(dankie aan Sergey G. Brester vir die titelidee )
Kollegas, die doel van hierdie artikel is om die ervaring te deel van 'n jaarlange toetsoperasie van 'n nuwe klas IDS-oplossings gebaseer op Misleiding-tegnologie.
Om die logiese samehang van die aanbieding van die materiaal te handhaaf, ag ek dit nodig om by die premisse te begin. So, die probleem:
- Geteikende aanvalle is die gevaarlikste tipe aanvalle, ten spyte van die feit dat hul aandeel in die totale aantal bedreigings klein is.
- Geen gewaarborgde effektiewe middel om die omtrek (of 'n stel sulke middele) te beskerm is nog uitgevind nie.
- As 'n reël vind geteikende aanvalle in verskeie stadiums plaas. Om die omtrek te oorkom is slegs een van die aanvanklike stadiums, wat (jy kan my met klippe gooi) nie veel skade aan die "slagoffer" aanrig nie, tensy dit natuurlik 'n DEoS (Vernietiging van diens) aanval is (enkripteerders, ens. .). Die werklike "pyn" begin later, wanneer die gevange bates begin gebruik word om te draai en 'n "diepte" aanval te ontwikkel, en ons het dit nie opgemerk nie.
- Aangesien ons werklike verliese begin ly wanneer aanvallers uiteindelik die teikens van die aanval bereik (toepassingsbedieners, DBMS, datapakhuise, bewaarplekke, kritieke infrastruktuurelemente), is dit logies dat een van die take van die inligtingsekuriteitsdiens is om aanvalle te onderbreek voor hierdie hartseer gebeurtenis. Maar om iets te onderbreek, moet jy eers daarvan uitvind. En hoe gouer, hoe beter.
- Gevolglik, vir suksesvolle risikobestuur (dit wil sê, die vermindering van skade van geteikende aanvalle), is dit van kritieke belang om gereedskap te hê wat 'n minimum TTD (tyd om op te spoor - die tyd vanaf die oomblik van inbraak tot die oomblik dat die aanval bespeur word) sal verskaf. Afhangende van die industrie en streek, is hierdie tydperk gemiddeld 99 dae in die VSA, 106 dae in die EMEA-streek, 172 dae in die APAC-streek (M-Trends 2017, A View From the Front Lines, Mandiant).
- Wat bied die mark?
- "Sandbakke". Nog 'n voorkomende beheer, wat ver van ideaal is. Daar is baie effektiewe tegnieke om sandkaste of witlysoplossings op te spoor en te omseil. Die ouens van die "donker kant" is nog 'n tree voor hier.
- UEBA (stelsels vir die profilering van gedrag en die identifisering van afwykings) - in teorie, kan baie effektief wees. Maar na my mening is dit iewers in die verre toekoms. In die praktyk is dit steeds baie duur, onbetroubaar en vereis 'n baie volwasse en stabiele IT- en inligtingsekuriteit-infrastruktuur, wat reeds al die gereedskap het wat data vir gedragsanalise sal genereer.
- SIEM is 'n goeie hulpmiddel vir ondersoeke, maar dit is nie in staat om iets nuuts en oorspronkliks betyds te sien en te wys nie, want die korrelasiereëls is dieselfde as handtekeninge.
- As gevolg hiervan is daar 'n behoefte aan 'n instrument wat sal:
- suksesvol gewerk in toestande van 'n reeds gekompromitteerde omtrek,
- suksesvolle aanvalle in byna intydse bespeur, ongeag die gereedskap en kwesbaarhede wat gebruik word,
- nie afhanklik was van handtekeninge/reëls/skrifte/beleide/profiele en ander statiese dinge nie,
- het nie groot hoeveelhede data en hul bronne vir ontleding benodig nie,
- sal toelaat dat aanvalle gedefinieer word nie as 'n soort risiko-telling as gevolg van die werk van "die beste in die wêreld, gepatenteerde en dus geslote wiskunde", wat bykomende ondersoek vereis nie, maar prakties as 'n binêre gebeurtenis - "Ja, ons word aangeval” of “Nee, alles is reg”,
- was universeel, doeltreffend skaalbaar en haalbaar om in enige heterogene omgewing te implementeer, ongeag die fisiese en logiese netwerktopologie wat gebruik is.
