• Aktivt försvar används för att flytta angriparen till områden ni kontrollerar; bort från era känsliga system, vidare till det fejkade nätverket med era Honeypots.
  • Aktiva försvarsåtgärder kräver en relativt mogen organisation med god övervakningsförmåga och välutvecklad SOC/CERT/CIRT.
  • Används när din målsättning är att studera motståndaren och dennes motiv, metoder.

Fotfästet i ditt nätverk

En angripare har precis fått fotfäste på en dator i ditt nätverk. Angriparen kollar omedelbart om det finns några användbara inloggningsuppgifter cachade på datorn. Score! Vart finns AD-maskinerna? Namnuppslag, och tidigare inhämtade inloggningsuppgifter fungerar! Vad finns det mer för maskiner på nätverket? Filservrar, kanske något som liknar en backup? Angriparen förflyttar sig i nätverket och befäster sin position på några fler datorer, om han tappar åtkomst till en dator.

Vad angriparen inte vet är att datorerna som han fått fotfäste på är en övervakad honeypot, men ändå riktig klient. De credentials han hittar är falska. Det AD han hittar är också påhitt. Faktiskt så är hela nätverket han befinner sig på och tror sig kontrollera fejkat. Men vi har köpt tid. Vi har sett verktygen som används och laddats ned. Vi ser hastigheten på tangentbordstryckningarna. Vi ser allt! Vi söker förståelse för angriparens motiv och producerar underrättelserapporter till vår ledning och styrelse. Vi förklarar konkret vad angripare är ute efter.

Det är ett exempel på aktivt cyberförsvar. Din förmåga att vägleda, eller lura, motståndaren att förflytta sig på ett sådant sätt som du kontrollerar. Att få angriparen att flytta sitt fokus till där minst skada kan uppstå. Att uppehålla sig med och i system som kan återställas i en blikning.

Välkommen till Mitre Shield, en kunskapsdatabas som avser introducera dig till en värld av aktiva försvarsåtgärder.

Vad är Shield?

Shield är en samling av tekniker (skyddsåtgärder) som ska kunna kategoriseras som aktiva. Nu stämmer inte detta helt eftersom Shield gör anspråk på att omförvandla passiva åtgärder till aktiva, men det är en annan sak. VIssa av åtgärderna är bättre beskrivna än andra, vissa borde inte överhuvudtaget betraktas som aktiva.

Målsättningen med Shield är att skapa en diskussion och dialog kring aktiva försvarsåtgärder. Det är en första version som har publicerats och det finns en hel del att diskutera och konkretisera.

Shield har också en naturlig koppling till MITRE ATT&CK. Metoderna beskrivna i Shield är många gånger direkt kopplade till en eller flera metoder i ATT&CK. Ta t.ex. "Network Monitoring" som innehåller tre användningsfall men mappas mot åtta specifika tekniker från ATT&CK.

Kunskapen som samlats till Shield är hämtad från MITREs eget jobb med att försvara företagsnätverket.1

Vilseledning

Centralt för det aktiva cyberförsvaret och Shield är vilseledning (eng. deception). 2018 skrev jag en (populär) artikel om aktivt cyberförsvar och användandet av vilseledande åtgärder. Vilseledning kan definieras som:

Planerade handlingar som avser missleda angripare och genom detta få dem till att genomföra (eller inte) specifika handlingar som stödjer vårt cyberförsvar.

Vi skulle kunna argumentera för att detta är essensen av det aktiva cyberförsvaret. Ibland vill vi helt neka angriparen åtkomst, men många gånger vill vi uppehålla honom så att dennes resurser otillgängliggörs och genom det begränsar dess operativa förmåga.

Aktiva försvarsåtgärder?

Active Defense har definierats av Försvarsdepartementet i USA som användandet av en begränsad uppsättning offensiva handlingar och motangrepp för att neka en motståndare åtkomst till ett bestritt område.2

Direkt uppstår ju frågan om vad som kan anses vara en offensiv åtgärd, och vad begränsad innebär. Jag har tidigare skrivit om begreppet offensiva förmågor i en artikel om Sveriges Cyberförsvar där exempelvis nätverksinhämtning skulle kunna kategoriseras som en aktivt defensiv försvarsågärd.

En underhållande bok på ämnet är Offensive Countermeasures som jag skrev om för några år sedan där målsättningen är att beskriva tekniker för att angripa angriparen.

Gränsdragningen mellan aktiva och passiva försvarsåtgärder är inte tydlig, och egentligen är det kanske naturligt. Vissa åtgärder är enkla att kategorisera åt endera håll, antingen aktiva eller passiva, och vissa befinner sig i mitten på spektrat. Det väsentliga med aktiva försvarsåtgärder är vad vi avser uppnå, inte nödvändigtvis exakt hur vi implementerar det. Men jag anser inte att backuper i någon utsträckning kan anses vara en offensiv åtgärd.

Taktiker och tekniker

Teknikerna inom Shield delas upp i åtta övergripande taktik-områden exempelvis Collect, Contain, Disrupt. Under respektive takik finns de specifika teknikerna, precis som för ATT&CK. Och under varje teknik finns sedan ytterligare grupperingar av än mer specifika möjligheter och användningsfall om hur teknikerna kan omsättas i verkligheten, men exakt HUR måste du själv besvara.

Exempel - Taktik: Contain

Prevent an adversary from moving outside specific bounds or constraints.

Contain is used to prevent an adversary from moving outside specific bounds or constraints. This may include preventing them from accessing certain subnets or systems based on where they are operating. Defenders can also harden systems to prevent them from moving laterally.

Under denna finns det sedan flera specifika tekniker, t.ex. Decoy Account där målsättningen är att skapa konton som används enkom för identifiera aktörer och dess aktivitet. Detta behöver vara en del av en serie tekniker som vägleder angriparen till ett mål ni vill hen ska nå. Eller så kanske ni nöjer er med att upptäcka användning och direkt sparka ut angriparen.

Nyfiken på ett införande?

Om du tycker att Shield känns lite så där... intressant vill jag varna dig för att er mognadsgrad förväntas vara ganska så hög. Det handlar i stor utsträckning om att du behöver översätta sådan här typ av text:

A defender can use a decoy system to see if an adversary exploits vulnerable software in order to compromise the system.

Och när jag så säger mognad menar jag att du (ni?) behöver lägga en hel del tid på klura på vilka tekniker ni ska börja med och framförallt HUR ni ska införa dem. Det är varken uppenbart eller enkelt. Även om jag personligen tycker att Deception-teknologi är fantastiskt spännade och bra, är det kanske inte alltid möjligt eller för den delen nödvändigt för många att tänka så här långt.

Någonstans innebär aktiva åtgärder att det finns en slags vilja från dig (er) att försöka identifiera aktören, hur den jobbar, vilka verktyg och utifrån detta producera vettiga underrättelser.

Självklart inte alltid. Ibland kanske det handlar om att bara neka en motståndare åtkomst. Bäst är ju att studera den och dess metoder för att bygga djupare förståelse för hur och varför. Men det kräver också att ni kan omhänderta en aktiv aktör i era nätverk. Det... kräver en del kunskap och mognad.


  1. <p><a href="https://shield.mitre.org/resources/downloads/Introduction_to_MITRE_Shield.pdf">https://shield.mitre.org/resources/downloads/Introduction_to_MITRE_Shield.pdf</a>&#160;<a href="#fnref1:2" rev="footnote" class="footnote-backref">&#8617;</a></p>
  2. <p><a href="https://www.jcs.mil/Portals/36/Documents/Doctrine/pubs/dictionary.pdf?ver=2020-06-18-073638-727">https://www.jcs.mil/Portals/36/Documents/Doctrine/pubs/dictionary.pdf?ver=2020-06-18-073638-727</a>&#160;<a href="#fnref1:1" rev="footnote" class="footnote-backref">&#8617;</a></p>