Intrinsieke Beveiliging Nieuws

Wat is echt: Incident Responders Face Toename in Time Stamp Manipulatie

Rick McElroy

In een van mijn favoriete films aller tijden, The Matrix, vraagt ​​Morpheus aan Neo: “Wat is echt? Hoe definieer je echt?” Terwijl onze fysieke werelden en digitale werelden zich blijven vermengen, denk ik dat het vanuit een cyber perspectief tijd is om te duiken in wat echt echt is.

Laten we beginnen met te definiëren wat iets digitaal echt maakt. Het komt echt terug op de integriteit van de gegevens. Als verdedigers zijn we gewend om de CIA-driehoek toe te passen op informatiebeveiliging en technologie. CIA, “confidentiality, integrity, and availability” (vertrouwelijkheid, integriteit en beschikbaarheid), is een model dat is ontworpen als leidraad voor het beleid voor informatiebeveiliging binnen een organisatie. We besteden een groot deel van onze tijd aan twee belangrijke gebieden van de triade: vertrouwelijkheid en beschikbaarheid, maar hoe zit het met de integriteit van de gegevens zelf of de onderliggende infrastructuur waarop de gegevens vertrouwen?

Data Integrity is de garantie dat digitale informatie niet beschadigd is en alleen toegankelijk of gewijzigd kan worden door degenen die daartoe geautoriseerd zijn. Integriteit omvat het handhaven van de consistentie, nauwkeurigheid en betrouwbaarheid van gegevens gedurende de gehele levenscyclus.

Kortom, data integrity heeft tot doel onbedoelde wijzigingen in de informatie te voorkomen, maar wat als de wijzigingen stroomopwaarts van het systeem plaatsvinden?

Laten we het systeem in dit geval een SOC-platform noemen dat gegevens van netwerkbronnen, eindpunt bronnen, identiteits- en authenticatie bronnen en systeemlogboeken opneemt om te proberen de contextuele beveiligingsvraag te beantwoorden (dwz ben ik geschonden en zo ja, wat is er geschonden?).

Dit systeem is afhankelijk van een willekeurig aantal stroomafwaartse systemen om een ​​”enkele bron van waarheid” te bieden over het gedrag van aanvallers en situationeel bewustzijn. Deze systemen zijn echter allemaal afhankelijk van één storingspunt: tijd.

In het Global Incident Response Threat Report 2021 van VMware ontdekten we dat de ernst van de aanvallen enorm is gestegen. Respondenten gaven aan dat gerichte slachtoffers nu meer dan 50% van de tijd te maken krijgen met integriteits- en destructieve aanvallen. Cybercriminelen bereiken dit door opkomende technieken, zoals de manipulatie van tijdstempels of Chronos-aanvallen, die bijna 60% van de respondenten heeft waargenomen.


Lees het Global Incident Response Threat Report: Manipulating Reality

  1. Misleiding en ontduiking van zowel beveiligingscontroles als sterke detecties door het Security Operations Team.
  2. Manipulatie van tijd om incident respons activiteiten zoals het intrekken van certificaten te voorkomen.
  3. Markt- en financiële manipulatie.
  4. Uitvoering van timing-aanvallen op cryptocurrencies

Omgevingsmanipulaties, inclusief tijd, komen om één reden steeds vaker voor. Het maakt detectie en reactie moeilijker omdat het het vertrouwen van teams in die datasets ondermijnt. Stel je een scenario voor waarin een jager op bedreigingen op zoek is naar een specifieke reeks gedragingen binnen een goed gedefinieerde tijdlijn. Als aanvaller, als ik tijd en tijdstempels kan manipuleren, als aanvaller kan ik mezelf in wezen onzichtbaar maken voor elke vraag die afhankelijk is van tijd.

Aanbevelingen voor incident response

Audit voor nauwkeurigheidseisen van downstream-systemen, waaronder:

  • Hoe tijd wordt verkregen door systemen
  • Hoe het wordt gedistribueerd
  • Hoe het wordt gebruikt door applicaties en systemen in de omgeving
  • Implementeer eindpuntdetectie en -respons met specifieke nadruk op tijdmanipulatie

Deze audit moet zich richten op alle tijdgebonden afhankelijkheden, met de nadruk op de redundantie en veerkracht van tijd.

  • Update dreigingsmodellen om inzicht te krijgen in mogelijke aanvalsvectoren en scenario’s die kunnen worden gebruikt om de timing-infrastructuur van uw organisatie te verstoren of te manipuleren
  • Real-world testen van tijdmanipulatie


Download het volledige Global Incident Response Threat Report en lees hier meer over de manieren waarop aanvallers de realiteit manipuleren.