカスタム攻撃です。一般的に使用されているほぼすべてのシステムは、ユーザーが実際に安全なものをすべて拒否するため、使いやすさのために、少なくともどこかの「デフォルトはい」ポリシーに準拠しています。実際に安全である」とは、「使用するのにイライラする」という意味の傾向もあります。これは当然のことであり、ほとんどの攻撃者が既存のツールとフレームワークを使用する以外に何もする時間がないことも当然であり、私たちが利用できる共通のセキュリティツールは、大多数の攻撃ケースを中心に構築されています:商品クラッキングツールに基づく攻撃。

完全にカスタム化された攻撃(それはうまく実行されます)には、商品防御ツールが探すすべての明確な兆候が欠けているため、純粋にヒューリスティックに基づいて始まる攻撃の風をつかむ機会が限られます(それ自体は、単に(y)「通常の」履歴ネットワークまたはシステムリソースパターンがどうあるべきかについての最良の理解)。もちろん、システムがルート化されると、このウィンドウは閉じます。通常、使用中の検出ツールが通常、悪意のあるアップグレードを受け取るためです。

しかし、この種の高度な攻撃のexpenseは計り知れません。あなたはそのような注意の対象となるターゲットとして、非常に不運であるか、非常に貴重である必要があります。このコストは、完全にカスタムシステムを展開するコストに匹敵します(もちろん、カスタムシステムのコストは通常​​は高くなりますが、展開ベースによって改善されます。攻撃の経済性はこれと正反対です)。セキュリティのコストは、常に次のようにバランスが取れています。

  • 実際のセキュリティがもたらす煩わしさ
  • 深刻な防御を開発するための財政/努力/時間コスト

VS

  • タイプXの実際の攻撃の重要性

どのように多くのシステムがhttp-> httpsリダイレクト、DNS、IPSec、あらゆるバジリオンボーガスCAs-in-IEなどを想定しているのかを考えると、妥協することは不可能です(har har!)。要素の重みはほとんどありません。したがって、最小限の最小限の検出ツールを備えた最新パッチの商品システムは、一般的に一日のオーダーのようです。あなたがそれを超えてあなたができることはあなたを解任するためのコストを上げます、そして彼らがあなたを標的にする特別な理由がない限り、政府でさえより簡単な標的に移ります。あまり喜ばしいアドバイスではないと思いますが、私たちが今生きている世界です。

13
zxq9

Jacob Appelbaum からの引用でお答えします。

Applebaumは、スイスのEPFLで開催された最初の プライバシーと監視に関する会議 の間、次のように述べています(筆記中)。

「NSAが世界中のanyマシンまたはシステムに参加したい場合、それらが」

7
fgysin reinstate Monica

「ハッキング」は簡単です。エクスプロイトのライブラリのいずれかを実行するための美しいGUIを提供するツール、WiFiに侵入するツール、MiTMを実行するツールなどがあります。これに加えて、フィッシングやその他のソーシャルでの不器用で一般化された試みエンジニアリング、非標的型攻撃の大部分を占めています。要するに、彼らは独創的ではありません。これは、ほとんどの優れたAVがほとんどの一般的な攻撃から保護することを意味します。攻撃者は、AVのない人物を見つける必要があるだけなので、気にしません。個々の標的型攻撃ははるかに危険です。熟練した攻撃者は、ネットワークの地形を調べてセキュリティ対策を理解しようとするだけでなく、いわゆる攻撃を行う方法を理解しようとする従業員も観察します。 「第八層」(人)。これの最も悪名高い例の1つはKevin Mitnickでした。彼はコンピューターの分野で才能があると思いますが、彼はソーシャルエンジニアリングに本当に優れていたため、かつて安全な施設であるGOT CAUGHTに侵入し、それでもセキュリティガードに任せて手放すことができました。

AV企業は「ハッキングツール」をすべて持っており、クライアントにもたらされるリスクをなくすために最善を尽くしています。はるかにうまく機能する可能性がある攻撃は、誰かがあなたのファイアウォールを通り抜け、あなたのAVによって検出されないままであり、それらが完了したときにあなたのログを消去する攻撃です。

5
KnightOfNi

答えにはない別の角度。 http://lasec.epfl.ch/keyboard/

壁を介してでも最大20メートルの距離で有線キーボードからキーストロークを完全または部分的に回復する4つの異なる方法(クーン攻撃を含む)を見つけました。 2001年から2008年の間に購入した12種類の有線およびワイヤレスキーボードモデル(PS/2、USB、ラップトップ)をテストしました。これらはすべて、4つの攻撃のうち少なくとも1つに対して脆弱です。

