Taggat med: EDR

Identifiera log4j med OSS-Fuzz och några säkerhetshöjande tips

Såhär i efterhand är det bra att dra lärdomar från log4j-sårbarheten och hur vi i framtiden kan förhindra liknande sårbarheter. En av mina personliga metoder är att genomföra fuzz-tester för att identifiera indikationer på att något är fel i ett system, bibliotek eller mjukvara.

Ett av Googles projekt som har identifierat flest antal sårbarheter genom tiderna heter OSS-Fuzz och drivs av ett antal backends såsom  libFuzzerAFL++ och Honggfuzz. I början av 2021 så fick libFuzzer stöd för att fuzza Java-kod med hjälp av Jazzer. Främst kod som är skriven JVM-baserade språk, såsom Java, Kotlin och Clojure.

Bildkälla: code-intelligence.com

För den fuzzing-kod som har hand om Remote JNDI-lookups så går den att se här. Men givetvis är fuzz-tester inte enbart den enda lösningen på att bygga säkra och robusta IT-system. Några andra säkerhetshöjande åtgärder för att försvåra attacker såsom Log4Shell (log4j) i framtiden:

  • Begränsa så att servrar och klienter inte får prata godtyckligt ut mot internet. Gäller även DNS-uppslag
  • Använd data-dioder för att föra in loggar i fysiskt separerade system. Till exempel en SOC/SIEM (airgap)
  • Se över Er software bill of materials (SBOM)
  • Genomför regelbundet automatiska och manuella penetrationstester
  • Öva regelbundet olika scenarior där ni exempelvis snabbt måste identifiera ett tredjepartsbibliotek och begränsa skadan som kan uppstå till följd av en sårbarhet
  • Se till att ni har verktyg som stödjer alla olika former av aktiviteter såsom den på raden ovan. Buzz-word för ett sådant verktyg kan vara Endpoint Detection & Response (EDR). Rekommenderar att snegla på Velociraptor (blogginlägg kommer)
  • Mjukvaror, system osv bör separeras så mycket som det går och gå med så låga behörigheter som möjligt. Se till att ha en förmåga att logga om en mjukvara avviker från detta
  • Ställ relevanta säkerhetskrav vid anskaffning av produkter och system. Följ upp så att dessa krav efterlevs

Photo by Danial Igdery on Unsplash

Cybersäkerhetstrender och hot inför 2020

Cybersäkerhetstrender och hot inför 2020

Nästan varje år har jag försökt att skriva om vilka trender inom cybersäkerhet som jag tror vi kommer att se framöver samt andra iakttagelser. Dessa spaningar är givetvis fria att använda inom Er egen organisation och sprida vidare eftersom allt innehåll på kryptera.se är licensierat med Creative Common Attribution 4.0 International (CC BY 4.0).

Password Spraying och Credential stuffing

En återkommande fråga jag får är: ”När tror du att lösenord försvinner?” och hur vi än gör så kommer vi att dras med lösenord och PIN-koder ett bra tag framöver. Detta är så klart något som antagonister också drar till nytta och hittar fler plattformar och protokoll att försöka gissa korrekta användarnamn och lösenord.

Min spaning är att ännu mer plattformar och protokoll kommer att utsättas för forceringsförsök gällande användarnamn och lösenord. Även spår jag att attacker som utnyttjar 2FA kommer att öka bla genom MITM (man-i-mitten).

Zero trust och Assume Breach 

Vi måste bygga våra nätverk och IT-arkitektur på ett sådant sätt så att även om angriparen kan ta sig in till en enskild klientdator så kan hen inte eskalera sina rättigheter eller ta sig vidare utan att detta snabbt upptäcks och utreds. Detta ställer också krav på att Threat Hunting ständigt pågår samt att det finns bra lösningar för Endpoint Detection and Response (EDR).

Det är viktigt att ha en baseline över hur Er miljö ser ut och vilken nätverkstrafik som flödar vart, vilka mjukvaror ska vara installerade osv. För det är då det också är enklare att identifiera avvisande mönster. Förutsätt att angriparen redan är inne i era nätverk och gör det svårare att komma åt affärskritisk information.

Bild över Googles Zero-trust initiativ BeyondCorp:

Zero Trust

Appliance hacking

Under året har vi sett flertalet stängda plattformar (On-Premise) såsom Citrix NetScaler, Pulse Secure, Fortigate (se blogginlägg här). Eftersom härdningen av dessa plattformar många gångar är eftersatt och loggningen är bristfällig så är det även svårt att utföra forensiska undersökningar eller upptäcka intrång.

Samt så står dessa enheter som oftast i en central punkt där många ansluter eller mycket trafik passerar vilket gör detta till en guldgruva för antagonister. Förutom att läsa av och modifiera trafik som går genom enheten så kan det även finnas möjlighet att angripa klienter som ansluter.

Inom detta område så räknar jag även in Supply Chain Cyber Security, för allt som ansluts och kopplas in i era system bör kontrolleras, avgränsas eller isoleras. Betänk även att firmware/mjukvaru-uppdateringar kan påverka Er miljö positivt eller negativt gällande säkerheten.

Threat sharing

Denna spaning är nog mer en förhoppning från min sida. Nämligen att fler organisationer blir bättre på att dela med sig av IOC:er och information om intrång. Mer transparens och system för att möjliggöra automatisk och snabb delning av hotinformation, såsom MISP eller TheHive.

Om du jobbar inom en specifik bransch så skulle jag påstå att det är av stor vikt att ni delar med Er av hotinformation inom just Er bransch.

Inom rubriken Threat Sharing så vore det även tjänstefel om jag inte nämnde MITRE:s ATT&CK-ramverk som löpande utvecklas och gör det lättare att dela med sig av sådant som inte är rent tekniska IOC:er såsom Tactics, Techniques and Procedures (TTPs). Vilket kan förevisas med David J Biancos Pyramid of Pain:

Ett medskick till Er organisation är att undersöka hur ATT&CK går att använda i Era säkerhetsprodukter såsom antivirus-mjukvara.

Övriga bubblare på listan

Ett ständigt återkommande problem är alla uppkopplade prylar (Internet of Things) där dagligen nya sårbarheter uppdagas. Detta kommer troligtvis inte att minska i takt med att fler saker blir uppkopplade, samt att fler fordon etc blir uppkopplade. Och kommer 2020 vara året då vi kommer att få se fler säkerhetsprodukter med Artificiell intelligens (AI)?

Några tidigare års trendspaningar inom cybersäkerhet och kryptering hittar du här: