Det er ikke lett å oppdage om en inntrenger har klart å bryte seg inn i lokalnettet ditt før det er for sent. Microsofts nye filosofi er at du bør anta at det allerede er skjedd eller vil skje i nærmeste fremtid. Slagordet er assume breach – anta et sikkerhetsbrudd. Perimeternettverk med brannmurer gir ikke lenger samme trygghet som før. De fleste innbrudd skyldes utsatt brukerlegitimasjon. I gjennomsnitt går det med 146 dager før en angriper identifiseres. Hva gjør du da for å sikre deg? Ett godt svar er Microsoft Advanced Threat Analytics (ATA).
Det er et sikkerhetsprodukt som bidrar til å avdekke nettverksinnbrudd og beskytte lokalnettet ditt mot avanserte former for cyberangrep. ATA samler opplysninger fra Windows-logger og inspiserer nettverkstrafikken til og fra domenekontrollerne. Trender i atferden til brukere, enheter og andre ressurser kartlegges. Etter en innledende periode gjenkjenner ATA normal oppførsel og slår ned på mistenkelige avvik. ATA oppdager umiddelbart tegn på kjente angrep. Du får raskt øye på farlige hendelser og vedvarende trusler – med råd om mottiltak, så du kan redusere skaderisikoen.
Hvorfor Advanced Threat Analytics?
ATA sørger for å gjøre skjulte angrep synlige, med utgangspunkt i identitetslaget. Det betyr å se på hva brukeridentiteter foretar seg. Teknologiene som benyttes, er basert på signaturer og atferdsanalyser av brukere og enheter. ATA oppdager og varsler om aktiviteter etter en infiltrasjon. Det omfatter alt fra intern rekognosering via kompromittert påloggingsinformasjon og lateral bevegelse innenfor lokalnettet til eskalering av privilegier og herredømmet over domenet.
Funksjonene i Advanced Threat Analytics
ATA er basert på en firetrinns modell, som analyserer, lærer, oppdager og varsler:
- Analyse. ATA benytter en egen teknologi basert på dyp pakke-inspeksjon, for å analysere all trafikk til og fra domenekontrollere. Den kan også samle viktige hendelser fra andre kilder.
- Læring. ATA begynner automatisk med å lære og profilere atferden til brukere, enheter og ressurser for å bygge opp et kart over hvordan de spiller sammen.
- Oppdagelse. ATA identifiserer om brukere eller enheter oppfører seg unormalt og markerer hendelsene med et rødt flagg om nødvendig.
- Varslinger. ATA rapporterer om mistenkelige aktiviteter på en oversiktlig angrepstidslinje, som gir informasjon om hvem, hva, når og hvordan – med forslag til botemidler.
Kjennetegn ved Advanced Threat Analytics
ATA gjenkjenner trusler fort: Den benytter seg av atferdsanalyse for å reagere raskt med selvlærende, avansert intelligens. Tilpass deg like raskt som angriperne: Ta i bruk kontinuerlig oppdaterte kunnskaper som er basert på endringer i brukeratferden og forretningsdriften.
Fokuser bare på viktige hendelser: Angrepstidslinjen sørger for en tydelig og praktisk visning av suspekte aktiviteter eller trusler som varer ved. Reduser tilfeller av falske positiver: Du mottar varsler bare etter at mistenkelige aktiviteter er satt i sin rette kontekst og bekreftet. Prioriter og planlegg neste trinn: Du får anbefalinger om hva du bør gjøre for hver mistenkelig aktivitet.
Drapskjeden i et cyberangrep
Atferdsanalysen av brukere og enheter benytter avansert maskinlæring og krever at ATA får anledning til å undersøke miljøet ditt en måneds tid. Testingen av disse egenskapene bør du med fordel foreta i produksjon – ATA er ikke-destruktiv.
Da får ATA en oversikt over hvilke enheter du logger på med, hvilke ressurser du skaffer deg tilgang til, og når du vanligvis gjør det. Avvik flagges. De signaturbaserte funksjonene derimot kan du fint prøve ut i et testmiljø. Her skal vi utforske et cyberangrep.
Modellen for cyberdrapskjeden er utviklet av forskere ved Lockheed Martin – kjent for F-16- og Hercules-fly. Den beskriver trinnene i et angrep med inntrengere som beveger seg stadig dypere inn i infrastrukturen. Målet for de kriminelle i et Windows-miljø med Active Directory er å bli administrator i domenet og få ubegrensete rettigheter. La oss se på hvordan et sånt angrep foregår, og hva ATA kan gjøre for å oppdage det og beskytte oss. Fasene i angrepet omfatter:
- Rekognosering – både eksternt og internt
- Kompromittert påloggingsinformasjon – få tak i brukernavn og passord
- Lateral bevegelse i nettverket – flytte seg fra en maskin til neste
- Eskalering av privilegier – skaffe seg flere rettigheter
- Herredømmet over domenet – ende opp med den gylne nøkkel
Rekognosering
Det første hackeren typisk gjør, er å orientere seg i miljøet. En enkel PowerShell-kommando viser at domenet internt har et annet navn. Han forsøker å få tak i alle DNS-oppføringer. Det avvises. Men IP-adressen for DNS-serveren, som antakelig også er domenekontrolleren, er klar.
Angrepstidslinjen i ATA Center fanger opp hendelsen og markerer den som en middels risiko.
Hackeren går videre med å finne ut av brukere med tilhørende rettigheter og grupper. Her benyttes helt alminnelige kommandoer som er innbygd i Windows, som net user og net group. Men vår hacker trenger flere verktøy. Til sin glede oppdager han at offeret er lokal admin på PCen.
Dermed kan han midlertidig deaktivere antivirus-beskyttelsen, som ellers hadde reagert på noe av programvaren han skal til å laste ned og bruke nå. PowerSploit fra PowerShellMafia lover ikke godt. Med Mimikatz vil han få tak i alle brukere med et avtrykk av passordene (en såkalt hash) som har logget seg på siden siste oppstart av de maskinene han er inne på.
Hackeren forsøker seg med NetSess.exe for å liste opp alle åpne sesjoner mot domenekontrolleren. I Windows Server 2019 feiler den.
Men mot tidligere versjoner av Windows Server kan forsøket lykkes og eksponere kontoene.
Få tak i lokale brukere med passord
Egentlig får hackeren ikke tak i passordene, men avtrykkene etter dem. Og det holder for å logge seg på ved hjelp av Mimikatz. Angrepene omtales som pass-the-hash eller pass-the-ticket.
Identitetstyveri
Den kriminelle har her klart å tilrane seg Kerberos-billetten til en domeneadministrator.
Herredømmet over domenet
Dermed er veien åpen for å få tak i passord-hashen for KRBTGT-kontoen. Nå kan de kompromittere en hvilken som helst konto i Active Directory, noe som gir dem ubegrenset tilgang til alle systemer som er medlem av domenet. Og det er bortimot umulig å oppdage dette – uten egnede verktøy, som Microsoft Advanced Threat Analytics.
Planlegge Microsoft ATA
ATA er en applikasjon som installeres lokalt på en server, uten avhengigheter til skyen. Sentral står ATA Center. Det mottar all informasjon som samles inn fra systemene i infrastrukturen, og foretar analysen og vurderingen av trusler. Funksjonene omfatter konfigurasjonen av ATA-gatewayer, datalagring (MongoDB), trusselanalyse, være vert for ATA-konsollen og generering av varsler. En maskin kan betjene en hel domeneskog og bør ha to IP-adresser på samme subnett.
ATA-gatewayer
ATA Center mottar informasjonen som benyttes til å foreta analysene, fra ATA-gatewayer på nettverket. Det er to typer: ATA Gateway og ATA Lightweight Gateway.
ATA Gateway må installeres på en egen maskin og gir dermed en høyere grad av sikkerhet. Den kan betjene flere domenekontrollere og håndterer maksimalt 50 000 pakker i sekundet. For å øke kapasiteten kan du installere flere gatewayer.
ATA Lightweight Gateway installeres rett på en domenekontroller og betjener bare den. Den koster mindre siden det ikke kreves en dedikert server. Den håndterer maksimalt 10 000 pakker i sekundet og overvåker bruken av prosessor og minne og tilpasser seg ved behov.
Portspeiling
For en enkeltstående ATA Gateway kreves det at du setter opp portspeiling for å fange opp nettverkstrafikken. Det kan du enten konfigurere på svitsjer eller på en virtuell maskin.
Konfigurere ATA Center
Straks du har installert produktet og satt opp gatewayer, kan du konfigurere varsling og meldinger. Det omfatter innstillingene for e-post, en eventuell syslog-server og varsler. Den primære kilden for informasjon er angrepstidslinjen, som sporer mistenkelige aktiviteter i sanntid. Etter rundt én måned har du en grunnlinje på plass.
Grunnleggende overveielser og beste praksis
For å få mest mulig sikkerhet er det hensiktsmessig å installere ATA i en arbeidsgruppe og skjule serverens funksjon ved å gi den et villedende navn – en type security by obscurity eller sikkerhet ved uklarhet. Windows-brannmuren må være slått på. Du bør velge et offentlig sertifikat, ikke et selv-signert. En enkeltstående gateway med portspeiling gir den beste beskyttelse.
Det enkleste å administrere er å melde serveren inn i domenet og for eksempel kalle den noe med ATA, sånn at det blir innlysende hva den gjør. Et rimelig kompromiss blir å holde ATA-serveren utenfor domenet og installere ATA Lightweight Gateway på hver enkelt domenekontroller.
Sette opp Advanced Threat Analytics
Det er raskt gjort å få ATA oppe og gå. Det er fem steg som må til:
- Installer en maskin med Windows Server 2016 eller 2019 med alle oppgraderinger.
- Last ned og installer ATA-senteret, sånn at du får en oversikt over normal og unormal brukeraktivitet.
- Koble ATA til Active Directory slik at ATA kan liste opp brukere, grupper og datamaskiner.
- Last ned, installer og konfigurer ATA Gateway, så du kan analysere brukeraktivitetsdata på nettverket.
- Konfigurer IP-ekskluderinger og honningkrukke-brukere som feller for å varsle mistenkelig eller ondsinnet aktivitet.
Sammendrag
Poenget var å illustrere at du trenger dedikerte verktøy for å avdekke og avverge nettverksinnbrudd. Microsoft Advanced Threat Analytics tilhører en relativt ny kategori sikkerhetsprodukter som på engelsk omtales som UEBA for user and entity behavior analysis, og inntar en ledende stilling blant disse løsningene. ATA oppdager avanserte angrep ved å ta i bruk atferdsanalyse av brukere og enheter. Den kombinerer maskinlæring med sanntidsdeteksjon basert på angriperens taktikk, teknikker og prosedyrer.
ATA overvåker og undersøker suspekte aktiviteter og forskjellige former for trusler på nettverket. Flere avvikende begivenheter som kan være relatert til en enkelt sikkerhetshendelse, ses i innbyrdes sammenheng. Sånn får ATA øye på unormal oppførsel som kan tyde på innsiderangrep eller kompromittert brukerlegitimasjon. I bunn og grunn bør enhver organisasjon med lokal infrastruktur vurdere en løsning som Microsoft Advanced Threat Protection. Nettverksperimetere gir ikke god nok beskyttelse med dagens trusselbilde. Sikkerheten bør ta utgangspunkt i brukeridentitetene på alle nivåer.
