Sebagai kategori keamanan yang relatif baru, banyak operator dan eksekutif keamanan yang saya temui bertanya kepada kami, “Apa saja alat Validasi Keamanan Otomatis (ASV) ini?” Kita telah membahas hal itu secara luas di masa lalu, jadi saat ini, alih-alih meliput “Apa itu ASV?” Saya ingin mengatasi “Kenapa ASV?” pertanyaan. Dalam artikel ini, kami akan membahas beberapa kasus penggunaan umum dan kesalahpahaman tentang bagaimana orang menyalahgunakan dan salah memahami alat ASV setiap hari (karena itu jauh lebih menyenangkan). Untuk memulai, tidak ada tempat untuk memulai seperti awal.
Alat validasi keamanan otomatis dirancang untuk memberikan penilaian yang berkelanjutan dan real-time terhadap pertahanan keamanan siber suatu organisasi. Alat-alat ini bersifat berkelanjutan dan menggunakan eksploitasi untuk memvalidasi pertahanan seperti EDR, NDR, dan WAF. Mereka lebih mendalam daripada pemindai kerentanan karena mereka menggunakan taktik dan teknik yang akan Anda lihat dalam tes penetrasi manual. Pemindai kerentanan tidak akan menyampaikan hash atau menggabungkan kerentanan untuk serangan lebih lanjut, yang merupakan keunggulan ASV. Tujuan mereka ada pada namanya: untuk “memvalidasi” pertahanan. Ketika masalah atau kesenjangan telah diatasi, kita perlu memvalidasi bahwa masalah atau kesenjangan tersebut benar-benar telah diperbaiki.
Mengapa ASV dibutuhkan?
Dan itu membawa kita ke menunjukkan bagian dari ini, dan guru kita dalam hal ini adalah Aesop, pendongeng Yunani yang hidup sekitar 600 SM. Dia menulis sebuah cerita berjudul Anak Laki-Laki yang Menangis Serigala yang saya tahu Anda pernah mendengarnya sebelumnya, namun saya akan membagikannya lagi jika Anda memerlukan penyegaran:
Fabel tersebut bercerita tentang seorang anak gembala yang terus-menerus membodohi desa agar percaya bahwa dia melihat serigala. Apakah dia dimotivasi oleh perhatian, ketakutan, atau penglihatan yang buruk? Aku tidak tahu. Intinya dia berulang kali melambaikan tangannya ke udara dan berteriak “Serigala!” ketika tidak ada serigala yang terlihat. Dia melakukan hal ini begitu sering sehingga dia membuat penduduk kota tidak peka terhadap panggilannya sehingga ketika memang ada serigala, penduduk kota tidak mempercayainya, dan anak gembala itu dimakan. Ini adalah kisah yang sangat mengharukan, seperti kebanyakan kisah Yunani.
Admin Sys Yang Menangis Diperbaiki
Dalam keamanan siber modern, positif palsu setara dengan “serigala menangis”. Masalah praktik umum, ketika ancaman mendapat peringatan meskipun tidak ada peluang untuk dieksploitasi. Namun mari kita lihat kembali cerita ini karena satu-satunya hal yang lebih buruk daripada positif palsu adalah negatif palsu.
Bayangkan, jika alih-alih “menangis serigala” padahal tidak ada serigala, anak laki-laki tersebut berkata “semua baik-baik saja”, tanpa menyadari bahwa serigala bersembunyi di antara domba. Ini adalah negatif palsu, tidak mendapat peringatan saat ada ancaman yang sering terjadi. Setelah anak laki-laki itu memasang jebakan, dia yakin bahwa tidak ada lagi ancaman, tetapi dia tidak memvalidasi bahwa jebakan tersebut benar-benar berfungsi untuk memblokir serigala. Jadi versi Crying Wolf yang direskop menjadi seperti ini:
“Ah, kukira ada serigala yang mengintai. Aku akan membereskannya,” kata anak laki-laki itu.
Jadi penggembala mengikuti instruksinya: Dia memasang perangkap serigala, membeli alat keamanan pembunuh serigala, dia bahkan memasukkan Objek Kebijakan Grup (GPO) untuk mengeluarkan serigala itu dari ladangnya. Kemudian dia pergi ke kota dengan bangga atas karyanya.
“Mereka memberi tahu saya bahwa ada serigala, jadi saya merawatnya,” katanya kepada teman-teman penggembalanya sambil minum bir di kedai setempat.
