MITRE ATT&CK Cloud Matrix: Neue Techniken und warum Sie sich darum kümmern sollten. Teil I
Das MITRE ATT&CK Framework ist zu einem wesentlichen Aspekt der modernen Cybersicherheitsarchitektur geworden. Das Framework bietet wichtige Informationen über die Taktiken und Techniken von Angreifern, die für die Einführung wirksamer Abwehrmaßnahmen unerlässlich sind. Das MITRE ATT&CK Framework v.14 wurde im Oktober 2023 mit über 18 neuen Techniken veröffentlicht. Wir betrachten zwei der vier Techniken, die für den IaaS-Abschnitt der MITRE ATTACK Matrix for Enterprises relevant sind. In einem weiteren Blogartikel werden die verbleibenden beiden Techniken behandelt.
Was ist MITRE ATT&CK?
Das MITRE ATT&CK-Rahmenwerk ist eine Sammlung von Taktiken, Techniken und Verfahren (TTPs), die von Gegnern zur Durchführung von Cyberangriffen eingesetzt werden. ATT&CK steht für Gegnerische Taktiken, Techniken, und Allgemeines Wissen. Die MITRE Corporation entwickelt und pflegt das Framework und bietet eine gemeinsame Sprache und ein systematisches Verständnis des Verhaltens von Angreifern auf der Grundlage realer Beobachtungen, einschließlich öffentlich zugänglicher Informationen über Cyberbedrohungen, Vorfallberichte und Cybersicherheitsforschung. MITRE ATT&CK deckt verschiedene Aspekte des Lebenszyklus von Cyberangriffen ab, darunter Erstzugriff, Ausführung, Persistenz, Rechteerweiterung, Abwehrumgehung, Zugriff auf Zugangsdaten, Entdeckung, laterale Bewegung, Erfassung, Exfiltration sowie Befehl und Kontrolle. Das ATT&CK-Framework umfasst spezifische Angriffstechniken, Strategien zur Abwehr und Tipps zur Erkennung.
MITRE ATT&CK-Matrizen visualisieren die Beziehung zwischen Taktiken und Techniken und bieten Verteidigern ein vorteilhaftes Verständnis des Verhaltens und der Handwerkskunst von Angreifern. Derzeit gibt es drei Matrizen, die nach Technologie kategorisiert sind:
- MITRE ATT&CK für Unternehmen: Behandelt Taktiken und Techniken, die für Windows, macOS, Linux, PRE, Cloud (Azure AD, Office 365, Google Workspace, SaaS, IaaS), Netzwerke und Container relevant sind. Weitere Details finden Sie hier: https://attack.mitre.org/matrices/enterprise/.
- MITRE ATT&CK for Mobile: Enthält Informationen über Taktiken und Techniken, die gegen mobile Geräte auf Android- und iOS-Basis eingesetzt werden. Weitere Informationen finden Sie hier: https://attack.mitre.org/matrices/mobile/.
- MITRE ATT&CK for ICS: Die Informationen über Taktiken und Techniken, die für industrielle Steuerungssysteme relevant sind, sind in dieser Matrix verfügbar. Weitere Informationen finden Sie hier: https://attack.mitre.org/matrices/ics/.
Das neueste Version von MITRE ATT&CK (v.14) wurde im Oktober 2023 mit über 18 neuen Techniken für alle Matrizen veröffentlicht. Da es wichtig ist, die aktuellsten Techniken einzusetzen, müssen Verteidiger sicherstellen, dass ihre Sicherheitsarchitektur aktualisiert wird. Deshalb untersuchen wir in den folgenden Abschnitten zwei der vier neuen Techniken im IaaS-Abschnitt der MITRE ATTACK Matrix for Enterprise: Abuse Elevation Control Mechanism: Temporärer erhöhter Cloud-Zugang, und Anmeldeinformationen aus Passwortspeichern: Cloud Secrets Management.
Abuse Elevation Control Mechanism: Temporärer erhöhter Cloud-Zugang
Schauen wir uns die erste neue Technik an (eigentlich eine Untertechnik):“Abuse Elevation Control Mechanism — Temporärer erhöhter Cloud-Zugang“. Diese Untertechnik beschreibt, wie Angreifer Cloud-Mechanismen missbrauchen, um unbefugten Zugriff zu verhindern, einschließlich der Eskalation von Rechten. Bei diesen Mechanismen geht es hauptsächlich um „Just-in-Time“ -Zugriffe oder um „kurzlebige Berechtigungen“.
Zum Beispiel das AWS Übernahme der Rolle Dieser Mechanismus ermöglicht es einem Kontoinhaber, zeitlich begrenzten Zugriff auf Konten von Drittanbietern zu gewähren, ohne langlebige Zugangsdaten, z. B. Zugangsschlüssel, herausgeben zu müssen. Ein Angreifer könnte diesen Zugriff jedoch über die im Inhaberkonto erstellte IAM-Rolle annehmen, sich als legitime Identität ausgeben und sich ungehinderten Zugriff verschaffen. Ein solcher böswilliger Zugriff würde aufgrund der etablierten „vertrauenswürdigen Beziehung“ wahrscheinlich unter dem Radar verschwinden. Eine unmittelbare Gefahr ist eine längere Verweildauer des Angreifers, wenn dieser Angriff erfolgreich ist. Daher erfordert die Früherkennung Sorgfalt.
Schadensbegrenzung
In der Dokumentation der Subtechnik sind zwei Empfehlungen enthalten:
- Beschränken Sie die Rechte von Cloud-Konten, um zusätzliche Rollen, Richtlinien und Berechtigungen anzunehmen, zu erstellen oder die Identität anzunehmen, auf die erforderlichen Rollen, Richtlinien und Berechtigungen.
- Erwägen Sie, eine manuelle Genehmigung zu verlangen, um die Rechte zu erhöhen, wenn der Just-in-Time-Zugriff vorübergehend aktiviert ist.
Insbesondere werden die meisten dieser kurzlebigen Berechtigungen für den automatisierten Zugriff bereitgestellt, z. B. durch SaaS-Produkte, sodass eine manuelle Genehmigung nicht möglich ist. Nichtsdestotrotz sind die spezifischen Leitlinien der Cloud-Dienstanbieter unerlässlich. Zum Beispiel die Durchsetzung der Externe ID-Variable würde Bemühungen abstreiten, böswillig eine AWS-IAM-Rolle zu übernehmen. Ein Beispiel für eine abgelehnte Anfrage über die AWS-CLI finden Sie in Abbildung 02.
Erkennung
Um diesen Angriff zu erkennen, müssen Protokolle erfasst und analysiert werden, die API-Aufrufe enthalten von annehmen
, erstellen
, oder imitieren
Privilegien. Im vorherigen Beispiel, das auf der AWS IAM-Rollenannahme basiert, müssen beispielsweise die Cloudtrail-Protokolle, die diese Aufrufe aufzeichnen, gesammelt und analysiert werden, um solche Angriffe umgehend zu erkennen. Abbildung 03 ist ein Beispiel für einen CloudTrail-Datensatz, bei dem erfolgreich eine IAM-Rolle übernommen wurde. Den CloudTrail im Auge behalten Rolle übernehmen
events ermöglicht die schnelle Erkennung illegaler Zugriffe, insbesondere wenn das Ereignis den Fehlercode Zugriff verweigert hat (Fehlercode: Zugriff verweigert
). Wie bei Brute-Force-Angriffen mit Passwörtern könnten Angreifer versuchen, mithilfe der Assume-Role-Funktion Brute-Force-Zugriff auf Konten zu erzwingen.
Anmeldeinformationen aus Passwortspeichern: Cloud Secrets Management Stores
Sie haben wahrscheinlich einen Überfallfilm gesehen, in dem Kriminelle auf Tresore in hochgesicherten Banken abzielen, die riesige Geldsummen und andere wertvolle Gegenstände enthalten. Trotz der damit verbundenen Risiken planen und führen diese Draufgänger diese Operationen erfolgreich durch. Das Spielbuch - hohes Risiko, hohe Gewinne
! Derselbe Spielplan wurde in der digitalen Welt angewendet und ist bei Cloud-Angriffen immer häufiger anzutreffen. Cyberkriminelle nehmen zunehmend geheime Managementsysteme ins Visier. Abbildung 04 veranschaulicht ein hypothetisches Szenario. Die Risiken für diese Cyberkriminellen sind jedoch bei weitem nicht mit denen von Raubüberfällen in der realen Welt vergleichbar. Sie können sich den Grad der Motivation vorstellen!
Zum Glück liefert eine der kürzlich hinzugefügten MITRE ATT&CK-Techniken wichtige Informationen über Cloud-Angriffe, die diese Technik nutzen — Anmeldeinformationen aus Passwortspeichern: Cloud Secrets Management Stores.
Diese Technik beschreibt, wie Gegner Geheimnisse aus Cloud-Geheimhaltungssystemen wie AWS Secrets Manager, Azure Key Vault und Google Clouds Secret Manager sammeln. Die Technik kann jedoch nur erfolgreich sein, wenn ein Angreifer ausreichende Rechte erlangt. Zwei Secret Manager-API-Aufrufe können auf AWS missbraucht werden, um diesen Angriff zu ermöglichen — GetSecretValue & BatchGetSecretValue. Cloud-Verteidiger müssen beides zur Kenntnis nehmen, insbesondere letzteres, das kürzlich als neue AWS-Funktion hinzugefügt. Ich habe über einige Gegenmaßnahmen geschrieben in ein aktueller Blogbeitrag.
Beachten Sie, dass sich diese Technik von der gängigeren Technik unterscheidet, bei der Geheimnisse aus dem Instanz-Metadatendienst extrahiert werden: Cloud-Instanz-Metadaten-API
:T155/005/. Diese spezielle Technik wurde im hochkarätigen Bereich eingesetzt CapitalOne-Datenschutzverletzung von 2019.