Sogenaamde misleidingsoplossings ding nou mee om die rol van so 'n instrument. Dit wil sê oplossings gebaseer op die goeie ou konsep van heuningpotte, maar met 'n heeltemal ander vlak van implementering. Hierdie onderwerp is beslis nou aan die toeneem.
Volgens die uitslae Misleidingsoplossings is ingesluit in die TOP 3 strategieë en gereedskap wat aanbeveel word om gebruik te word.
Volgens die verslag Misleiding is een van die hoofrigtings van ontwikkeling van IDS Intrusion Detection Systems) oplossings.
'n Hele gedeelte van laasgenoemde , toegewy aan SCADA, is gebaseer op data van een van die leiers in hierdie mark, TrapX Security (Israel), waarvan die oplossing al 'n jaar in ons toetsarea werk.
TrapX Deception Grid laat jou toe om massief verspreide IDS sentraal te koste en te bedryf, sonder om die lisensielading en vereistes vir hardewarehulpbronne te verhoog. Trouens, TrapX is 'n konstruktor wat jou toelaat om uit elemente van die bestaande IT-infrastruktuur een groot meganisme te skep om aanvalle op 'n ondernemingwye skaal op te spoor, 'n soort verspreide netwerk-“alarm”.
Oplossingstruktuur
In ons laboratorium bestudeer en toets ons voortdurend verskeie nuwe produkte op die gebied van IT-sekuriteit. Tans word ongeveer 50 verskillende virtuele bedieners hier ontplooi, insluitend TrapX Deception Grid-komponente.
Dus, van bo na onder:
- TSOC (TrapX Security Operation Console) is die brein van die stelsel. Dit is die sentrale bestuurskonsole waardeur konfigurasie, ontplooiing van die oplossing en alle dag-tot-dag bedrywighede uitgevoer word. Aangesien dit 'n webdiens is, kan dit enige plek ontplooi word - op die omtrek, in die wolk of by 'n MSSP-verskaffer.
- TrapX Appliance (TSA) is 'n virtuele bediener waarmee ons, met behulp van die stampoort, daardie subnette wat ons met monitering wil dek, verbind. Al ons netwerksensors "woon" ook eintlik hier.
Ons laboratorium het een TSA ontplooi (mwsapp1), maar in werklikheid kan daar baie wees. Dit kan nodig wees in groot netwerke waar daar geen L2-konneksie tussen segmente is nie ('n tipiese voorbeeld is "Howe en filiale" of "Bankhoofkantoor en takke") of as die netwerk geïsoleerde segmente het, byvoorbeeld outomatiese prosesbeheerstelsels. In elke sodanige tak/segment kan jy jou eie TSA ontplooi en dit aan 'n enkele TSOC koppel, waar alle inligting sentraal verwerk sal word. Hierdie argitektuur laat jou toe om verspreide moniteringstelsels te bou sonder dat dit nodig is om die netwerk radikaal te herstruktureer of bestaande segmentering te ontwrig.
Ons kan ook 'n afskrif van uitgaande verkeer aan TSA indien via TAP/SPAN. As ons verbindings met bekende botnets, opdrag- en beheerbedieners of TOR-sessies opspoor, sal ons ook die resultaat in die konsole ontvang. Network Intelligence Sensor (NIS) is hiervoor verantwoordelik. In ons omgewing is hierdie funksionaliteit op die firewall geïmplementeer, so ons het dit nie hier gebruik nie.
- Application Traps (volledige bedryfstelsel) – tradisionele heuningpotte gebaseer op Windows-bedieners. Jy het nie baie van hulle nodig nie, aangesien die hoofdoel van hierdie bedieners is om IT-dienste aan die volgende laag sensors te verskaf of aanvalle op besigheidstoepassings op te spoor wat in 'n Windows-omgewing ontplooi kan word. Ons het een so bediener geïnstalleer in ons laboratorium (FOS01)
- Geëmuleerde lokvalle is die hoofkomponent van die oplossing, wat ons in staat stel om, met behulp van een enkele virtuele masjien, 'n baie digte "mynveld" vir aanvallers te skep en die ondernemingsnetwerk, al sy vlans, met ons sensors te versadig. Die aanvaller sien so 'n sensor, of fantoomgasheer, as 'n regte Windows-rekenaar of -bediener, Linux-bediener of ander toestel wat ons besluit om hom te wys.
