Blue Hat Tel-Aviv First day Part 2

26 בינואר 2017

אין תגובות

WP_20170124_022Aכמו תמיד בארועים כאלה יש כמה מילות פתיחה, המנחה של הארוע, אביב, פתח בסגנון פתוח וחופשי והזמין את כולם לברוח מההרצאות ולשחק בחוץ. לאחר מכן הוא הזמין את מירב בהט ה CMO של מרכז המחקר והפיתוח של ישראל לומר כמה מילים ולבסוף הוזמן סגן הנשיא לענייני אבטחת ענן וארגונים גדולים במיקרוסופט העולמית Bharat Shah לומר כמה מילים. שח דיבר על ההשקעה של מיקרוסופט בתחום האבטחה עם דגש על הזוית הישראלית, הזכיר את שלושת חברות ההזנק בתחום האבטחה שנרכשו בשנה האחרונה (קצת מוטיבציה למילניומים ויזמים), דיבר על כמה שהוא אוהב את הגישה הישירה הישראלית (לא הייתי בטוח אם הוא אמר את זה ברצינות או בציניות), והתגאה בשליטה שלו בעברית בסיסית, עם המילים החשובות ביותר שהוא כמבוגר האחראי צריך לדעת: “מצוב”, “תלפיות” ו “שמונה מאתיים” ומסתבר שבתחום האבטחה, ברמת מנהל בכיר, זה פחות או יותר כל המילים בעברית שאתה צריך להכיר.

WP_20170124_043Aלאחר כל מילות הפתיחה עלה לבמה Mark Russinovich, ה CTO של Azure, תשתית הענן של מיקרוסופט והדבר הכי קרוב שיש לנו כרגע ל SkyNet. מרק הוא גיק Security לא קטן (הוא זה שגילה את ה rootkit שסוני השתילה ב CD – ים שלה כדי לאתר גנבי זכויות יוצרים). והוא בא במיוחד לארצנו הקטנה כדי לשתף אותנו בשימוש שעושה מיקרוסופט ב Machine learning כדי להגן על תשתית המיחשוב של הענן שלה ושאר מחשבי העולם. מרק הוא חיית במה ותיקה עם חוש הומור חד, הוא בירך את כולם על כנס ה Blue Hat הגדול ביותר שהיה אי פעם בישראל (והיחידי עד כה). ההרצאה שלו הייתה בחלקה שידור חוזר של ההרצאה שהוא נתן בכנס RSA האחרון אבל היו בה כמה חידושים ועדכונים.

בעולם הסייבר כיום, כשאתה ארגון גדול מספיק, נקודת ההנחה הבסיסית שלך חייבת להיות שבאיזה שהוא מקום תהיה לך פרצת אבטחה שדרכה ניתן יהיה להסתנן פנימה. והתוקף, ינוע משם עמוק יותר פנימה כשהוא בסופו של דבר יגיע לנקודה שבה תהיה לו שליטה מלאה על כל מחשבי ו/או נתוני הארגון. יש מתודה סדורה לחסימת תוקף מהסוג הזה שנקראת בשפה המקצועית Kill Chain. תנאי בסיסי לעצירה של תוקף כזה היא איתור מהיר של החדירה ומודיעין בזמן אמת על המיקום המדויק של התוקף בארגון ומה הפעולות שהוא מבצע. כי אם אתה יודע על התקיפה רק 200 ימים לאחר שהיא התבצעה (מספר ממוצע אמיתי), לא רק שהתוקף כבר לא שם, אלא גם המידע שהוא בא לחפש כבר נמצא אצלו והנזק נעשה.

בעולם שבו יש כמות עצומה של מכונות וכמות מידע אינסופית לניתוח, הכלים המסורתיים של ניתוח לוגים בצורה ידנית פשוט לא ישימים. ומרק שיתף אותנו בשימוש בלימוד מבוסס מכונה ככלי לאיתור וסינון של אנומליות ביחס גבוה של אות לרעש. למיקרוסופט יש כמה יתרונות שאין לגופים אחרים, היא גדולה, יש לה כוח מיחשוב גבוה, ויש לה כנראה את כמות הסנסורים והמידע הגדולה ביותר בעולם, מה שמאפשר לה “ללמד את המכונה” שלה ברמת איכות גבוהה מאד. שימוש במשוב אוטומטי לכיוונון Agents במחשבי המטרה, מאפשר לה לבצע היזון חוזר ומיקוד על המידע, מה שמוליך ליכולת לקבל בזמן אמת מידע על התוקף ויכולת לחסום אותו עוד בשלב החדירה ולפני שהוא מגיע למטרה.

המטרה הסופית היא שגם התגובה והחסימה תהיה ממוכנת, אבל כמו שאומר מרק בעצמו, אנחנו עוד לא שם. אני מניח שלא ירחק היום שבו AI – ים ילחמו אחד בשני, עבורנו או נגדנו או תוך התעלמות מוחלטת מאיתנו (ע”ע Neuromancer). אבל נכון לעכשיו, העולם שייך כרגע לכלים כמו ה ATP של מיקרוסופט וזה עולם הרבה יותר מורכב ומתוחכם מהעולם הישן של שאילתות ידניות עם Log Parser או או ניתוח טקסטואלי של לוגים מ Wevtutil.

WP_20170124_053Aממש כהשלמה מתבקשת להרצאה של מרק, המרצה הבא היה David Weston, חוקר אבטחה והמוליך של תשתית ה ATP של מיקרוסופט. לאחר שהכריז ש Windows 10 (בהנחה שהיא מקונפגת נכון), היא מערכת ההפעלה הבטוחה ביותר שקיימת כרגע, דיויד דילג על ה PR, נכנס לעומק ה ATP והסביר את צורת הפעולה ואת היכולות של תשתית האבטחה הזו.

בגדול, הרעיון של ATP, הוא להתייחס למערכת ההפעלה Windows כאוסף של סנסורים חכמים לאיתור פריצות וחדירות במערך IoT כלל עולמי. כל המידע האינסופי הזה משודר בזמן אמת לענן וכל ה Big Data הזה (Big זה בלשון המעטה), מנותח בזמן אמת תוך שימוש בלימוד מבוסס מכונה. כמות ה Sensors הענקית, הפריסה הכלל עולמית שלה, כוח האיחסון האינסופי וכוח המיחשוב העצום הנדרש להפקת התובנות, נותן למיקרוסופט יתרון לגודל. אבל יש עוד יתרון ייחודי למיקרוסופט שאין לאף אחד מהמתחרים האחרים. מיקרוסופט היא זו שכותבת את מערכת ההפעלה, היא יכולה להכניס את הסנסורים לכל נקודה במערכת ברמת ה kernel ולתקן תוך כדי תנועה בגירסה הבאה שיורדת מ Windows Update.

מעבר למידע הנאסף באורח אוטומטי, יש גם מידע ידני, כמו למשל דיווח על דוא”ל כדואר זבל, במערכת Office 365 שיכול לתת טריגר מאד מהיר לאיתור מתקפת SPAM ולעצירה מיידית שלה לכל הלקוחות האחרים של Office 365 ושל כל המחשבים של לקוחות שאינם מחוברים ל Office 365 אבל נמצאים ברשת של ATP.

מערכת שיכולה לדווח לך בזמן אמת, שמחשב בארגון שלך נפרץ, לזהות עבורך מי התוקף, מה שיטת הפעולה שלו ולתת לך תמונה הוליסטית איפה הוא נמצא כרגע במערכת שלך, איך הוא מתקדם ומה כדאי לך לעשות כדי לחסום אותו נכון (מבלי שהפורץ יתחיל להשתולל ולגרום נזק פריפראלי), איפה בדיוק הייתה החדירה, מתי היא התחילה, והכל בממשק משתמש אחד, זה כלי עבודה שהוא החלום הרטוב של כל מגן סיבר.

יש כאן ערך מוסף, שהמידע שנאסף אצלך, משמש כטריגר נוסף בכל המערכות של שאר העולם, כולל גופים שמתחרים במיקרוסופט (יש בקטע הזה שיתוף פעולה גלובלי בין מתחרים הרבה יותר טוב מהאו”מ). המודיעין הכלל עולמי שנאסף מאפשר לפעמים לרשויות החוק לפעול לעצירה פיזית של התוקף והעולם יהיה קצת יותר טוב (נסחפתי קצת)

דיויד דיבר בפתיחות מלאה על איך בדיוק מיקרוסופט עושה את זה ושיתף בהמון חוויות מהשטח וסיפורי מלחמה, על שיתוף פעולה עם צוותי פריצה (כוח אדום) ועל תקיפות שונות. אין למיקרוסופט בעיה לספר איך היא עושה את זה, כי אין הרבה גופים בעולם, שיש להם גישה לכוח המיחשוב והאיכסון העצום הנדרש למימוש המעשי של הטכניקות שבהם היא משתמשת.

WP_20170124_086Aלאחר ההפסקה עלה לבמה Daniel Bohannon יועץ תגובה מחברת Mandiant, הנושא שהוא דיבר עליו, היה כל הדרכים להסתיר התקפה המבוססת על Power Shell מפני תוכנות Anti-Virus וסורקי רושעה למיניהם. דניאל פרש אוסף מרשים של טכניקות הסתרה ואני די בטוח שיש עוד כמה שהוא עוד לא עלה עליהם ואתם מוזמנים לאתר שלו כדי להתרשם בעצמכם.

המסר העיקרי של דניאל הוא שכל הנסיונות לאתר טקסטואלית Pattern של פקודות מסוכנות, בכל מערכת שהיא, הוא חסר סיכוי, מול תוקף מתוחכם שמכיר טוב את הכלי שלו ואת השפה שלו. זה נכון ל HTML בדיוק כפי שזה נכון ל Script – ים של Power Shell (או כל שפת Script אחרת לצורך העניין).

ולא, הדרך הנכונה להתגונן היא לא על ידי הורדת Power Shell מהמחשב, בדיוק כפי שכיבוי המחשב והוצאת השקע מהקיר הוא לא פתרון קביל למניעת מתקפת סיבר. בשלב זה הדבר הכי נכון שאתה יכול לעשות הוא להתקין Power Shell 5 ולהסיר את כל הגירסאות הקודמות של Power Shell (בעיקר את גירסה 2). היתרון העצום של גירסה 5 הוא יכולת ה Logging העשירה שלה שמאפשרת לך לאתר ביתר קלות פעילות חריגה.

WP_20170124_096Aהמרצה הבא היה Matt Swann שהוא מהנדס אבטחה ראשי בתחום One Drive ו Share Point בחברת Microsoft. הרבה חברות משתמשות בענן כמקום איחסון זמני או קבוע למידע ארגוני ועד כמה המידע הזה מאובטח זה חסם עיסקי גדול למעבר של חברות לענן.

ההרצאה של מאט הייתה מעניינת מהרבה בחינות, הוא הוליך אותנו צעד אחר צעד דרך כל התהליך שהצוות שלו עבר כדי להגיע לרמת האבטחה הגבוה יחסית שבו נמצאות המערכות שלהם כיום. מאט דיבר בפתיחות ובצניעות המתבקשת מאיש מקצוע, לא הסתיר את הטעויות שנעשו והתייחס לממצאים שלו בספקנות הנדרשת, מה שנתן מבחינתי יתר תוקף למסקנות ודרכי הפעולה שהוא הציג. המסלול שהם עברו, היה מבחינתי תהליך טיפוס, ממש לפי הספר, בשלבי סולם ה CMMI.

הם התחילו בנסיונות לנתח לוגים של Event Log ומהר מאד הבינו שזה כיוון עקר. ניתוח סטטיסטי של מידע ממוניטורים שונים לא סיפק את הסחורה בעיקר בגלל שהמערכות שאותם כלי הניטור מנטרים מתעדכנות בקצב מהיר ונקודת העבודה שלהם זזה בהתאמה, ולכן גם הממצאים הסטטיסטיים לא מוחלטים ולא יציבים לאורך זמן (שלא לדבר על סטיית התקן והשונות). נקודת הפריצה הייתה שהם הבינו שיש להן אינסוף מידע אבל לא המידע שהם צריכים.

בשלב הזה הם פנו ל”אויב” (הצוותים האדומים בשלב ראשון) והתחילו לאסוף מהם מודיעין אופרטיבי. תוך דגש על מה העדויות שהם משאירים אחריהם בזירת הפשע, תוך התאמת העולם העצום של הפורנזיקה הפיזית לתחום הספציפי שלהם. לצורך איסוף המידע הזה הם בנו גששים, חיברו אותם ל ETW ואספו את המידע שהם היו זקוקים. מסתבר שסנסור נכון במקום הנכון שוה הרבה יותר מטונות של מידע חסר ערך.

בשדה קרב שמלא בסנסורים תמונת הקרב משתנה לחלוטין, האויב צריך להתחמק מהמלכודות על מנת לא להתגלות ואם הוא לא נזהר הוא מתגלה מהר מאד ומפעיל את כל פעמוני האזעקה. זו דרך יפה ויעילה להעביר את המלחמה לצד של היריב או בניסוח אחר להפוך את ה defender dilemma ל attacker dilemma. זה הרבה יותר טוב ממלכודות דבש והרבה יותר יעיל.

אבל זה לא נעצר כאן, חשוב להבין שאחרי שמגלים פריצה בזמן אמת, כל הנושא של map reduce ושאר כלי ה Big Data כבר חסר ערך. אתה לא יכול לנהל הגנה על תקיפה של עשרות מחשבים בכלים סטטיסטיים. אתה צריך סוכני שטח, גששים וצופים, שמפוזרים על כל הגיזרה ומקבלים ממרכז המודיעין מידע ממוקד על איך נראה האויב, הולכים לחפש אותו בשטח ומדווחים לך מה הוא עושה ברגע שהם רואים אותו. מה שגורם לכוח הכחול, לדעת בזמן אמת, איפה נמצאים כל חיילי האויב ומה הם עושים ולתכנן בהתאם את החסימה ומתקפת הנגד. זה גם מאפשר לכוח הכחול למקד את הגששים לאיסוף מידע ממוקד יותר ככל שהם מתקדמים בתהליך. זה כבר לא ניתוח היסטורי בדיעבד זה כבר תגובה בזמן אמת והתהליך שונה לחלוטין.

ההרצאה של מאט שפכה לי (שלא באשמתו) מלח על פצע ישן וכואב. למיקרוסופט יש תשתית עצומה לאיסוף מידע, שבנויה לתוך מערכת ההפעלה ונקראת ETW, זו תשתית שפתוחה לציבור המפתחים (ואנשי ה IT), מתועדת היטב, ומשום מה מעט מאד מפתחים משתמשים בה. רוב המפתחים שאני מכיר מעדיפים להמציא את הגלגל מחדש על ידי כתיבה של תשתית כזו בעצמם במקום להתחבר לתשתית שכבר קיימת מאז Windows 2000. אני תמיד מתוסכל מחדש, שאני מוצא כמה זמן ומאמץ משקיעים בכתיבת תשתיות Tracing ו Logging בארגונים, עם בזבוז של הרבה שנות אדם, במקום להשתמש במה שיש. מאט סיפר שלצורך העבודה שלהם הם פיתחו ספריית שרות שמשתמשת ב ETW ולמי שמעונין הקוד זמין לציבור.

המסר לסיום של מאט היה, שיש לנו סיכוי טוב לעצור את הפורץ לפני שיגיע ליהלומי הכתר, תוך שימוש בידע המשותף של כולנו, בטכנולוגיות החדשות ובכלים המתאימים. מאט סיים בבקשה מכל המשתתפים לשיתוף פעולה מקצועי בפרסום מודיעין, ארועים, שיטות חדירה ודרכי תגובה, על מנת להעשיר את חכמת ההמונים, ארכיוני המודיעין ולשפר את כוחנו במלחמה נגד כוחות הרשע. זה היה הזמן שבו התחילה הפסקת הצהריים, כולם יצאו לחגוג על האוכל ואני נאלצתי לדלג על הארוחה בגלל קריאה דחופה מלקוח (מה לעשות, לפעמים צריך  גם לעבוד ולא רק להנות).

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *