“Vid det här laget kände vi igen honom med hjälp av hans skrivhastighet och fel på tangentbordet och de kommandon han använde för att snoka runt och attackera.” 

– An evening with Berferd (Bill Cheswick, 1991)1.

Bill Cheswick har precis installerat brandväggen och ställer sig frågan, hur ofta kommer de att försöka pröva låset? Vilka är dom? Vilka säkerhetshål kommer de att försöka utnyttja? Året är 1990 och Bill jobbar på AT&T Bell Laboratories. Internet är UNIX, Sendmail, ftp och passwd-filer. Angriparen dansar runt med Bill i flera veckor. Bill bestämmer sig för att interagera med angriparen manuellt med målsättningen om att identifiera vem denne är, dennes metoder och tekniker.

Det är inte en problemfri interaktion men ändå en väldigt illustrativ och instruktiv sådan. Angriparen visar en anmärkningsvärd uthållighet och tolerans mot “sega” datorer och ibland dygnslånga väntetider på att få ta emot efterfrågade filer per e-post.

Detta är en artikel om att förvränga en angripares verklighet, om att skapa alternativa sanningar. Jag beskriver en strategi för att skapa ett mer effektivt cyberförsvar och samtidigt förstärka förebyggande och upptäckande förmågor. Det handlar om vilseledande åtgärder som en del av ett aktivt cyberförsvar.

En vilseledande förmåga förutsätter en relativt hög mognad inom andra förmågor inom cybersäkerhet. Ni har troligen redan en SOC, arbetar kanske redan med threat hunting och har särskilt skyddsvärda tillgångar.

Den här artikeln riktar sig till dig som arbetar med avancerat cyberförsvar. Troligen har du en roll som säkerhetsanalytiker i en SOC, du kanske genomför threat hunting eller arbetar med underrättelseanalys. Antingen är du den tekniska it-säkerhetsspecialisten som hjälper till med att införa nya skyddsmekanismer i it-miljön, eller så är du chefen som tar en aktiv roll och deltar i arbetet med din organisations cyberförsvar. Vidare bör även du som har särskilt skyddsvärda tillgångar tilltalas av användandet av denna åtgärd.

Jag kommer att argumentera för att vilseledning kan vara ett effektivt redskap i vår strävan mot att försvåra angriparens försök att angripa vår it-miljö. Utnyttjar du den här strategin ökar sannolikheten för att angriparen väljer att flytta sitt fokus till andra mål. Samtidigt ger dig strategin möjlighet att tidigare lägga upptäckt och försvara dig från angriparen.

Inledning

“The Cold War had become a battlefield marked by doublespeak. Disguise, distortion, and deception were accepted as reality. Truth was promised in a serum.” — by Annie Jacobsen

En strategi för användandet vilseledande försvarsmekanismer innebär att vi aktivt försöker manipulera en angripares uppfattning om hur vår verklighet ser ut. Detta vägleds av vad vi vill uppnå med vår vilseledning som exempelvis kan avse tidig upptäckt och blockering, eller förhalning av ett angrepp i syfte av att identifiera angriparen (eng. attribution). Handlingsplanen för införandet kommer att bestå av aktiviteter som motsvarar den inriktning vi valt, exempelvis förhalning.

Säkerhetsåtgärder inom området vilseledande strävar efter att förmedla en falsk verklighet som angriparen uppfattar som den riktiga verkligheten. Genom att förmedla en alternativ verklighet vill vi påverka angriparens framtida handlingar vilket ger oss en möjlighet att i viss utsträckning förutspå angriparens handlingar. Kan vi förutspå handlingarna kan vi också mer effektivt försvara oss.

Även om vi som försvarare helst av allt skulle vilja undvika att bli utsatta för ett angrepp kan vi inte avgöra det, men vad vi kan göra däremot är att påverka utfallet. På ett övergripande plan talar vi om att förebygga, upptäcka och åtgärda intrång. Ett effektivt cyberförsvar kombinerar åtgärder inom samtliga områden och gör detta med hjälp av säkerhetsåtgärder som innebär både tekniska och administrativa (rutiner, processer, kultur). Vilseledande åtgärder kan sägas i huvudsak placeras inom de förebyggande och upptäckande områdena.

Införandet av en säkerhetsåtgärd bör göras som en del av en, eller flera, cybersäkerhetsstrategi(er). En strategi beskriver tydligt vilket problemområde som adresseras genom den aktuella tatik, vilka vägledande inriktningar/principer som ska beaktas och en handlingsplan med aktiviteter som driver arbetet mot inriktningen för att lösa det beskrivna problemet.

Vad karaktäriserar en bra strategi?

En mycket kort avstickare för att kort behandla begreppet strategi.

En bra strategi består av tre huvudsakliga komponenter; (1) en beskrivning av problemet som strategin avser lösa; (2) en vägledande inriktning för att lösa det identifierade problemet i (1) och slutligen; (3) en handlingsplan med aktiviteter som tar dig framåt och i riktning med (2).

Utifrån dessa tre komponenter kommer jag nu beskriva en strategi för användandet av vilseledning som en del av ett aktivt cyberförsvar.

… inledningen fortsätter

Som försvarare strävar vi efter att i ett så tidigt skede som möjligt försvåra eller avbryta angriparens försök. Vilseledande åtgärder möjliggör detta. En angripare som planerar ett angrepp kommer av nödvändighet behöva genomföra vissa aktiviteter som en del av det planerade angreppet. Denna process, eller flöde, kan beskrivas genom en modell som kallas cyber-kill chain. Modellen består av ett antal sekventiella steg som en angripare måste ta sig igenom för att lyckas med ett angrepp.

Som försvarare har vi en tämligen otacksam roll att axla. Vi lever i en konstant ovisshet om huruvida vi kommer att utsättas för ett riktat angrepp, eller redan är utsatta för ett. Vissa organisationer och företag har också en förhöjd hotbild på grund av den verksamhet de arbetar med. Det finns en fundamental asymmetri i vår relation till angriparen som bestämmer när, var och hur ett angrepp ska genomföras.

Innan vi börjar

Först beskriver jag de problem som motiverar och rättfärdigar användandet av vilseledande åtgärder. Efter detta inledande avsnitt beskriver jag mer ingående vad vilseledande aktiviteter innebär och fördelarna med att använda dessa samt när du troligen bör undvika att använda dem. 

Del två av denna artikel kommer beskriva det mer praktiska arbetet med att planera, införa och övervaka vilseledande åtgärder.

Teori

Välkommen till första delen av denna artikelserie om vilseledande åtgärder för ett aktivt cyberförsvar. Denna del av artikeln kommer behandla teorin bakom dessa typer av åtgärder. Vi inleder med att beskriva det bakomliggande problemet som motiverar användningen av vilseledande åtgärder.

Problemet: Från angrepp till försvar

Angriparen bestämmer var, när och hur ett angrepp ska ske. Allt vi kan göra som försvarare är att vänta på ett framtida angrepp och hoppas på att vi är tillräckligt förberedda. Detta skapar en asymmetri vilken vi försvarare ständigt strävar efter att balansera med hjälp av olika säkerhetsåtgärder.

Som försvarare måste vi också vara beredda på ett brett spektrum av angrepp. Vi kan utsättas för politiskt motiverade angrepp, cyberspionage eller cyberangrepp pga våra relationer till andra organisationer eller individer. Motivet bakom ett angrepp avgörs i viss utsträckning av vår verksamhet och de tillgångar vi har. En angripare å andra sidan behöver sällan oroa sig för att själv utsättas för angrepp, och på grund av det teknologiska landskapets beskaffenhet inte heller direkt oroa sig för att identifieras.

Försvararen behöver identifiera så många säkerhetsbrister som möjligt, bedöma dess konsekvenser och sannolika utnyttjande. En angripare behöver endast identifiera ett fåtal brister och kan helt ignorera sannolikhetsbedömningar och istället fokusera på vad bristen kan uppnå. Angriparen har också tiden på sin sida. Han kan vänta på att rätt tillfälle dyker upp. 

