אלי שלמה

בדיקות אבטחה Defender for Endpoint Evaluation Lab

by · 02/09/2023

כמה בדיקות אבטחה אפשר להריץ כאשר אין אפשרות להכיל ולמטגץ את הפערים והבעיות? סוגיה מעניינת שאני מעלה אותה במקרים רבים, לרוב אין תשובות.

כידוע, מערכות וכלי אבטחה מספקים רשימה עם המון תובנות לגבי פערים, פגיעויות ובעיות אבטחה. התובנות שהם למעשה ממצאים, מצריכים שהגורם המתאים יסגור אותם בפרק זמן נדרש, בין אם מדובר על מיסקונפיגורציה עננית, בעיה בסביבת קוברנטיס או עדכונים והקשחות בסביבת Windows.

המציאות היא אחרת, ולכן במקרים רבים התובנות מכילות אינספור ממצאים שלרוב שוכבים במערכת טיקטים לאורך זמן ולא ממש מקבלות את המענה הנדרש.

עדיין, אנו צריכים להריץ בדיקות אבטחה, החל מסימולציות נקודתיות, דרך בדיקות חדירות ועד תהליכי ופעולות Red-Team. בדיקות אבטחה באשר הן, החל מבדיקות אבטחה וסימולציות קלות שהן מעין TestGround, דרך בדיקות חדירות (PT) ועד בדיקות שמתבססות על Red-Team הן חיוניות בכל סביבה, טכנולוגיה וארגון.

המטרה העיקרית של בדיקות אלה היא לזהות פערים, סיכונים ובעיות שניתנות לניצול ע״י גורם שאינו מורשה. במצבים כאלה הבודקים ישתמשו בטכניקות מגוונות (בהתאם לדרישה), יחד עם כלי בדיקה, במטרה לבדוק את האיתנות של מדיניות האבטחה בארגון, לבדוק את התאימות לרגולציה, לוודא מודעות אבטחה של משתמשי קצה, ובפרט, היכולת של הארגון לזהות ולהגיב לבעיות ותקריות אבטחה.

בדיקות אבטחה הם לא רק הרצה פעולה ספציפית אלא הרבה מעבר לכך עם מטרה ועם דרכי בדיקה, קרי, ישנן אסטרטגיות, מודלים, קטגוריות וסוגים רבים – כל אחד מעיד על הגישה שבה נדרש לבצע בדיקות ולהריץ פעולות מול המערכת המיועדת.

בהתבסס על המטרות של הארגון, ישנם מספר אסטרטגיות לבדיקות חדירה, בין היתר, בדיקה חיצונית, בדיקה פנימית, בדיקות בליינדספוט (או בליינדספוט כפול), בדיקות ממוקדות וכיוב. ישנם הבדלים בין האסטרטגיה המוצעת, למשל, במקרים מסויימים מעגל הגורמים שיודעים על הבדיקות יכולים להיות גורמים בודדים ובמקרים אחרים הרבה יותר.

לצד האסטרטגיה, הסוגים והמודלים יש כלים שמסייעים לבצע בדיקות, וכן מעולה השאלה המעניינת, האם כדאי לבצע בדיקת ידנית או אוטומטית?

בדיקות אבטחה באמצעות כלי בדיקה אוטומטיים מייעלת את המשאבים ע״י אוטומציה של פעולות ואלמנטים בתהליך הבדיקה כך שניתן לבצע זיהוי פערים ובעיות באופן רציף ועם התערבות אנושית מינימלית.

כלי בדיקה אוטומטיים חוסכים זמן ולעיתים מספקים תוצאות טובות מאשר מאמצים ידניים (תלוי בדיקה). עם זאת כלי בדיקה אוטומטיים אינם יכולים להחליף מגע אנושי, וגם אלה המופעלים באופן אוטומטי עדיין מצריכים מגע אדם מינימלי.

השאלה הגדולה, היא, האם כדאי לבצע בדיקת ידנית או אוטומטית? צריך לשלב כאשר כובד המשקל הוא בבדיקות אנושיות.

בסביבות רבות ישנם כלים אוטומטיים שעושים בדיקות מגוונות מול מערכות שונות, סוגים שונים וכן הלאה. כלים אלה מופעלים ע״י גורם מסוים שבוחר את הדרך, הצורה והאופן שבו תרוץ הבדיקה. בין שלל הכלים המוצעים כיום לבדיקות אבטחה יש גם את האפשרויות בדיקה של Evaluation Lab & Simulations ב Defender for Endpoint.

הערכות וסימולטורים

ב Defender for Endpoint ישנו כלי מובנה המספק בדיקות הערכה וסימולטורים מוגדרים מראש המבוססים על תריסרי תרחישים ובדיקות הערכה ואבטחה, אלה יכולים להיות, החל מבדיקות אוטומטיות שנעשות עם מכונות ייעודיות ועד סימולציות ידניות.

תרחישים

מעבדת ההערכה ב- Microsoft Defender עבור תחנות קצה מקלה על ארגונים לבנות ולהפעיל הוכחות היתכנות (PoCs) באמצעות הדמיות אמיתיות של תקיפות בדרך בטוחה ומבוקרת. האפשרויות נחלקות לשניים: evaluation lab + Simulations & tutorials.

evaluation microsoft 365 security

התרחישים שנבחרו מכילים סימולציות של מספר יצרנים, החל מתרחישים וסימולציות שנבנו ע״י Microsoft ועד יצרניות כמו AttackIQ וכן SafeBreach ואחרים שנמצאים בממשק.

המטרה היא לספק סימולציות תקיפה בעלות ערך כדי לאמת את יעילות האבטחה של Defender for Endpoint עבור עמדות קצה כנגד מספר תקיפות מתקדמות ומציאותיות.

למשל, התקיפות המובנות של SafeBreach משפרות באופן ניכר את האבטחה של תחנות קצה, והם מאפשרות בין היתר להדגים בבירור את היעילות של תצורות Defender for Endpoint שונות עבור נקודות קצה ומאפשרות לצוותי אבטחה לעקוב מקרוב ולסקור תכונות מניעה, זיהוי ותיקון בפעולה.

תקיפות אלה והדוחות שהן מייצרות מכסים את מלוא טווח התקיפה האמיתי לאורך כל שרשרת התקיפה ומספקים מידע בעל ערך. הפעולות והתובנות שאנו יכולים לקבל הם בין היתר:

  • אירועים שהופעלו
  • התראות שנוצרו
  • הערכות ברמת החשיפה
  • קטגוריות איומים שנצפו
  • מקורות זיהוי
  • חקירות אוטומטיות

במקרה של SafeBreach ושל AttackIQ ישנם מספר תרחישים מעניינים.

תרחישי SafeBreach הם בין היתר:

  • תרחיש Carbanak+FIN7 – מדמה תקיפות עבור זיהום מקומי והתנהגות חשודה המבוצעות ע״י קבוצות התקיפה של Carbanak וכן FIN7. זה יכול לכלול טכניקות כגון הידבקות בתוכנות נגועות, איסוף נתונים, שינוי תצורות במערכת ההפעלה ותקשורת עם שרתי C2.
  • תרחיש Solorigate – מדמה תקיפות עבור פלטפורמת SolarWinds שנפרצה באמצעות SUNBURST, וזה כולל סימולציות סטטיות והתנהגותיות, וכן ופעילות של תוכנות זדוניות.
  • תרחיש APT29 – מדמה תקיפות עבור זיהום localhost והתנהגות זדונית, המבוצעות ע״י קבוצת תקיפה APT29 Cozy Bear. זה כולל טכניקות כגון הידבקות בתוכנות זדוניות, גניבת קרדס, איסוף נתונים ושינוי מפתחות רישום, וכן תצורות מערכת ההפעלה.
  • תרחיש גניבת קרדס – מדמה תקיפות לחילוץ קרדס באמצעות כלים מוכרים ויכולות מקוריות של Windows (קרי, LOTL). זה כולל טכניקות כגון השלכת סיסמאות וטוקנים מתוך הרישום ומתוך קובצי המערכת.
  • תרחיש שינויי תצורה של מערכת ההפעלה – מדמה תקיפות לשינוי תצורת מערכת ההפעלה כדי לאפשר פעילות זדונית. הדבר כולל טכניקות כגון, התחברות לקריאות מול מערכת ההפעלה, הוספת החרגות ל Windows Defender, ניצול WMI וסרוויסים אחרים.

צוותי אבטחה שמפעילים את מעבדת ההערכה אינם צריכים לבצע שינויי קוד או תצורה כלשהם כדי להפעיל את התקיפות. בודקים יכולים פשוט לבחור מתוך אחד התרחישים, להפעיל את הסימולציות, ולאחר מכן לקבל את התוצאות לאימות וניתוח נוספים.

תרחישי AttackIQ – התרחישים של AttackIQ הם מגוונים אך מצומצמים

  • טכניקות התחמקות מהגנה – התחמקות מהגנה מורכבת מטכניקות בהן תוקפים נמנעים מגילוי. טכניקות אלה משמשות להתחמקות מהגנה כוללות הסרה/השבתה של כלי אבטחה או ערפול/הצפנת נתונים וכן הלאה. תוקפים ממנפים ומנצלים תהליכי Windows מובנים כדי להסתיר ולהסוות את הפעולות. טכניקות אחרות מוצלבות כאשר טכניקות אלו כוללות את היתרון הנוסף של הגנה.

simulations and tutorials microsoft 365 security 2023 09 01 17 03 07

טיפ: האם Evaluation Lab & Simulations ב MDE הוא למעשה כלי Breach and Attack Simulation (BAS)? הם נוגעים בצורה קלה ביכולות BAS מסויימות, ועם זאת, אינו בא להחליף יכולות מהסוג הזה כלל, ולכן אין להשוות אותו לכלים בקטגוריה של BAS. 

מדריכים

החלק השני של Evaluation Lab & Simulations הם מדריכים (tutorials), ואלה מתנהלים בצורה אחרת שהיא יותר חופשית ומדובר על תרחישים מוכנים שניתן להריץ ידנית. תרחישים אלה ניתנים להפעלה באמצעות סימולציות מוגדרות מראש עם דוקומנטציה ותיעוד מפורט, וזאת, במטרה לחוות כיצד Defender for Endpoint מזהה ומקל על חקירה ותגובה באמצעות הדרכות ספציפיות.

simulations and tutorials microsoft 365 security 2023 09 01 17 07 37

 

טיפ: ניתן להפעיל את הסימולציות או המדריכים בשלבים שונים: בדיקת היתכנות של MDE, לחוות את תהליך התחקור, להבין את המשמעויות של זיהוי ותגובה, לבדוק את אמינות ההגדרות ובדיקה של הגנה על תחנות קצה.  

הפעלה והגדרה ראשונית

להפעיל ולהגדיר תרחישים ב Evaluation Lab & Simulations אינו דבר מסובך כלל, אך עדיין ישנם כמה טיפים שצריך לדעת בהפעלה והגדרה ראשונית על מנת השמעבדה תעבוד כמו שצריך. הגדרות אלה יכולות להיות:

  • מטרה – בדיקת הגדרות או איך מתחקרים ב M365D.
  • תרחיש נדרש – לפי אסטרטגיה או גישה להבין מהו התרחיש הנדרש.
  • אוטומציה או ידנית – האם להפעיל תרחיש מתוך המדריך או המעבדה.
  • יבש או רטוב – ישנם מצבים שניתן להפעיל מכונות שאינם של הארגון בכדי לבצע בדיקות ולצד זה להפעיל תרחיש על מכונה אמיתית.
  • כמות הפעלות והגדרות – מכיוון שיש כמות הפעלות שניתנת לביצוע על גבי מספר מכונות כדאי לבצע זאת באופן מבוקר.

טיפ: ללא ביצוע וסיום הגדרות ראשוניות המעבדה והפעולות הפשוטות לא יפעלו כמו שצריך.

הפעלת מעבדה

ישנם דרישות סף שצריך למלא כדי לעבוד עם מעבדת ההערכה:

  • Simulation integration – תחילה לאשר את הסוכן ולאשר (consent) את האפליקציות, כולל בחירת היצרניות שאיתם נרצה להפעיל תרחישים.
  • דרישות הרישוי או גרסת ניסיון של MDE.
  • הרשאות ניהול כדי ליצור את המעבדה, יצירת מכונות, איפוס סיסמאות ויצירת סימולציות.

evaluation microsoft 365 security 1 1

טיפ: במידה ונבחר בתרחישים של המדריכים אין צורך ביצירת מכונות ואישור הסוכן והאפליקציות.

evaluation microsoft 365 security 1

לאחר סיום הגדרות ואישור כלל הדרישות של Simulation integration נוכל להמשיך ליצירת מכונות, בחירת סימולציות והמשך הבדיקות.

evaluation 1

טיפ: במידה וקיימת בקרת גישה מבוססת תפקידים (RBAC) וישנו Device Groups אחד לפחות, חייב להיות גישה לקבוצה.

לאחר מכן ניצור בקשה ליצירת מכונות והדרישה יכולה להיות לפי כמות מכונות ופרקי זמן שונים. לרוב אין צורך להריץ בדיקות שהם מעל 48 שעות, אבל כל מקרה לגופו, ובדוגמה שבחרנו נקבל שלוש מכונות ל 72 שעות.

evaluation microsoft 365 security 2023 09 01 17 25 45

טיפ: בהתאם לצרכי ההערכה, ניתן להגדיר סביבה עם פחות מכשירים לתקופה ארוכה יותר או עם יותר מכונות לתקופה קצרה יותר.

הדמיית תרחישי תקיפה

הדמיית תרחישי תקיפה יכולה להיות מתוך המעבדה עם מכונות שאינם שייכות לסביבה הארגונית או לבצע הדמיות באמצעות המדריכים עם הסימולציות שניתנות להורדה. בשלב זה נתחיל עם המעבדה.

ברגע שישנה מעבדה שהופעלה עם מכונות לפי תקופת זמן מסויימת (בהתאם לימים שנבחרו) השלב הבא הוא להפעיל את הסימולציה הנדרשת, בין אם אוטומטית כחלק מתוך המעבדה, או, ידנית עם אחד המדריכים.

טיפ: הפעלה התרחישים במדריכים ניתנים להרצה מול מכונות במוצרו סימולציה או מכונות בדיקה של הארגון.  

הפעלת הסימולציות של המעבדה הם ברמת פשטות של Click-Next ובמידה ויש לנו מכונה זמינה להרצת התרחיש ניתן לבחור את הסימולציה הנדרשת. בשלב זה נבחר את הסימולציה ונצמיד אותה למכונה.

טיפ: מומלץ להבין את הפעולות של כל סימולציות ולהתאים אותם לנוף הארגוני וכן לדרישות ובדיקות האבטחה.

evaluation 2

במקרה הזה הסימולציה של Carbanak & FIN7 נבחרה אל מול המכונה שנוצרה לפני כן.

evaluation 3

לאחר בחירה הסימולציה של Carbanak & FIN7, הסימולציה תרוץ באופן אוטומטי ברקע ולמשך דקות בודדות עד שתסתיים. בסיום נקבל תובנות ותוצאות שנוכל להבין, לתחקר ולקבל מסקנות – כל אלה זמינות ישירות בממשק Microsoft 365 Defender.

evaluation 4

תיאור הסימולציה של Carbanak & FIN7 וכן תיאור של סימולציות אחרות יהיו זמינות מתוך הרצת הסימולציה וכן מתוך הדף הראשי של מדריכים וסימולציות.

