Wie unsrige schlechten Verhaltensweisen ein Gemeinschaftsmerkmal und ein Sicherheitsproblem sind
[ad_1]
Viele Geschlechtswort berichten reichlich gehackte Passwörter, die im bösen „Dark Web“ massenhaft verfügbar sind. Es wird denn Demonstration zu diesem Zweck präsentiert, dass dies schlechte Verhalten von Benutzern die Wurzel allen Hackings ist. Trotzdem denn ehemaliger Red Teamer ist dieser Endverbraucher nicht dieser einzige Gefangene erkennbarer Verhaltensmuster.
Es gibt ein „Verwundbarkeitsmuster“ im menschlichen Verhalten, dies sich weit reichlich die Endbenutzer hinaus solange bis hin zu komplexeren IT-Funktionen erstreckt. Dasjenige Auffinden von Beweisen pro welche Warenmuster kann Hackern die Oberhand verschaffen und die Kompromittierung beschleunigen.
Es ist eine Wirklichkeit, die ich früher in meiner Karriere in operativen Schlingern erkannt habe. meine Wenigkeit habe beim Wiederaufbau und dieser Verlagerung von Rechenzentren und dieser Neuverkabelung von Gebäuden von oben solange bis unten physisch geholfen. Es hat mir eine großartige Zielvorstellung gegeben, welches es braucht, um Sicherheit von Grund hinauf neu einzubauen, und wie unbewusste Verhaltensweisen und Vorlieben was auch immer gefährden können. Tatsächlich verlieh mir dies Verständnis, wie man welche Warenmuster identifiziert, eine sehr zuverlässige „Superkraft“, denn ich zum Red Teaming wechselte, welches letztendlich zu einer Patenterteilung führte. Trotzdem dazu später mehr.
Tödlicher Rückruf
Beginnen wir damit, zu untersuchen, wie unsrige Sucht nachher Mustern uns verrät – von den Anmeldeinformationen reichlich den Softwarebetrieb solange bis hin zur Benennung von Assets.
Obwohl uns die Technologie so viele Vorteile gebracht hat, treibt die Kompliziertheit ihrer Verwaltung – und die umständlichen Kontrollen, die sie schützen sollen – die Menschen zu wiederholbaren Mustern und dem Komfort dieser Vertrautheit. Je regelmäßiger die Lehrstoff oder Routine wird, umso selbstgefälliger werden wir mit dem Warenmuster und dem, welches es aussagt. Zu Gunsten von verdongeln Red Teamer kann die Fähigkeit, Routinen zu beobachten, von dieser physischen solange bis zur logischen, eine Reichtum von Intelligenz eröffnen. Wiederholbarkeit bietet Gelegenheit und Zeit, Warenmuster zu wiedererkennen und dann die Schwachstelle in diesen Mustern zu finden, die ausgenutzt werden kann.
Insbesondere interne Benennungsschemata – seien es Extra-Namen, Systemnamen oder Gruppierungen von Anmeldeinformationen – eröffnen sich an, um allgemeine Wörter pro eine beschreibende Kategorisierung auszuwählen. meine Wenigkeit sah eine Organisation, die die Namen von Retten benutzte. Und obwohl Sie vielleicht nicht wissen, welches System K2 oder Denali ist, fungiert es denn Filter pro verdongeln Angreifer, wenn er eine Umgebung erkundet. Es ist ebenso ein hervorragendes Social-Engineering-Tool, dies es einem Angreifer ermöglicht, „den internen IT-Jargon zu sprechen“. Sie mögen fragen, OK, nichtsdestoweniger “welches ist in einem Namen?”
Brutale Wirklichkeit
meine Wenigkeit bin sicher, Sie nach sich ziehen davon gehört Brute-Force-Angriffe wo Angreifer Schätzungen in Bezug hinauf die Lautstärke hinauf ein Ziel werfen, um die richtige Zusammenstellung zu finden, die zum Zugriff führt. Es ist ein Zahlenspiel und ein stumpfes Mittel. Wenn Sie jedoch die Verwendung von Namenskonventionen wiedererkennen können, schärft dies die Fähigkeit, sich hinauf eine Schlange von Konten oder Systemen zu verdichten und dann ihre potenziellen Attribute zu verstehen. Es beschleunigt die Uhr pro verdongeln Angreifer.
Trotzdem Sie fragen: „Wenn dies so ist intern Konventionen, wie funktioniert ein extern Angreifer schier welche Genre von Informationen finden”?
Offensichtlich wahr
Schenken Sie meine oben erwähnte Superkraft ein. Wie jeder erfahrene Red-Teamer weiß, dringen Informationen hinauf vielerlei Weise aus Organisationen hervor, man muss nur wissen, wo man suchen muss und wie man die Signale im Lärm findet.
Interne Benennungsgruppen und -konventionen werden hinauf vielfältige Weise dieser Außenwelt ausgesetzt. Sie sind im Website-Schlüssel vergraben, detailliert in dieser technischen Dokumentation oder denn Teil von APIs oder reibungslos nur in öffentlichen Systeminformationen veröffentlicht.
Zugegeben, dies ist ein sehr großer Schober, nichtsdestoweniger dies Finden dieser Nadeln ist genau dies, wovon dies Patent, an dem ich beteiligt war (US-Patent 10,515,219), versucht. Site-Scanning-Tools Zusammenschließen Sie eine Schlange von Informationen, und wenig frappant, eine Überschwemmung mit Informationen. Mein Prozedur fern aufgebraucht technischen Programmierinformationen (wie Markup, JavaScript usw.) und lässt nur Worte übrig. Anschließend werden die Ergebnisse mit Listen englischer Wörter verglichen. Dieser Algorithmus identifiziert dann Gruppierungen von Wörtern oder Abkürzungen nicht in dieser gewählten Sprache vorhanden, die vermutlich kann bezeichnen eine interne Namenskonvention oder Anmeldeinformationen. Wie zwischen Brute-Force-Kampagnen verbreitet, darf es nicht sein, nichtsdestoweniger wie dies Grundsatz von allgemeiner Geltung sagt, muss dieser Angreifer nur Recht nach sich ziehen einmal, Die Fähigkeit, kontextsensitive Wortlisten zu erstellen, kann deshalb reichlich Hit oder Misserfolg Ihrer nächsten Kampagne entscheiden. Dies ist dieser Zeitpunkt, an dem dies Zeichnung unter Umständen klarer wird und sich Gimmick wie Benutzergruppen, Systemnamen usw. zeigen.
Taten sprechen schuldlos
Wir nach sich ziehen deshalb festgestellt, wie unsrige tief verwurzelte Verhaltensweisen können unsrige Sicherheit verraten Wort für Wort mit “an die Wand schreiben”. Wie können wir unser Wesen verändern oder uns dessen zumindest bewusster werden?
Es gibt den alten Witz, dieser in dieser Pointe zusammengefasst wird, dass man einem Tiger nicht weglaufen muss – man muss nur seinen Gefährten weglaufen. Hinaus welche Weise, Verwenden Sie zuerst die grundlegenden “Sportschuh” -Technologien. Passwort-Manager, Multifaktor-Authentifizierung (MFA) und desgleichen zuteilen es Ihnen zumindest, Ihren Kollegen davonzulaufen, sodass sich Angreifer hinauf die Nachzügler in dieser Meute verdichten können.
Zweitens: Entscheiden Sie sich pro verdongeln regelmäßigen Wechsel. Veränderungen sind unbequem, nichtsdestoweniger dieses Unbehagen löst ein besseres Situationsbewusstsein aus. Wenn Sie sich und Ihre Umgebung besser Kontakt haben und Veränderungen erzwingen, hilft dies zu verhindern, dass ein Angreifer Sie zu gut kennenlernt.
Qua nächstes vertrauen Sie Ihrem Bauchgefühl. Wenn irgendetwas nicht richtig erscheint, ist es dies wahrscheinlich nicht. Wenn Sie sich hinauf dies Scheitern verdichten und nicht hinauf die Vertrautheit mit dem Verhalten rund um dies Scheitern, sind Sie besser gerüstet, die bösen Jungs kommen zu sehen und sicherzustellen, dass eine kleine Anomalie nicht zu einem großen Problem wird.
Endlich Schachspiel spielen, nicht Lady. Zu viele Organisationen denken, dass sie Schachspiel spielen, und verwenden unter Umständen komplexere Figuren und Schlingern, nichtsdestoweniger wenn Sie letztendlich denn Reaktion hinauf die Züge Ihrer Gegner spielen, sind es verkleidete Lady.
Dasjenige ist eine Lektion, die ich meinem eigenen Sohn beibringe, während er daran wissbegierig ist, Schachspiel zu lernen. Er lernt die Strategie hinterm Spiel. Er versteht es, die Figuren und ihre Eigenschaften zu nutzen, um dies Spiel zu verheimlichen, und stellt schnell hold, dass er sich ebenso hinauf dies Verschleiern verdichten muss mich. meine Wenigkeit bringe ihm zwischen, drei Züge vorauszudenken, darüber nachzudenken, welches möglich ist, und seinen Gegner dazu zu erwirtschaften, dies zu tun, welches er willnicht dies, welches sie tun wollen – und vor allem, dem Gambit zu vertrauen.