Konference G2B TechEd Brno 2018

Na mnohých diskuzích a prezentacích s odbornou IT veřejností je vidět, že bezpečnost neustále nabývá na významu. Velmi častý, a dovolím si tvrdit, že za tu chvíli již zprofanovaný, pojem GDPR je pomyslným vrcholkem ledovce. Nicméně o tomto nařízení Evropské unie teď další z řady textů psát nechci.

externí autořiexterní autoři
Cloud ServicesCloud Services
13.12.2017 10:46:0013.12.2017 10:46:00

externí autoři

externí přispěvatelé magazínu softwarový QUAS

DAQUAS
+420 222 512 201
+420 603 442 434
daquas@daquas.cz
Anny Letenské 7, Praha 2

Zločinci, Microsoft 365 a ATOM

Na mnohých diskuzích a prezentacích s odbornou IT veřejností je vidět, že bezpečnost neustále nabývá na významu. Velmi častý, a dovolím si tvrdit, že za tu chvíli již zprofanovaný, pojem GDPR je pomyslným vrcholkem ledovce. Nicméně o tomto nařízení Evropské unie teď další z řady textů psát nechci.

Proč se zvyšuje tlak na bezpečnost IT? Protože je prostě všude. A už dávno ne jen v dobře vycvičených, vyškolených rukou. Dobrým příkladem může být využívání chytrých zařízení, která obsahují nejenom soukromé informace, ale také informace firemní. Přiznejme si, kolik z vás, čtenářů, má nyní poblíž mobilní zařízení, které obsahuje citlivé informace nebo přístup k nim a není přitom profesionálně spravováno…

Téměř každý týden prosákne na veřejnost informace o úniku dat, citlivých osobních informací, dat zákazníků. Posledním příkladem může být služba Uber. Rád bych se s vámi podělil o naše vlastní zkušenosti se zneužitím důvěry, informací. V obou případech se jednalo o služby, které byly provozovány v cloudových technologiích. Nutno však podotknout, že problém není v nich. Cloudové technologie, jakéhokoliv poskytovatele, jsou bezpečné maximálně natolik, nakolik je zabezpečené prostředí, ze kterého uživatel přistupuje. Prostředí, která jsou nejvíce náchylná na chybu a nedostatky zabezpečení, jsou on-premise systémy. Častou příčinou pak bývá bezmezná důvěra správce systému v technologie, s níž podcení zabezpečení jednotlivých komponent.

K jednotlivým technologiím, které jsou provozovány ať v on-premise prostředí nebo v cloudu, je nutné přistupovat zodpovědněji než dříve. V dnešní době, kdy uživatel pracuje kdykoliv, kdekoliv, na jakémkoliv zařízení, jsou data ve stále větším nebezpečí. Nemůžeme si namlouvat, že žijeme v malé, české kotlině. Ani zde již nejsme „jen tak“ v bezpečí. Pokud takový pocit máte, je falešný. Myslím, že mnohým z vás se stále hůře usíná s ohledem na zabezpečení firemních a uživatelských dat.

V obou níže uvedených případech se jednalo o kombinaci celé řady „nešťastných“ událostí. Jak praví staré moudro, každý řetěz je tak silný, jak silný je jeho nejslabší článek. S tím, jak roste složitost moderních systémů, provázanost mezi on-premise a cloudovými řešeními, těchto slabých článků spíše přibývá. S každým spojem… S každou předávkou dat. V drtivé většině se jedná o selhání lidského faktoru, ať jde o uživatele nebo správce systému. Přitom je tak snadné podniknout jednoduché kroky, které těmto, obvykle základním, chybám předejdou.

Příběh první

Odehrává se mimo Evropu, u společnosti, která má více poboček, provádí akvizice malých kanceláří. Na konci tohoto příběhu je zcizení necelých 200 000 USD a vyšetřování FBI. Ale vraťme se nazpět o osm dní a pojďme se podívat, jak se to seběhlo.

První krokem v tomto případě byla kompromitace domácího počítače uživatele. Jak jsem zmínil, uživatel v dnešní době již nepracuje na jednom místě v kanceláři, na jediném zařízení. Jakmile byl počítač kompromitován pomocí škodlivého kódu, útočník získal přístup k heslům, která měl uživatel uložena v paměti prohlížeče. Následně se přihlásil pomocí těchto údajů do poštovní služby v Office 365. Řešení by v tomto případě přitom bylo vcelku snadné – jednak znemožnit ukládání hesel v prohlížeči, což ale na nespravovaných počítačích není snadné zajistit, nebo zavést vícefaktorovou autentizaci pomocí Azure MFA v kombinaci s podmíněným přístupem v Azure Active Directory. Uživatel by musel při použití nespravovaného počítače potvrdit přístup např. pomocí mobilního zařízení.

Jakmile útočník získal přístup do pracovního e-mailu uživatele, odeslal e-mail finančnímu řediteli společnosti. V příloze byl uvedený dokument, který obsahoval zprávu o sdílení informací s uvedením odkazu. S ohledem na to, že finanční ředitel neměl jakékoli pochybnosti, s uživatelem dříve spolupracoval, na odkaz kliknul. Tím došlo k zavedení škodlivého kódu do počítače finančního ředitele. Následně byl získán přístup k privilegovanému účtu na počítači a přihlášení do schránky finančního ředitele. V této fázi se nabízí opět několik řešení. Prvním může být využití Windows 10 Enterprise Advanced Threat Protection (ATP), který je schopný detekovat zcizení procesu a kontroly pomocí sandbox. Další možnou ochranou je využití služby ATOM a detekce zcizení účtu.

V tuto chvíli má útočník přístup do schránky finančního ředitele a mezi prvními kroky je vytvoření pravidel, která skryjí e-mailovou komunikaci útočníka. Přihlášení do poštovní schránky probíhá z Afriky pomocí darknetu. Útočník začíná prohledávat odeslané zprávy finančního ředitele, zdali nenalezne „cokoliv užitečného“. A nalézá. Zpráva, která obsahovala příkaz k úhradě při předchozí transakci, je zneužita. Útočník mění informace o bankovním spojení a odesílá na generálního ředitele s žádostí o úhradu. V tomto kroku proběhlo opět několik fatálních pochybení. Pokud by v organizaci byl správně implementovaný podmíněný přístup (Conditional Access) v rámci Azure AD, již pokus o přihlášení z Afriky by byl prohlášen za podezřelý. S tím souvisí opět využití vícefaktorové autentizace. Všechny takové informace jsou pak reportovány v jediném dashboardu. Další vrstvou ochrany může být využití Azure Information Protection (AIP) a možnosti automatické klasifikace. Pokud zpráva obsahuje citlivé informace (zde bankovní), zpráva je automaticky zašifrována. V tomto případě, pokud útočník nemá přístup k fyzickému zařízení a nemůže potvrdit přihlášení a stejně tak nemá přístup k šifrovacím klíčům, pomocí kterých by e-mail zašifroval, mail by nemohl být odeslán.

Generální ředitel společnosti obdrží e-mail s informací o platbě. Odesílá dotaz, zdali se jedná o legitimní platbu. Díky pravidlům, která útočník vytvořil, je tento e-mail chytře schován ve schránce finančního ředitele a útočník na něj odpovídá – ano, jedná se o legitimní požadavek. Generální ředitel nemá jediný důvod nedůvěřovat e-mailu, stejně jako v předchozím případě jedná se o důvěryhodného uživatele, platbu potvrzuje a platba je provedena. V tuto chvíli není cesty nazpět a společnost v jedinou chvíli přišla o nemalé prostředky. Pokud by ve firmě bylo využíváno ochrany AIP a e-mail, který generální ředitel společnosti obdržel, nebyl takto ochráněný (což se útočníkovi nepodaří vytvořit), již tato skutečnost by byla varující.

O dva dny později se útočník pokusil celou akci zopakovat. Tentokrát s částkou převyšující 200 000 USD. Zde již generální ředitel pojímá podezření a finančního ředitele kontaktuje telefonicky. Ten potvrzuje, že se jedná o podvod. Platba je zastavena. Je spuštěn proces forenzní analýzy, aby bylo možné výše uvedený postup zdokumentovat, a je zahájeno vyšetřování FBI.