Sementara itu, kenyataannya serigala mampu menghindari jebakan, berjalan melewati alat pembunuh serigala yang salah dikonfigurasi, dan menetapkan kebijakan baru di tingkat aplikasi sehingga dia tidak peduli dengan GPO. Dia menangkap serangkaian kredensial Admin Domain (DA) kota tersebut, menyampaikannya, mendeklarasikan dirinya sebagai walikota, dan kemudian menahan kota tersebut dari serangan ransomware. Sebelum mereka menyadarinya, kota tersebut berhutang 2 Bitcoin kepada seekor serigala, atau mereka akan kehilangan domba dan satu truk penuh PII.
Apa yang dilakukan anak gembala itu disebut false negative. Dia pikir tidak ada serigala, hidup dalam rasa aman yang palsu ketika ancaman tidak pernah benar-benar dinetralisir. Dan dia sekarang menjadi trending di Twitter karena semua alasan yang salah.
Waktunya skenario kehidupan nyata!
Serigala jarang menjadi ancaman terhadap keamanan informasi, namun tahukah Anda siapa? Aktor jahat dengan pintu belakang, pijakan di jaringan Anda, mendengarkan kredensial. Semua itu dimungkinkan melalui teman baik mereka, protokol resolusi nama warisan.
Serangan keracunan resolusi nama adalah masalah yang sulit diatasi dalam proses remediasi. Jika DNS Anda tidak dikonfigurasi dengan benar (hal ini sangat umum terjadi) dan Anda belum menonaktifkan protokol LLMNR, NetBIOS NS, dan mDNS yang digunakan dalam serangan man-in-the-middle melalui GPO, skrip start-up, atau skrip Anda sendiri. saus spesial, maka Anda mungkin akan mendapat masalah. Dan saat serigala mengambil segelas susu—penyerang Anda akan mengambil data sensitif untuk dirinya sendiri.
Jika penyerang mengendus kredensial dan Anda tidak mengaktifkan penandatanganan SMB Dan diperlukan di semua mesin yang bergabung dengan domain Anda (jika Anda bertanya-tanya apakah Anda melakukannya, mungkin Anda tidak melakukannya) maka penyerang tersebut dapat menyampaikan hash tersebut. Ini akan mendapatkan akses ke mesin yang bergabung dengan domain tanpa memecahkan hash yang ditangkap.
Astaga!
Sekarang pentester desa Anda yang ramah menemukan masalah ini dan memberitahu admin sistem, AKA gembala kami, untuk melakukan salah satu perbaikan yang disebutkan di atas untuk mencegah serangkaian serangan ini. Dia memperbaikinya dengan kemampuan terbaik mereka. Mereka memasang GPO, mereka mendapatkan alat-alat canggih, mereka melakukan SEMUA hal. Tapi apakah serigala yang mati sudah terlihat? Apakah kita TAHU ancamannya telah diatasi?
Melalui serangkaian kasus sudut yang layak untuk dimontase, penyerang masih bisa masuk, karena hampir selalu ada kasus sudut. Anda akan memiliki server Linux yang tidak tergabung dengan domain, sebuah aplikasi yang mengabaikan GPO dan tetap menyiarkan kredensialnya. Lebih buruk lagi (*menggigil*), alat penemuan aset menggunakan enumerasi terautentikasi yang memercayai jaringan secara luas dan mengirimkan kredensial DA ke semua orang.
Alarm Palsu Diperbaiki
Itu sebabnya para dewa dunia maya memberi kita ASV, karena ASV adalah penebang pohon kota yang terkoyak dengan pekerjaan sampingan seperti hantu serigala. Ia akan berperilaku seperti serigala. Itu akan mengendus kredensial, menangkap hash, dan meneruskannya ke mesin yang bergabung dengan domain sehingga sys-admin dapat menemukan satu server sial yang tidak bergabung dengan domain dan tidak mendengarkan GPO.
Mari kita bawa semuanya pulang. Ada beberapa hal yang masuk akal. Anda tidak akan menyebut serigala mati sebelum Anda melihatnya, dan tanpa ragu, Anda tidak akan menyebut sesuatu telah diperbaiki sebelum Anda benar-benar memvalidasinya. Jadi, jangan jadi 'Admin Sistem yang Menangis Diremediasi'.
Artikel ini ditulis oleh Joe Nay, Arsitek Solusi di Pentera.
Untuk mempelajari lebih lanjut, kunjungi pentera.io.