Bok: Offensive Countermeasures

Tuesday, December 18, 2018

OffensivtBok

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Det här kan nog uppfattas som en ganska kontroversiell bok eftersom den handlar om Aktivt Cyberförsvar. Jag tycker ämnet är högst intressant och om ingenting annat förtjänar det en ordentlig diskussion. Det är ofrånkomligen så att det råder en kraftig asymmetri mellan försvarare och angripare, kanske kan detta ge oss den nödvändiga motvikten?

Nyckelniskter

  • Sträcker sig från högst sannolikt legala åtgärder till legalt tveksamma åtgärder; från Irritation, Attribution till Angrepp.
  • Irritera angriparen så att hen antingen börjar göra misstag eller väljer ett annat mål.
  • Använd HoneyPots så mycket det går, gör angriparen osäker på din infrastruktur.
  • Avslöja angriparen (attribution) med hjälp av beacons.
  • Egentligen en väldigt kort bok om vi ser till det faktiska innehållet, mycket text ägnas till att beskriva verktyg och hur de används.

Anteckningar

Utan tvekan en rolig och tankeväckande bok. Kontroversiell eftersom den beskriver metoder för att angripa angriparen. Samtidigt är detta en enorm gråzons-problematik. Asymmetrin är fullständig mellan försvarare och angripare. Som försvarare kan vi endast sitta och vänta på att angriparen ska komma. Hoppas att vi är tillräckligt rustade och informerade om hoten som kan komma att riktas mot vår verksamhet.

Boken börjar med ett ganska så… starkt inledande avsnitt om vikten av att samtala med sina jurister om ämnet. Detta är särskilt aktuellt för det sista avsnittet som i någon utsträckning handlar om att angripa angriparen. Det är ett minst sagt snårigt område.

Det finns tre övergripande avsnitt: Irritation, Attribution och Angrepp. Det första avsnittet beskriver metoder och åtgärder som ni kan vidta för att göra livet som angripare avsevärt mycket mer … irriterande. Svara på alla portar vid en portscan, reducera bandbredden till 2400 baud, generera rekursiva länkar på en hemsida osv.

Det andra avsnittet handlar om åtgärder för att avslöja från var en angripare kommer, även om denna använder exempelvis TOR. Inga åtgärder är garantier för avslöjande, men handlar om att få angriparen till att brista i sin taktiska säkerhet. 

Och så det sista avsnittet, det uppenbart kontroversiella avsnittet, angrip angriparen. Det är viktigt att poängtera att det inte handlar om att förstöra angriparen utan egentligen om än mer fokuserade metoder för att avslöja och få fram detaljer om denne. Det är gränsdragningar mellan vad som är legalt och icke… 

Diskussion

Ja, vad ska man säga egentligen. Jag tycker att avsnitten om att irritera och avslöja (attribution) en angripare inte är särskilt kontroversiella. Ett dokument som försöker ladda en bild som råkar vara lagrad någon annanstans än i dokumentet? Jag menar… det är ju internet i ett nötskal, länkat innehåll. Och användandet av beacons osv tycker jag inte är särskilt anmärkningsvärt.

Inte heller användandet av diverse HoneyPots. Det är din infrastruktur och vad du gör för att skydda den är upp till dig, och särskilt när det endast handlar om att irritera eller förvilla en angripare. Det finns mycket att lära sig och använda sig utav här.

Men så det här med att angripa. Hur ska man dra gränsen egentligen? När övergår försvar till angrepp? Räcker det med er intention av att inte skada utan att endast avslöja? Men om vi, säg, äger angriparens webbläsare och sedan väljer att försöka phisha angriparen (tänk Browser Exploitation Framework). Har vi då gått för långt? Svårt. Inte uppenbart tycker jag. Hen angrep ju oss först?

Och det här med aktivt cyberförsvar är ju en pågående debatt. I Sveriges försvarspolitiska inriktning ska Sverige kunna utföra aktiva cyberoperationer1. Eller i den nationella strategin:

Ett svenskt cyberförsvar som är tillräckligt robust för att stå emot och hantera cyberattacker, samtidigt som det är förberett för att vid behov snabbt kunna agera aktivt, kräver samordning och koordinering av kompetenser, samt utpekade och övade beslutsvägar, mellan olika myndigheter och samhällsfunktioner.

Nationell strategi för samhällets informations- och cybersäkerhet (Skr. 2016/17:213)

Oavsett ett mycket intressant ämne som förtjänar en ordentlig diskussion. Boken i sig är helt oekju, tillräckligt kort för att vara läsvärd och tämligen praktiskt inriktad. Inte en djupare behandling av ämnet avseende juridik, praxis och doktrin. Hur som. Läsvärd.

OffensivtBok

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Har du läst dom här?

Säkerhetsskydd: Konsekvensanalys

Bok: Intelligence-Driven Incident Response