V tuto chvíli se nemohu podělit o více informací, uvidíme, jak bude vypadat spolupráce s FBI. Postup útoku je znázorněn na obrázku.

V celém průběhu útoku jsou evidentní lidská selhání a technologická pochybení. Dovolím si tvrdit, že kdo nepřečetl celé první dějství, možná si ani nedokázal všechny tyto souvislosti poskládat do takto sofistikovaného útoku.

Příběh druhý

Odehrává se v České republice, u společnosti, která poskytuje centrální IT pro několik zemí ve světě. Závěr tohoto příběhu není na první pohled tak bolestivý, ale je to pouze první pohled. Útočník si přišel na své, IT organizace čelila velkému výpadku služeb a rychlým nápravám a hledání pomyslného nejslabšího článku. Celá akce proběhla za méně jak 2 dny, rychlé, smrtelné, děsivé. Příčinou všeho bylo zanedbání řádné konfigurace vzdálené plochy. Jak banální konfigurační chyba!

Den nula. Probíhá sken veřejně dostupných internetových adres, útočník nalézá port 3389 – Remote Desktop Protokol (RDP). Následně je spuštěn brute force útok na RDP a pokus o nalezení přihlašovacích údajů. Nalezeno slabé heslo do virtuálního stroje v Microsoft Azure, útočník se hlásí na RDP. Cloudová služba je v tomto naprosto nevinně. Útočník využil chyby konfigurace prostředí Azure a chyby administrátora. Již v tomto okamžiku bylo možné snadno detekovat podezřelou akci – velké množství pokusů o přihlášení na RDP. Služba ATOM obsahuje právě tyto detekce a díky Security Operations Týmu by již do deseti minut zákazník obdržel telefonickou notifikaci o možném průniku s návrhem řešení.

Den prvý. Útočník je již přihlášený pomocí vzdálené plochy, nic nedělá a vyčkává. Až do okamžiku, kdy spouští nástroj mimikatz a během několika vteřin získává informace o privilegovaném účtu a může jej využít pro přihlášení. Spouští sken sítě, zjišťuje, kde všude se nachází RDP servery. Jelikož zákazník má vytvořenu VPN mezi on-premise a cloudovým prostředím, útočník získává informace o serverech i v on-premise prostředí. Opět, něco takového by bylo možné detekovat na několika místech pomocí služby ATOM. Od detekce přístupu na RDP na serveru, přes využití škodlivého nástroje, na který by byl zákazník telefonicky upozorněn, až po detekce otevřených portů.

Den prvý pokračuje. Útočník v tuto chvíli zná servery, na které se může přihlásit, pomocí informací na původním serveru zjišťuje název doménového řadiče a provede pokus o přihlášení na doménový řadič. Uspěl. Na doménovém řadiči modifikuje nastavení skupinových politik, které mají distribuovat nástroj pro těžení kryptoměny BitCoin. Uspěl. Při další aktualizaci skupinových politik na serverech je tato aplikace nasazena. Opět bylo možné hned na několika místech detekovat nekalou činnost pomocí služby ATOM. Mezi detekce patří přístup pomocí RDP na doménový řadič a modifikace skupinové politiky. Další možností ochrany je použití vícefaktorové autentizace na servery pomocí Azure MFA komponenty v on-premise prostředí.

Den prvý, později. BitCoint miner je distribuovaný na servery, on-premise a cloud, dochází k jeho spuštění. Postupně dochází k DDoS útoku, kdy jednotlivé služby přestávají odpovídat a díky vytíženým procesorům začínají selhávat. Zde již není cesty zpět. ATOM opět může pomoci v několika detekcích, ať se jedná o vysoké zatížení serverů, tak i selhávání služeb. Již nyní je v přípravě rozšíření o detekci nechtěných procesů. V případě detekce nechtěného / škodlivého procesu bude administrátor upozorněn. Další částí identifikace podezřelého chování může být Advanced Threat Analytics, kde by se správci dozvěděli o podezřelém přihlášení ze serverů, ze kterých přihlášení nikdy předtím neproběhlo.

Den druhý, uživatelé identifikují problémy, IT zjišťuje, co se děje. Dochází k postupnému odstavení služeb a komunikací, uzavření portů. Tím se zabrání komunikaci do internetu a servery je možné konfigurovat. Dochází ke změně hesel privilegovaných uživatelů, což má i neblahý dopad na některé služby, které přestávají fungovat. BitCoin miner je zastavený a začíná forenzní vyšetřování. ATOM, díky tomu, že je postavený na škálovatelné platformě Azure Log Analytics, umožňuje téměř neomezené ukládání log informací ze serverů. Pokud jsou logy umístěny na jediném místě, je možné předejít výše uvedeným krokům, ale také přesně určit stopu útoku – co se kdy kde dělo.

Popis útoku je opět uvedený na obrázku. Opět se jednalo o drobná pochybení, která vedla k fatální chybě. Ruku na srdce, kdo z administrátorů jakkoliv chrání přístup na RDP na serverech, kdo kontroluje komunikace v interním prostředí např. pomocí FlowMon, kdo audituje a pravidelně kontroluje změny skupinových politik?

Příběh třetí – Technologie útočí

Jak jsem zmiňoval, nikde nenastala mimořádně velká chyba a v žádném případě není na vině cloudová technologie. V prvém případě se jednalo o Office 365, ve druhém pak Azure. Oba případy spojuje celá řada drobných pochybení, na straně uživatele a na straně týmu IT. V obou případech však došlo k fatálnímu důsledku. V obou případech měl finanční dopady. V obou případech existovalo několik řešení, která mohla buď identifikovat pokus o zneužití systému nebo mu přímo zabránit.

Nyní se vrátím na začátek tohoto článku. Nařízení Evropského parlamentu a rady (EU) 2016/679, známé jako GDPR přímo klade několik důležitých požadavků. Mezi ně patří zajištění integrity, dostupnosti, odolnosti a důvěrnosti. Také ukládá povinnost nahlásit i potenciální únik osobních dat dozorujícím orgánům. Oba výše uvedené případy nenaplnily tyto požadavky. Možná se ptáte: „Co s tím?“

Snadnou odpovědí může být využití služeb Microsoft 365 a ATOM. U jednotlivých postupů jsem uváděl technologie, které mohou pomoci se vzniklou situací. V současné době již celá řada organizací využívá služeb Office 365. Osobně se domnívám, že provoz Office 365 není možný bez Enterprise Mobility & Security. Především díky bezpečnostním komponentám Azure AD Premium, Intune pro správu zařízení a Azure Information Protection. Nyní již stačí přidat Windows 10 Enterprise, kde zásadní bezpečnostní komponentou je Advanced Threat Protection (ATP) – a balík Microsoft 365 je kompletní.

S ohledem na vzrůstající složitost IT systémů a stále méně času, který je možné věnovat proaktivní správě prostředí IT, vznikla služba ATOM. Cílem služby ATOM je vysvětlovat a předávat informace snadno pochopitelným způsobem a nabízet řešení identifikovaných problémů. Na místě je položit několik dotazů. Provozuje vaše organizace bezpečnostní a operativní sledování serverů? Dokážete kombinovat informace z on-premise a cloudových prostředí? Pokud vlastníte nástroje pro monitoring, co se stane, když v konzoli vidíte, řekněme, 50 událostí (také reagujete CTRL+A DEL)? Co děláte, pokud některé informaci v monitoringu nerozumíte? Jak složité je do monitoringu zadat vše, co byste chtěli, nemluvě o tom, co byste měli, monitorovat? Odpovědi na všechny tyto dotazy jsou skryty právě ve službě ATOM (více na www.atom.ms).

Věřím, že se v některém z následujících článků budeme moci vrátit blíže k jednotlivým komponentám. Po diskuzích s mnoha zákazníky si uvědomuji jejich důležitost.

Na závěr tohoto příběhu bych vám rád popřál klidné noci plné snů a pohodové Vánoce. Věřím, že v dalším článku nebudeme popisovat váš příběh. Pokud si přeci jenom nejste jisti, zdali můžete spát klidně, není nic snazšího nežli se na mne osobně obrátit, rád vám pomohu získat nazpět pohodu a jistotu.

Ondřej Výšek, KPCS