Schadensbegrenzung
Die Einführung von Zero-Trust- und Least-Privilege-Ansätzen würde die Möglichkeit eines unbefugten Zugriffs auf geheime Verwaltungssysteme drastisch reduzieren. Der Zugang zu Geheimnissen sollte auf dem Prinzip der geringsten Rechte basieren und nicht auf mehr. Die Erteilung umfassender Zugriffsrechte würde es Angreifern ermöglichen, auf viele Geheimnisse zuzugreifen, wohingegen der Mindestzugriff einen Explosionsradius erzwingen würde, wenn der Zugriff gefährdet ist. Geheim Drehung könnte sich weiter mit Szenarien befassen, in denen Geheimnisse kompromittiert werden; solche Geheimnisse werden nach einer Rotation nutzlos.
Erkennung
Es ist wichtig, kompromittierte Geheimnisse oder Versuche, in geheime Tresore einzudringen, wie z. B. AWS Secret Manager, schnell zu erkennen. Effektive Überwachungs- und Protokollierungsstrategien sind hilfreich, wenn sie gut umgesetzt werden. Protokolle sollten verwandte API-Aufrufe erfassen, die in die Erkennungslogik integriert werden können, z. B. mit Sigma-Regeln.
Erkennen Sie Lücken bei der Erkennung von Bedrohungen mit der Emulation von abwehrenden Cloud-Angriffen
Sicherheitsteams sollten sicherstellen, dass die oben genannten Techniken in ihren Bedrohungserkennungssystemen enthalten sind. Systeme zur Erkennung von Cloud-Bedrohungen, bei denen diese Techniken nicht ordnungsgemäß implementiert oder falsch konfiguriert sind, führen zu blinden Flecken bei der Erkennung. Angreifer könnten solche blinden Flecken ausnutzen, um die Cloud-Infrastruktur zu gefährden, weshalb eine Erkennungsvalidierung erforderlich ist.
Darüber hinaus ergaben Sicherheitsuntersuchungen der US-amerikanischen CISA (und anderer seriöser Quellen), dass Bedrohungsgruppen wie Verstreute Spinne setzen Sie diese TTPs ein, um die Cloud-Infrastruktur anzugreifen. Dies unterstreicht erneut die Notwendigkeit, Lücken in den Systemen zur Bedrohungserkennung zu identifizieren und zu schließen. Ein Ansatz, dies effektiv zu tun, besteht darin, die Emulation von Cloud-Angriffen zu nutzen.
Emulieren eines Cloud-Angriffs zum Sammeln von Anmeldeinformationen
Ein Ansatz zur Erkennung der oben genannten blinden Flecken bei der Inhaftierung ist die Emulation von Gegnern, da er praktische Strategien für den Einsatz realistischer, aber sicherer Angriffe bietet, um die Erkennung effizient zu validieren. Beispielsweise haben wir die Mitigant Cloud Attack Emulation-Plattform verwendet, um Angriffe gegen AWS Secrets Manager zu emulieren, die Anmeldedaten sammeln. Wie in Abbildung 05 dargestellt, kommen zwei bereits erwähnte Varianten zum Einsatz (GetSecretValue & BatchGetSecretValue). Es ist jedoch wichtig, diese Angriffe genau zu erkennen. Wir haben festgestellt, dass einige Bedrohungserkennungssysteme die gegnerischen TTPs in der IaaS-Matrix nicht erkennen. Beispielsweise kann das Datadog Cloud SIEM den Angriff, bei dem Batch-Secret Manager-Geheimnisse abgerufen werden, nicht erkennen, indem es BatchGetSecretValue API. In Abbildung 06 sehen Sie einen Screenshot des Investigators von Datadog SIEM. Erkennungstechniker können diese Lücke effizient schließen. Weitere Informationen finden Sie hier Blogartikel.
Verabschieden Sie eine bedrohungsinformierte Verteidigungsstrategie
Die Mitigant Cloud-Angriffsemulationsplattform ermöglicht es Unternehmen, eine Bedrohungsinformierte Verteidigung Strategie. Aufgrund des raschen Fortschritts im Bereich des Handelns von Angreifern und der herausfordernden Einzigartigkeit der Cloud-Infrastruktur haben Sicherheitsteams Schwierigkeiten, Warnmeldungen zu priorisieren. Dies verschärft das überwältigende Problem der Alarmmüdigkeit noch weiter.
Die Emulation von Cloud-Angriffen bietet die Möglichkeit, die Effizienz von Sicherheitsmechanismen zu überprüfen und die kritischsten Sicherheitsprobleme mithilfe von Threat-Informed Defense zu priorisieren. Die Plattform zur Emulation von Cloud-Angriffen bietet einen benutzerfreundlichen, agentenlosen Ansatz, der es Teams jeder Größe ermöglicht, ihre Erkennungsfähigkeiten zu verbessern und Cloud-Angriffen immer einen Schritt voraus zu sein. Melden Sie sich noch heute für eine kostenlose Testversion an unter https://www.mitigant.io/sign-up.