これは民間の研究所からです5年前。リストされているシールド規格を調べてください http://www.wikiwand.com/en/Tempest_(codename) こちら。

5
chx

防御を目的としたFW、アンチウイルス、およびその他の防御策は、悪いことが証明された攻撃を効果的にブロックすることしかできません。 IE特定の種類のトラフィックまたは特定のファイルが100%の確率で悪い場合、それは効果的にブロックされます。防止ツールはより高度な脅威には役立ちませんが、既知の不正なトラフィックをブロックします。組織を効果的に防御するためにブロックする必要のある不正なトラフィック/ファイルがたくさんあります。これは非常に価値がありますが、高度な脅威に対してではありません。不正と思われるファイルを作成し、不正なトラフィックを適切に隠すことができます。トラフィック。検出するには、さまざまな防御策が必要です。

国家が後援する高度な攻撃に入るときは、全体的に物事に取り組む必要があります。データが他の場所にある場合、データを取得するために直接ターゲットにする必要はありません。協力しているサードパーティがより簡単な標的である場合、おそらく最初に攻撃されるのはそれらです。これは、データを取得する最も簡単な方法を特定し、そのリスクを管理するための緩和策を講じることに依存しています。

高度な脅威から防御する最善の方法は、検出に焦点を当てることです。攻撃者は予防的防御を通り越しますが、ネットワーク上での彼らの行動はあなたに見えるはずです。ここで、防御側の利点が発揮されます。オフェンスは、悪用する1つの脆弱性を見つけるだけでよいため、侵入に有利です。防御にはネットワーク内部の利点があります。これはあなたのホームフィールドであり、よく知っている必要があります。攻撃者を減速させて検出、隔離、およびブロックする時間を与えるために、防御層が配置されている必要があります。もう一度全体論的に考えると、組織内で考えられるターゲットと弱点を知る必要があります。周囲に緩和策のレイヤーを配置する必要があります。

検出とは、異常な動作を見つけて検出することです。他のアラートの山の中で見つからなかった攻撃のアラートがあった可能性があります。攻撃者は、ネットワーク内のトラックを消去できないようにする必要があります。彼らの活動はあなたのインフラストラクチャのどこかにあります、あなたはその活動を見るために目とどこを見るべきかを知るためにあなたのインフラストラクチャの知識を必要とします。組織には、新しいデバイスがいつ追加されたかを知るための資産インベントリ、異常な動作が目立つように正常な動作を知るためのベースライン、システムファイルが改ざんされていることを知るための構成管理/監視、トラフィックを確認するためのネットワークおよびホストベースの監視が必要です。インフラストラクチャー内の横方向の動きを遅くするための活動、強力なアクセス制御、私はあなたがポイントを獲得すると思います。コントロールが多いほど、視認性が向上します。 SANS Critical Security Controlsを参照してください。ネットワーク内では、攻撃者は自分の活動の証拠を残さなければなりません。これらのアクティビティを確認し、どこを見るかを知るためのツールを用意するかどうかは、あなた次第です。

攻撃者について他に何も知らない場合、侵入してデータを見つけ、データを漏出したら、永続性を確立したいと思うはずです。侵入は防御ツールの出番です。有効なトラフィックを許可する必要があるため、データを探してデータを盗み出す攻撃者を公開する方法に集中することができます。ターゲットとなる可能性のあるデータと出力ポイントを監視します。高度な攻撃者が有効なトラフィックに溶け込み、見えないようにするためにあらゆることをするので、これらはそれらを見つけるのに最も簡単なポイントになります。

4
Paraplastic2

可能な限り短くて甘いものにするには:(コミュニティが要求した場合、後で詳細を追加できます)

ランダム攻撃

通常、特定のソフトウェアの特定のバージョンの特定の脆弱性を標的にします。ここでの目標は、可能性のあるすべてのマシンに対して試行することであり、すべてのマシンに脆弱性があるわけではありません。IDS/ IPSソリューションは、それが検出されるとすぐに、残りのクライアントに対して同じタイプの攻撃を実行させません。この種の「ヘイルメアリー」攻撃は、善意の者によってすぐに阻止されます。

標的型攻撃

一般に、すべてが特定のエンティティーに属する少数のコンピューターに対する1つの最終目標です。 (out to getyouである攻撃者は、すべてのハードウェアとソフトウェアに関する情報を収集するために時間とお金を費やすことになります。彼らはあなたがしなければならない場合、あなたの工場を運営するのと同じ機器を購入します。彼らは、システムのあらゆる部分の欠陥を探すために数え切れないほどの時間を費やします。彼らがその欠陥を見つけて、それをレプリカまたはシステムのエミュレーションでテストしたら、彼らは一度それを実行して、彼らが何を求めているかを知っているので、迅速に行動します。これは世界中の何百ものコンピュータに表示されないため、ログで気付かれない可能性があります。ISPが検出するIPアドレスの広い範囲でスキャンが行われていません。本質的に攻撃は決して発生しませんでした。ログに非常に注意を払い、重要ではないはずの重要なデータがエンドからアップロードされていることに気づかない限り。

余談ですが、非常に価値がある場合を除いて、このような攻撃は起こりそうにありませんが、もしそうなら、あなたができる唯一のことはそれを検出し、それを防ぐことではないようです。しかし、やはり、検出には常に方法があります。

3
zenware

技術的にITの観点から危険にさらされないことを保証するために十分なコントロールを配置することが可能です。

極端な場合は、すべてのコンピュータ機器を停止して取り外すことです。見る?コンピューターがないということは、コンピューターが侵害されることはないということです。では、コンピュータは許可しますが、ネットワークは許可しません。すべてがエアギャップになります。私たちは無傷であるという保証はありませんが、近いです。では、ネットワークを許可するのはどうでしょうか。ただし、機密コンテンツがなく、どのタイプの永続ストレージもないマシン上でのみです。署名のないコードのダウンロードや実行はありません。または、ダウンロードでアプリケーションのホワイトリストを保持できるようにすることもできます。等々。

「絶対に侵入できず完全に役に立たない」から「地獄のように非常に便利で安全でない」までのセキュリティの連続性があり、セキュリティは常に利便性と対立しています。セキュリティ対策が便利ではないではない場合、それは「セキュリティ」とは見なされず、単に「標準的な方法」と呼ばれます。

しかし、ここが重要なポイントです:ITセキュリティがホームデポグレードの災害でない限り、最も弱いコンポーネントはシステムではなく、人々です。 。セキュリティは実際に実装された場合にのみ機能し、会社のシステムが会社独自の基準に適合することはほとんどありません。

また、ソーシャルエンジニアリングが常に優先されます。フィッシングは、強化されたターゲットに対する断然最も効果的な攻撃であり、その脅威を緩和するために行われていることはほとんどありません。攻撃者は常に有利でした。攻撃者は1度だけ勝つ必要がありますが、防御側は安全を確保するために毎回勝つ必要があります。ソーシャルエンジニアリングとは、攻撃者がITから戦いを取り除き、人間の相互作用を利用して勝利を収めることができることを意味します。

はい、安全ですが、それはあなたのテクノロジーを敵対的で、従業員を攻撃者として扱うことを意味します。それは、相互作用と相互運用に対する障壁を設けることを意味します。それは、人々が当たり前だと思う小さなことを禁止することを意味します。そして、それはあなたのオペレーションがそのセキュリティに大きな代償を払うことを意味します。しかし、それは可能です。

3
tylerl

この手法は、ランダムな非標的型攻撃と同じです。 IMHOがこれらの種類の攻撃を実際に区別するものは次のとおりです。

  • 利用可能な時間
  • 未公開のエクスプロイトを購入するために利用できるお金
  • 費やした努力
  • 攻撃された攻撃面
  • 搾取後の作品

一般に、ランダムな非標的型攻撃では:

  • 時間に関するその努力は、ほとんど1回の試行に制限されます
  • 攻撃面全体の単一の側面を利用しようとします
  • 攻撃が成功すると、仕事は主に行われます
  • 攻撃の対象をきれいにするのがより簡単になります

代わりに、プロの標的型攻撃を使用します。

  • 時間に関するその努力はより長く、時間とともに継続されます
    • 複数の人が攻撃者として関与する可能性があります
  • 対象の攻撃面は攻撃面全体になります
    • 攻撃面のすべての単一の弱点がテストされます
  • 境界に侵入できるようになると、仕事は完了しません
    • 攻撃は内部で継続し、さらに簡単なアクセスを保証します
  • 侵入後のように、システム/ネットワークへのさらなるアクセスを拒否することは本当に難しいでしょう:
    • バックドアはすべての周りに配置されます
    • 資格情報が盗まれる
    • 内部の弱点とネットワーク/システムのさらなる知識により、攻撃面がさらに増加し​​ます(つまり、WANビジネスパートナーなど)
3
boos