evaluation 5

דרך נוספת היא לגשת לתיאור ודף הסימולציה מתוך התרחיש שמריצים באותו רגע, או לאחר מכן.

evaluation 6

בסיום הרצת הסימולציה נקבל אינדיקציה לגבי הסימולציה, סטטוס של המוכנה, פרק הזמן שלקח לסימולציה לרוץ ברקע וכן הלאה.

evaluation 7

טיפ: הדוח הכללי מספק את כלל הפעולות של המעבדה עם האינסידנטים, התראות, חשיפת מכונות, קטגוריית איומים ועוד. ניתן לגשת מתוך הדוח לכל פריט מידע או ישירות למכונה מתוך חלקים אחרים בממשק Microsoft 365 Defender.  

evaluation 8

ברמת המכונה אנו מקבלים תובנות שמסייעות באלמנטים הבאים:

  • בהבנה של הסימולציה
  • אופן ודרכי הרצה של הסימולציה
  • זיהוי תקריות והתראות
  • אפשרויות מיטיגציה
  • תקינות הגדרות מדיניות אבטחה
  • חקירה של התקרית

device1 device 3

המכונה היא מכונה לכל דבר וניתן לבצע פעולות מוכרות של Defender for Endpoint כמו, הפרדה, החרגה, איסוף מידע נוסף, תחקיר על המכונה מתוך ממשק פקודה (Live Sessions) ועוד.  device 5

לאחר שהרצנו את הסימולציה וקיבלנו כמויות של מידע והרבה תובנות אנו יכולים להמשיך לשלבים הבאים שהם:

  • בדיקת הגדרות ומדיניות אבטחה אל מול הסימולציה שהרצנו
  • אפשרויות חקירה בממשק והעמקה של הארטיקפטים באירוע
  • ממצאים ומסקנות לשיפור האבטחה במכונות הארגוניות

טיפ: המעבדה עובדת עם הסימולטור באופן אוטומטי מול מכונות בדיקה ספציפיות.

כדאי לדעת

  • בהתאם לסוג מבנה הסביבה, המכונות יהיו זמינות עבור מספר השעות שצוין מיום ההפעלה.
  • לכל סביבה מוקצית קבוצה מוגבלת של מכונות בדיקה.
  • לאחר שימוש במכונות ומחיקתם, ניתן לבקש מכונות נוספות.
  • ניתן לבקש מכונות במעבדה אחת לחודש.
  • במידה והוספת סימולטור במהלך המעבדה, סוכן יותקן בכל המכונות החדשות.
  • החיבור למכונות נעשה באמצעות RDP.
  • ניתן לאפס סיסמאות בפרק הזמן שהמכונה זמינה.
  • הסיסמה מוצגת פעם אחת בלבד, אך ניתן לאפס אותה לאחר מכן.

מה השאר בשלב זה? להבין את הממצאים, לבצע תחקור מעמיק ומקיף שיספק לנו הבנה איך מתחקרים תקריות בממשק, לשפר את הגיינית האבטחה ועוד.

חשוב להדגיש כי בדיקות האבטחה באמצעות Evaluation Lab and Simulations הינם בדיקות אבטחה בעלי ערך וחשיבות, אך עדיין אינם באות להחליף בדיקות חדירות, צוות אדום, או כלי BAS למינהם וכן הלאה. בדיקות אלה הם יותר בדיקות Security Test Ground.

מאמרים נוספים של Defender for Endpoint

MDE in CyberDom Blog

Microsoft Defender for Endpoint evaluation lab

מאמרים אחרונים בנושא Microsoft 365 Defender

Tags:

You may also like...

1 Response

  1. משתמש אנונימי (לא מזוהה) הגיב:
    02/09/2023 בשעה 19:21

    מאמר מצוין

    הגב

השאר תגובה

%d בלוגרים אהבו את זה: