Defender का सोचने का तरीका
- कई network defense प्रयास दुश्मन से संपर्क होने से पहले ही गलत दिशा में शुरू हो जाते हैं
- Defender assets की रक्षा, प्राथमिकता तय करने और business function के आधार पर उन्हें वर्गीकृत करने पर ध्यान देते हैं
- Defender system management service, asset inventory database, BCDR spreadsheet आदि में asset lists से घिरे रहते हैं
- समस्या यह है कि Defender के पास asset list नहीं, बल्कि graph होता है
- Assets security relationships के ज़रिये एक-दूसरे से जुड़े होते हैं
- Attacker spearphishing जैसी तकनीकों का उपयोग करके graph के किसी हिस्से में घुसता है और graph को explore करके कमजोर systems ढूँढता है
Graph क्या है?
- Network का graph assets के बीच security dependency को दिखाता है
- Network design, management, इस्तेमाल किया जाने वाला software और services, और user behavior—ये सब graph को प्रभावित करते हैं
- उदाहरण के लिए, अगर domain controller (DC) को manage करने वाला Bob का workstation सुरक्षित नहीं है, तो DC compromise हो सकता है
- Bob के workstation पर admin privileges रखने वाला कोई दूसरा account भी DC को compromise कर सकता है
- Attacker इन रास्तों के ज़रिये DC को compromise कर सकता है
Mallory के छह चरण
- Attacker compromise किए गए device पर छिपकर रहता है और किसी high-value account के login करने का इंतज़ार करता है
- एक example graph के ज़रिये समझाया गया है कि Attacker high-value asset तक कैसे पहुँच सकता है
- Terminal server compromise करने पर कई users के credentials dump किए जा सकते हैं
- Attacker graph को explore करके high-value asset तक जाने वाले कई paths खोज लेता है
- High-value asset की रक्षा करने के लिए उसकी सभी dependencies को भी समान रूप से सुरक्षित रखना होगा
Security dependency
- Windows network में जब user कुछ खास तरह के logon करता है, तो उसके credentials चोरी हो सकते हैं
- अलग-अलग relationships security dependency बनाते हैं
- समान password वाले local administrator accounts
- file server और software update server, जो कई users के लिए login scripts host करते हैं
- printer server, जो client devices को printer drivers देता है
- certification authority, जो smart card logon के लिए certificates जारी करती है
- database administrator, जो database server पर code execution कर सकता है
Graph management
- Defender क्या कर सकते हैं:
- Network को visualize करके list को graph में बदलना
- Graph को prune करने वाले controls लागू करना
- अनचाहे edges की जाँच करना, जो बहुत अधिक connectivity बनाते हैं
- administrators की संख्या कम करना
- multi-factor authentication का उपयोग करना
- user account compromise होने की स्थिति में credential rotation approach लागू करना
- forest trust relationship पर फिर से विचार करना
List mindset की पहचान
- Defender को यह सुनिश्चित करना चाहिए कि Attacker battlefield को visualize करके बढ़त न ले सके
- Defender के पास network की पूरी जानकारी हो सकती है
- Attacker को network का अध्ययन टुकड़ों में करना पड़ता है
- Defender को Attacker के graph समझने के तरीके से सीख लेनी चाहिए
- वास्तविकता में प्रबंधन करना ही तैयार Defender का mindset है
आगे पढ़ने के लिए
- कई attack graphs पर शोध-पत्र:
- Heat-ray: Combating Identity Snowball Attacks Using Machine Learning, Combinatorial Optimization and Attack Graph
- Two Formal Analyses of Attack Graphs
- Using Model Checking to Analyze Network Vulnerabilities
- A Graph-Based System for Network-Vulnerability Analysis
- Automated Generation and Analysis of Attack Graphs
- Modern Intrusion Practices
- Attack Planning in the Real World
GN⁺ का सार
- यह लेख network defense की सोच और Attacker के approach की तुलना करके समझाता है
- यह ज़ोर देता है कि Defender को network को asset list नहीं, बल्कि graph के रूप में समझना चाहिए
- Attacker graph के माध्यम से vulnerabilities खोजते हैं और attack paths ढूँढते हैं
- Defender network को visualize और graph को manage करके security मज़बूत कर सकते हैं
- यह लेख network security में रुचि रखने वालों के लिए उपयोगी है और Attacker तथा Defender की सोच के अंतर को समझने में मदद करता है
1 टिप्पणियां
Hacker News राय