Sammantaget innebär detta att angriparen har ett avsevärt övertag och att vi får utkämpa striderna i skuggan av ovisshet av vem, när och hur det sker. För att uppnå en balans i denna orättvisa strid vill vi identifiera möjligheter i vilka vi får ett övertag gentemot angriparen. Övertag innebär i det här sammanhanget exempelvis att vi i ett tidigt skede upptäcker försök till, eller planering inför, ett intrång.

Om vi ska lyckas uppnå visionen om att tidigt identifiera och förhindra ett intrång och på ett effektivt sätt distribuera våra ofta begränsade försvarsresurser är det av vikt att förstå angreppet från en angripares perspektiv. När vi förstått angriparens perspektiv och tillvägagångssätt är det enklare att analysera var i angreppskedjan vi ska fokusera våra insatser.

Vilseledande åtgärder

Inom ramen it-säkerhet och cyberområdet kan vilseledande definieras enligt följande (Yuill, 2006) 2:

Planerade handlingar som avser missleda angripare och genom detta få dem till att genomföra (eller inte) specifika handlingar som stödjer vårt cyberförsvar.

Vilseledning inom cyberområdet har studerats länge och väl, men används trots detta väldigt sällan. Detta är beklagligt med tanke på att ett av angriparens kanske främsta redskap för att nå framgång är precis vilseledande. I över 90% av samtliga incidenter och intrång (Verizon, 2017) 3 användes exempelvis phishing. Phishing bygger mer eller mindre uteslutande på antaganden om vår bristande förmåga på att kunna urskilja vad som är äkta från vad som är falskt. Detta kan också beskrivas som kärnan i vilseledning (eng. deception) vilket definieras som:

1a :  the act of causing someone to accept as true or valid what is false or invalid :  the act of deceiving”

f

En intressant användning av vilseledande åtgärder är hur Ryssland använde uppblåsbara flygplan för att ge sken av att ha fler flygplan än vad de egentligen hade.

Grundläggande koncept

Vilseledande aktiviteter kan sägas förhålla sig till fyra grundläggande koncept: sanning, lögn, förnekelse och missledande4. Som försvarare strävar vi efter att manipulera hur angriparen uppfattar sanningen men det är också viktigt att det vi förmedlar till större delen är sant. Samtidigt krävs det dock att vi medvetet ljuger om något som vi vill att angriparen ska uppfatta som en del av sanningen.

Genom att neka angriparen sanningen kan vi istället peka på lögnen. När vi inte kan förhindra att sanningen observeras kan vi missleda och flytta fokus till lögnen. När vi inte kan påverka angriparens fokus kan vi förvirra angriparen genom att tillhandahålla flera troliga och alternativa sanningar.

Effekter av vilseledande säkerhetsåtgärder

När vilseledning används som säkerhetsåtgärd är det viktigt att komma ihåg att dessa är ett komplement till existerande säkerhetsåtgärder. Vilseledning avser endast att förändra den av angriparen förväntade verkligheten så att den bättre passar oss som försvarare.

Vilseledande åtgärder kan kategoriseras efter de effekter som de avser producera. Vi delar upp i följande kategorier:

  • Sanningsenlig
  • Naiv
  • Intelligent

Sanningsenlig vilseledning innebär helt enkelt att vi kommunicerar den riktiga verkligheten till angriparen utan att göra någon förändring i denna.

Naiv vilseledning innebär att vi returnerar ett påhittat svar. Exempelvis när vi dirigerar en angripare till en honeypot. Eftersom en honeypot oftast är en simulation av ett riktigt system kan en angripare identifiera indikatorer som pekar på att han befinner sig i en simulation.

Intelligent vilseledning innebär att vi returnerar ett svar som inte skiljer sig från ett riktigt svar. Exempelvis skulle vi kunna dirigera en angripare till ett riktigt system men som övervakas mer aktivt. Det skulle också kunna innebära att vi exempelvis som svar på en nätverksanslutning väljer att besvara denna med ett “riktigt” svar trots att nätverksporten inte är öppen.

Föreställ dig att en angripare börjar kartlägga vår organisation. Detta kommer sannolikt innebära att vår publika hemsida besöks och detta är mycket svårt att särskilja från ett “vanligt” besök. Utan några vilseledande åtgärder förmedlar vi endast sanningen till angriparen. Men antag att vi placerar en e-postadress någonstans på hemsidan där en vanlig användare inte skulle se den, exempelvis utanför html-koden så att en webbläsaren inte kommer visa den. Denna e-postadress blir en del av vår “nya” verklighet som förmedlas vidare till angriparen. Skulle vi vid ett senare tillfälle upptäcka att det dyker upp e-post hos denna e-postadress kan vi utgå ifrån att avsändarens avsikter inte är goda.

Det skulle även kunna avse att vi inkluderar IP-adresser eller liknande på ställen där en vanlig användare inte skulle stöta på dem. Eller varför inte ett attraktivt domännamn i DNS:en.

Fördelar med vilseledande åtgärder

Med hjälp av vilseledande åtgärder kan vi öka mängden information om ett intrång, eller försök till intrång. Vi köper också tid. Om vi kan förvirra en angripare och fördröja angreppet innebär det också att mer tid är tillgängligt att spendera på lämpliga och nödvändiga handlingar som svar på det aktuella angreppet eller ett framtida. Framförallt får vi möjlighet att tidigt upptäcka ett angrepp eftersom angriparen kommer trampa runt i vår falska del av verkligheten vilket kan tolkas som tydliga indikatorer på att något fuffens är på gång.

Utöver detta så ökar vi angriparens framtida insatser i ett angrepp. Angriparen riskerar att bli upptäckt tidigare och måste utöva avsevärt mycket mer försiktighet i samtliga steg vid angreppet. Denna ökade risk leder till att angriparen behöver öka insatserna för ett angrepp genom att tillföra mer resurser eller helt enkelt välja ett annat mål.

Undvik vilseledande åtgärder när…

Innan du sätter igång med att införa vilseledande åtgärder är det viktigt att du först utvärderar mognaden på din organisations cyberförsvar. Du bör uppfylla följande kriterier:

  • Ni har en organisation och personal för cyberförsvar,
  • Ni genomför eller har planer på threat hunting,
  • Ni har ett Security Operations Center (SOC) eller köper tjänsten,
  • Ni kan, relativt, sannolikt bedömas utsättas för riktade angrepp,
  • Ni har kanske särskilt skyddsvärda (åtråvärda) tillgångar,

Vilseledande åtgärder är ingenting som konfigureras en gång och sedan ignoreras. Det är något som kontinuerligt behöver utvärderas och kontrolleras, justeras och övervakas. Det förutsätter att det finns tid och personal tillgängligt för att hantera införandet och den kontinuerliga förvaltningen av åtgärderna.

Vilseledande åtgärder sammanfattat

Vilseledande åtgärder är något vi vill använda för att ge en angripare en bild av vår organisation, tillgångar etc. som inte är helt sanningsenlig. Syftet är att den förvrängda delen av sanningen ska ge oss ett övertag i ett framtida eller pågående intrång. Övertaget ska möjliggöra mer effektiva svar på angriparens troliga handlingar.

Referenser

  1. Bill Cheswick, 1991, An evening with Berferd, In Which a Cracker is Lured, Endured, and studied. [Online, http://www.cheswick.com/ches/papers/berferd.pdf], Hämtad: 2017-06-12.
  2. Joseph James Yuill, 2006, Defensive Computer-Security Deception Operations: Processes, Principles and Techniques., [Online, https://repository.lib.ncsu.edu/bitstream/handle/1840.16/5648/etd.pdf?sequence=1&isAllowed=y ] Hämtad: 2018-09-13
  3. Verizon, 2017, 2017 data Breach Investigations Report 10th Edition, [Online, http://www.verizonenterprise.com/resources/reports/rp_DBIR_2017_Report_en_xg.pdf], Hämtad: 2017-06-12
  4. M. Bennet, E. Waltz, 2007, Counterdeception Principles and Applications for National Security