Vir die beswil van die besigheid en ter wille van nuuskierigheid, het ons "'n paar van elke skepsel" ontplooi - Windows-rekenaars en bedieners van verskeie weergawes, Linux-bedieners, 'n OTM met ingebedde Windows, SWIFT Web Access, 'n netwerkdrukker, 'n Cisco skakelaar, 'n Axis IP-kamera, 'n MacBook, PLC-toestel en selfs 'n slim gloeilamp. Daar is altesaam 13 gashere. Oor die algemeen beveel die verkoper aan om sulke sensors te ontplooi in 'n hoeveelheid van ten minste 10% van die aantal werklike gashere. Die boonste balk is die beskikbare adresspasie.'n Baie belangrike punt is dat elke sodanige gasheer nie 'n volwaardige virtuele masjien is wat hulpbronne en lisensies benodig nie. Dit is 'n lokmiddel, emulasie, een proses op die TSA, wat 'n stel parameters en 'n IP-adres het. Daarom, met die hulp van selfs een TSA, kan ons die netwerk versadig met honderde sulke spookgashere, wat as sensors in die alarmstelsel sal werk. Dit is hierdie tegnologie wat dit moontlik maak om die heuningpot-konsep koste-effektief oor enige groot verspreide onderneming te skaal.
Vanuit 'n aanvaller se oogpunt is hierdie gashere aantreklik omdat hulle kwesbaarhede bevat en na relatief maklike teikens blyk te wees. Die aanvaller sien dienste op hierdie gashere en kan met hulle interaksie hê en hulle aanval deur gebruik te maak van standaardnutsgoed en protokolle (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, ens.). Maar dit is onmoontlik om hierdie gashere te gebruik om 'n aanval te ontwikkel of jou eie kode uit te voer.
- Die kombinasie van hierdie twee tegnologieë (FullOS en geëmuleerde lokvalle) stel ons in staat om 'n hoë statistiese waarskynlikheid te bereik dat 'n aanvaller vroeër of later 'n element van ons seinnetwerk sal teëkom. Maar hoe kan ons seker maak dat hierdie waarskynlikheid naby aan 100% is?
Die sogenaamde Deception-tokens betree die stryd. Danksy hulle kan ons alle bestaande rekenaars en bedieners van die onderneming in ons verspreide IDS insluit. Tokens word op gebruikers se regte rekenaars geplaas. Dit is belangrik om te verstaan dat tekens nie agente is wat hulpbronne verbruik en konflikte kan veroorsaak nie. Tokens is passiewe inligtingselemente, 'n soort "broodkrummels" vir die aanvallende kant wat dit in 'n lokval lei. Byvoorbeeld, gekarteerde netwerkaandrywers, boekmerke na vals webadministrateurs in die blaaier en gestoorde wagwoorde vir hulle, gestoorde ssh/rdp/winscp-sessies, ons lokvalle met opmerkings in gasheerlêers, wagwoorde gestoor in die geheue, geloofsbriewe van nie-bestaande gebruikers, kantoor lêers, opening wat die stelsel sal aktiveer, en nog baie meer. So plaas ons die aanvaller in 'n verwronge omgewing, versadig met aanvalsvektore wat nie eintlik 'n bedreiging vir ons inhou nie, maar eerder die teenoorgestelde. En hy het geen manier om te bepaal waar die inligting waar is en waar dit onwaar is nie. Ons verseker dus nie net 'n vinnige opsporing van 'n aanval nie, maar vertraag ook die vordering daarvan aansienlik.
'n Voorbeeld van die skep van 'n netwerkval en die opstel van tokens. Vriendelike koppelvlak en geen handmatige redigering van konfigurasies, skrifte, ens.
In ons omgewing het ons 'n aantal sulke tekens gekonfigureer en geplaas op FOS01 met Windows Server 2012R2 en 'n toetsrekenaar met Windows 7. RDP loop op hierdie masjiene en ons "hang" hulle periodiek in die DMZ, waar 'n aantal van ons sensors (geëmuleerde lokvalle) word ook vertoon. Ons kry dus 'n konstante stroom van insidente, natuurlik so te sê.
So, hier is 'n paar vinnige statistieke vir die jaar:
56 208 – voorvalle aangeteken,
2 – aanvalbrongashere bespeur.
Interaktiewe, klikbare aanvalskaart
Terselfdertyd genereer die oplossing nie 'n soort mega-logboek of gebeurtenisvoer nie, wat 'n lang tyd neem om te verstaan. In plaas daarvan klassifiseer die oplossing self gebeure volgens hul tipe en laat die inligtingsekuriteitspan hoofsaaklik op die gevaarlikstes fokus – wanneer die aanvaller beheersessies (interaksie) probeer verhoog of wanneer binêre loonvragte (infeksie) in ons verkeer verskyn.
Alle inligting oor gebeure is leesbaar en word, na my mening, in 'n maklik verstaanbare vorm aangebied, selfs vir 'n gebruiker met basiese kennis op die gebied van inligtingsekuriteit.
Die meeste van die aangetekende voorvalle is pogings om ons gashere of enkele verbindings te skandeer.
Of pogings om wagwoorde vir RDP brutaal te dwing
Maar daar was ook meer interessante gevalle, veral wanneer aanvallers “dit reggekry” het om die wagwoord vir RDP te raai en toegang tot die plaaslike netwerk te kry.
'n Aanvaller probeer om kode uit te voer met behulp van psexec.
Die aanvaller het 'n gestoorde sessie gevind, wat hom in 'n lokval in die vorm van 'n Linux-bediener gelei het. Onmiddellik na koppeling, met een vooraf-voorbereide stel opdragte, het dit probeer om alle loglêers en ooreenstemmende stelselveranderlikes te vernietig.
'n Aanvaller probeer om SQL-inspuiting op 'n heuningpot uit te voer wat SWIFT Web Access naboots.
Benewens sulke "natuurlike" aanvalle, het ons ook 'n aantal van ons eie toetse uitgevoer. Een van die mees onthullende is om die opsporingstyd van 'n netwerkwurm op 'n netwerk te toets. Om dit te doen het ons 'n instrument van GuardiCore gebruik genaamd . Dit is 'n netwerkwurm wat Windows en Linux kan kaap, maar sonder enige "loonvrag".
Ons het 'n plaaslike bevelsentrum ontplooi, die eerste geval van die wurm op een van die masjiene geloods en die eerste waarskuwing in die TrapX-konsole in minder as 'n minuut en 'n half ontvang. TTD 90 sekondes teenoor 106 dae gemiddeld...
Danksy die vermoë om met ander klasse oplossings te integreer, kan ons beweeg van net om bedreigings vinnig op te spoor om outomaties daarop te reageer.
Byvoorbeeld, integrasie met NAC (Network Access Control) stelsels of met CarbonBlack sal jou toelaat om outomaties gekompromitteerde rekenaars van die netwerk te ontkoppel.
Integrasie met sandboxes laat toe dat lêers wat by 'n aanval betrokke is, outomaties vir ontleding ingedien word.
McAfee-integrasie
Die oplossing het ook sy eie ingeboude gebeurteniskorrelasiestelsel.
Maar ons was nie tevrede met sy vermoëns nie, daarom het ons dit met HP ArcSight geïntegreer.
Die ingeboude kaartjiestelsel help die hele wêreld om bespeurde bedreigings te hanteer.
Aangesien die oplossing "van die begin af" ontwikkel is vir die behoeftes van regeringsagentskappe en 'n groot korporatiewe segment, implementeer dit natuurlik 'n rolgebaseerde toegangsmodel, integrasie met AD, 'n ontwikkelde stelsel van verslae en snellers (gebeurteniswaarskuwings), orkestrasie vir groot hoewestrukture of MSSP-verskaffers.
In plaas van 'n CV
As daar so 'n moniteringstelsel is, wat figuurlik gesproke ons rug bedek, dan met die kompromie van die omtrek begin alles net. Die belangrikste is dat daar 'n werklike geleentheid is om inligtingsekuriteitvoorvalle te hanteer, en nie om die gevolge daarvan te hanteer nie.
Bron: will.com