الثقب كأداة أمنية - 2، أو كيفية اصطياد التهديدات المستمرة المتقدمة "على الطُعم الحي"

(شكرًا لسيرجي جي بريستر على فكرة العنوان sebres)

أيها الزملاء، الغرض من هذه المقالة هو مشاركة تجربة التشغيل التجريبي لمدة عام لفئة جديدة من حلول IDS القائمة على تقنيات الخداع.

من أجل الحفاظ على التماسك المنطقي لعرض المادة، أرى أنه من الضروري البدء بالمبنى. إذن المشكلة:

1. الهجمات المستهدفة هي أخطر أنواع الهجمات، على الرغم من أن حصتها في إجمالي عدد التهديدات ضئيلة.
2. لم يتم حتى الآن اختراع أي وسيلة فعالة مضمونة لحماية المحيط (أو مجموعة من هذه الوسائل).
3. كقاعدة عامة، تتم الهجمات المستهدفة على عدة مراحل. يعد التغلب على المحيط مجرد واحدة من المراحل الأولية، والتي (يمكنك رمي الحجارة علي) لا تسبب ضررًا كبيرًا لـ "الضحية"، ما لم يكن بالطبع هجوم DEoS (تدمير الخدمة) (المشفرون، وما إلى ذلك) .). "الألم" الحقيقي يبدأ لاحقًا، عندما يبدأ استخدام الأصول التي تم الاستيلاء عليها للتمحور وتطوير هجوم "العمق"، ولم نلاحظ ذلك.
4. نظرًا لأننا بدأنا نعاني من خسائر حقيقية عندما يصل المهاجمون أخيرًا إلى أهداف الهجوم (خوادم التطبيقات، ونظام إدارة قواعد البيانات، ومستودعات البيانات، والمستودعات، وعناصر البنية التحتية الحيوية)، فمن المنطقي أن تكون إحدى مهام خدمة أمن المعلومات هي مقاطعة الهجمات قبل هذا الحدث الحزين. ولكن من أجل مقاطعة شيء ما، يجب عليك أولا معرفة ذلك. و الأسرع أفضل.
5. وبناء على ذلك، من أجل إدارة المخاطر بنجاح (أي تقليل الأضرار الناجمة عن الهجمات المستهدفة)، فمن الأهمية بمكان أن يكون لديك أدوات من شأنها أن توفر الحد الأدنى من TTD (الوقت اللازم للاكتشاف - الوقت من لحظة الاقتحام إلى لحظة اكتشاف الهجوم). اعتمادًا على الصناعة والمنطقة، يبلغ متوسط ​​هذه الفترة 99 يومًا في الولايات المتحدة، و106 يومًا في منطقة أوروبا والشرق الأوسط وأفريقيا، و172 يومًا في منطقة آسيا والمحيط الهادئ (M-Trends 2017, A View From the Front Lines, Mandiant).
6. ماذا يقدم السوق؟
   • "صناديق الرمل". مراقبة وقائية أخرى بعيدة عن المثالية. هناك العديد من التقنيات الفعالة لاكتشاف صناديق الحماية أو حلول القائمة البيضاء وتجاوزها. لا يزال الرجال من "الجانب المظلم" متقدمين بخطوة هنا.
   • UEBA (أنظمة تحديد السلوك وتحديد الانحرافات) - من الناحية النظرية، يمكن أن تكون فعالة للغاية. ولكن، في رأيي، هذا في وقت ما في المستقبل البعيد. من الناحية العملية، لا يزال هذا مكلفًا للغاية وغير موثوق به ويتطلب بنية تحتية ناضجة ومستقرة جدًا لتكنولوجيا المعلومات وأمن المعلومات، والتي تمتلك بالفعل جميع الأدوات التي ستولد البيانات اللازمة للتحليل السلوكي.
   • تعد SIEM أداة جيدة للتحقيقات، ولكنها غير قادرة على رؤية شيء جديد وأصلي وإظهاره في الوقت المناسب، لأن قواعد الارتباط هي نفس التوقيعات.

7. ونتيجة لذلك، هناك حاجة إلى أداة من شأنها:
   • عملت بنجاح في ظروف محيط معرض للخطر بالفعل،
   • اكتشاف هجمات ناجحة في الوقت الفعلي تقريبًا، بغض النظر عن الأدوات ونقاط الضعف المستخدمة،
   • لم تعتمد على التوقيعات/القواعد/النصوص البرمجية/السياسات/الملفات الشخصية والأشياء الثابتة الأخرى،
   • لم تتطلب كميات كبيرة من البيانات ومصادرها للتحليل،
   • من شأنه أن يسمح بتعريف الهجمات ليس على أنها نوع من تسجيل المخاطر نتيجة لعمل "الأفضل في العالم، الحاصل على براءة اختراع وبالتالي الرياضيات المغلقة"، الأمر الذي يتطلب تحقيقًا إضافيًا، ولكن عمليًا كحدث ثنائي - "نعم، نحن نتعرض للهجوم" أو "لا، كل شيء على ما يرام"،
   • كان عالميًا وقابلاً للتطوير بكفاءة وقابلاً للتنفيذ في أي بيئة غير متجانسة، بغض النظر عن طوبولوجيا الشبكة المادية والمنطقية المستخدمة.

وتتنافس الآن ما تسمى بحلول الخداع على دور مثل هذه الأداة. أي أن الحلول مبنية على المفهوم القديم الجيد لمصائد الجذب، ولكن بمستوى مختلف تمامًا من التنفيذ. هذا الموضوع هو بالتأكيد في الارتفاع الآن.

وفقا للنتائج قمة جارتنر للأمن وإدارة المخاطر 2017 تم تضمين حلول الخداع في أفضل 3 إستراتيجيات وأدوات يوصى باستخدامها.

وفقا للتقرير TAG للأمن السيبراني السنوي 2017 يعد الخداع أحد الاتجاهات الرئيسية لتطوير حلول أنظمة كشف التسلل IDS.

قسم كامل من الأخير تقرير حالة أمن تكنولوجيا المعلومات من Cisco، المخصص لـ SCADA، يعتمد على بيانات من أحد الشركات الرائدة في هذا السوق، TrapX Security (إسرائيل)، والذي يعمل حله في منطقة الاختبار لدينا لمدة عام.

يتيح لك TrapX Deception Grid تكلفة وتشغيل IDS الموزعة على نطاق واسع مركزيًا، دون زيادة حمل الترخيص ومتطلبات موارد الأجهزة. في الواقع، TrapX هو مُنشئ يسمح لك بإنشاء آلية كبيرة من عناصر البنية التحتية الحالية لتكنولوجيا المعلومات لاكتشاف الهجمات على نطاق المؤسسة، وهو نوع من "إنذار" الشبكة الموزعة.

هيكل الحل

نقوم في مختبرنا بدراسة واختبار العديد من المنتجات الجديدة باستمرار في مجال أمن تكنولوجيا المعلومات. حاليًا، يتم نشر حوالي 50 خادمًا افتراضيًا مختلفًا هنا، بما في ذلك مكونات TrapX Deception Grid.

إذن من الأعلى إلى الأسفل:

1. TSOC (TrapX Security Operation Console) هو عقل النظام. هذه هي وحدة التحكم الإدارية المركزية التي يتم من خلالها تنفيذ التكوين ونشر الحل وجميع العمليات اليومية. وبما أن هذه خدمة ويب، فيمكن نشرها في أي مكان - على المحيط، في السحابة أو لدى مزود خدمة MSSP.
2. جهاز TrapX (TSA) هو خادم افتراضي نتصل به، باستخدام منفذ قناة الاتصال، بتلك الشبكات الفرعية التي نريد تغطيتها بالمراقبة. كما أن جميع أجهزة استشعار شبكتنا "تعيش" هنا بالفعل.

   يحتوي مختبرنا على TSA واحد منتشر (mwsapp1)، ولكن في الواقع يمكن أن يكون هناك الكثير. قد يكون ذلك ضروريًا في الشبكات الكبيرة حيث لا يوجد اتصال L2 بين القطاعات (مثال نموذجي هو "القابضة والشركات التابعة" أو "المكتب الرئيسي للبنك وفروعه") أو إذا كانت الشبكة تحتوي على قطاعات معزولة، على سبيل المثال، أنظمة التحكم الآلي في العمليات. في كل فرع/قطاع، يمكنك نشر TSA الخاص بك وربطه بـ TSOC واحد، حيث ستتم معالجة جميع المعلومات مركزيًا. تسمح لك هذه البنية ببناء أنظمة مراقبة موزعة دون الحاجة إلى إعادة هيكلة الشبكة بشكل جذري أو تعطيل التجزئة الحالية.

   يمكننا أيضًا إرسال نسخة من حركة المرور الصادرة إلى TSA عبر TAP/SPAN. إذا اكتشفنا اتصالات مع شبكات الروبوت المعروفة، أو خوادم الأوامر والتحكم، أو جلسات TOR، فسنتلقى النتيجة أيضًا في وحدة التحكم. مستشعر ذكاء الشبكة (NIS) هو المسؤول عن ذلك. في بيئتنا، يتم تنفيذ هذه الوظيفة على جدار الحماية، لذلك لم نستخدمها هنا.

3. مصائد التطبيقات (نظام التشغيل الكامل) – مصائد الجذب التقليدية القائمة على خوادم Windows. لا تحتاج إلى الكثير منها، نظرًا لأن الغرض الرئيسي من هذه الخوادم هو توفير خدمات تكنولوجيا المعلومات للطبقة التالية من أجهزة الاستشعار أو اكتشاف الهجمات على تطبيقات الأعمال التي قد يتم نشرها في بيئة Windows. لدينا خادم واحد مثبت في مختبرنا (FOS01)

   

4. تعد المصائد التي تمت محاكاتها هي المكون الرئيسي للحل، والذي يسمح لنا، باستخدام جهاز افتراضي واحد، بإنشاء "حقل ألغام" كثيف للغاية للمهاجمين وإشباع شبكة المؤسسة، بجميع شبكاتها المحلية الافتراضية، بأجهزة الاستشعار الخاصة بنا. يرى المهاجم مثل هذا المستشعر، أو المضيف الوهمي، كجهاز كمبيوتر شخصي أو خادم حقيقي يعمل بنظام Windows، أو خادم Linux أو أي جهاز آخر نقرر أن نعرضه عليه.

   
   
   من أجل مصلحة الشركة ومن أجل الفضول، قمنا بنشر "زوج من كل مخلوق" - أجهزة كمبيوتر وخوادم تعمل بنظام Windows من إصدارات مختلفة، وخوادم Linux، وجهاز صراف آلي مزود بنظام Windows، وSWIFT Web Access، وطابعة شبكية، وCisco التبديل، وكاميرا Axis IP، وجهاز MacBook، وPLC، وحتى لمبة إضاءة ذكية. هناك 13 مضيفًا في المجموع. بشكل عام، يوصي البائع بنشر هذه المستشعرات بما لا يقل عن 10% من عدد المضيفين الحقيقيين. الشريط العلوي هو مساحة العنوان المتاحة.

   النقطة المهمة جدًا هي أن كل مضيف ليس جهازًا افتراضيًا كاملاً يتطلب موارد وتراخيص. هذه عملية خداع ومضاهاة في TSA، والتي تحتوي على مجموعة من المعلمات وعنوان IP. لذلك، بمساعدة TSA واحدة، يمكننا إشباع الشبكة بمئات من هذه المضيفات الوهمية، والتي ستعمل كأجهزة استشعار في نظام الإنذار. هذه هي التكنولوجيا التي تجعل من الممكن توسيع نطاق مفهوم مصيدة الجذب بطريقة فعالة من حيث التكلفة عبر أي مؤسسة موزعة كبيرة.

   من وجهة نظر المهاجم، تعتبر هذه المضيفات جذابة لأنها تحتوي على نقاط ضعف ويبدو أنها أهداف سهلة نسبيًا. يرى المهاجم الخدمات الموجودة على هؤلاء المضيفين ويمكنه التفاعل معهم ومهاجمتهم باستخدام الأدوات والبروتوكولات القياسية (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus، وما إلى ذلك). لكن من المستحيل استخدام هؤلاء المضيفين لتطوير هجوم أو تشغيل تعليمات برمجية خاصة بك.

5. يتيح لنا الجمع بين هاتين التقنيتين (FullOS والفخاخ المحاكية) تحقيق احتمالية إحصائية عالية بأن المهاجم سيواجه عاجلاً أم آجلاً بعض عناصر شبكة الإشارات الخاصة بنا. ولكن كيف يمكننا التأكد من أن هذا الاحتمال يقترب من 100%؟

   تدخل ما يسمى برموز الخداع في المعركة. بفضلهم، يمكننا تضمين جميع أجهزة الكمبيوتر والخوادم الموجودة في المؤسسة في IDS الموزعة لدينا. يتم وضع الرموز على أجهزة الكمبيوتر الحقيقية للمستخدمين. من المهم أن نفهم أن الرموز المميزة ليست عوامل تستهلك الموارد ويمكن أن تسبب صراعات. الرموز هي عناصر معلومات سلبية، وهي نوع من "فتات الخبز" للجانب المهاجم الذي يقوده إلى الفخ. على سبيل المثال، محركات أقراص الشبكة المعينة، والإشارات المرجعية لمسؤولي الويب المزيفين في المتصفح وكلمات المرور المحفوظة لهم، وجلسات ssh/rdp/winscp المحفوظة، ومصائدنا مع التعليقات في ملفات المضيفين، وكلمات المرور المحفوظة في الذاكرة، وبيانات اعتماد المستخدمين غير الموجودين، والمكتب الملفات، والفتح الذي سيؤدي إلى تشغيل النظام، وأكثر من ذلك بكثير. وهكذا، فإننا نضع المهاجم في بيئة مشوهة، مشبعة بنواقل الهجوم التي لا تشكل تهديدًا لنا في الواقع، بل العكس. وليس لديه طريقة لتحديد أين تكون المعلومة صحيحة وأين تكون كاذبة. وبالتالي، فإننا لا نضمن الكشف السريع عن الهجوم فحسب، بل نبطئ أيضًا تقدمه بشكل كبير.

مثال على إنشاء مصيدة شبكة وإعداد الرموز المميزة. واجهة سهلة الاستخدام ولا يوجد تحرير يدوي للتكوينات والبرامج النصية وما إلى ذلك.

في بيئتنا، قمنا بتكوين عدد من هذه الرموز المميزة ووضعها على FOS01 الذي يعمل بنظام التشغيل Windows Server 2012R2 وجهاز كمبيوتر اختباري يعمل بنظام التشغيل Windows 7. يتم تشغيل RDP على هذه الأجهزة ونقوم "بتعليقها" بشكل دوري في المنطقة المجردة من السلاح، حيث يوجد عدد من أجهزة الاستشعار الخاصة بنا. يتم أيضًا عرض (المصائد التي تمت محاكاتها). لذلك نحصل على تدفق مستمر من الحوادث، بطبيعة الحال، إذا جاز التعبير.

لذا، إليك بعض الإحصائيات السريعة لهذا العام:

56 – الحوادث المسجلة،
2 - تم اكتشاف مضيفي مصدر الهجوم.

خريطة هجوم تفاعلية وقابلة للنقر

في الوقت نفسه، لا يقوم الحل بإنشاء نوع من السجل الضخم أو موجز الأحداث، والذي يستغرق وقتًا طويلاً لفهمه. وبدلاً من ذلك، يصنف الحل نفسه الأحداث حسب أنواعها ويسمح لفريق أمن المعلومات بالتركيز بشكل أساسي على الأحداث الأكثر خطورة - عندما يحاول المهاجم زيادة جلسات التحكم (التفاعل) أو عندما تظهر الحمولات الثنائية (العدوى) في حركة المرور لدينا.

جميع المعلومات حول الأحداث قابلة للقراءة ويتم تقديمها، في رأيي، بشكل سهل الفهم حتى بالنسبة للمستخدم الذي لديه المعرفة الأساسية في مجال أمن المعلومات.

معظم الحوادث المسجلة هي محاولات لفحص مضيفينا أو الاتصالات الفردية.

أو محاولات لفرض كلمات مرور لـ RDP

ولكن كانت هناك أيضًا حالات أكثر إثارة للاهتمام، خاصة عندما "تمكن" المهاجمون من تخمين كلمة مرور RDP والوصول إلى الشبكة المحلية.

يحاول مهاجم تنفيذ تعليمات برمجية باستخدام psexec.

عثر المهاجم على جلسة محفوظة، مما أدى به إلى الوقوع في فخ على شكل خادم Linux. مباشرة بعد الاتصال، باستخدام مجموعة أوامر معدة مسبقًا، حاول تدمير جميع ملفات السجل ومتغيرات النظام المقابلة.

يحاول أحد المهاجمين إجراء حقن SQL في مصيدة تقليد SWIFT Web Access.

بالإضافة إلى هذه الهجمات "الطبيعية"، أجرينا أيضًا عددًا من الاختبارات الخاصة بنا. أحد أكثر الأمور كشفًا هو اختبار وقت اكتشاف فيروس الشبكة على الشبكة. للقيام بذلك استخدمنا أداة من GuardiCore تسمى قرد العدوى. هذه دودة شبكة يمكنها اختطاف نظامي التشغيل Windows وLinux، ولكن بدون أي "حمولة".
قمنا بنشر مركز قيادة محلي، وأطلقنا أول حالة للدودة على إحدى الأجهزة، وتلقينا التنبيه الأول في وحدة تحكم TrapX في أقل من دقيقة ونصف. TTD 90 ثانية مقابل 106 يومًا في المتوسط.

وبفضل القدرة على التكامل مع الفئات الأخرى من الحلول، يمكننا الانتقال من مجرد اكتشاف التهديدات بسرعة إلى الاستجابة لها تلقائيًا.

على سبيل المثال، سيسمح لك التكامل مع أنظمة NAC (التحكم في الوصول إلى الشبكة) أو مع CarbonBlack بفصل أجهزة الكمبيوتر المخترقة تلقائيًا عن الشبكة.

يتيح التكامل مع صناديق الحماية إرسال الملفات المشاركة في الهجوم تلقائيًا للتحليل.

التكامل مكافي

يحتوي الحل أيضًا على نظام ارتباط الأحداث المدمج الخاص به.

لكننا لم نكن راضين عن إمكانياته، لذا قمنا بدمجه مع HP ArcSight.

يساعد نظام التذاكر المدمج العالم أجمع على التعامل مع التهديدات المكتشفة.

نظرًا لأنه تم تطوير الحل "من البداية" لتلبية احتياجات الوكالات الحكومية وقطاع كبير من الشركات، فمن الطبيعي أن يطبق نموذج الوصول القائم على الأدوار، والتكامل مع AD، ونظام متطور للتقارير والمشغلات (تنبيهات الأحداث)، وتنسيق الهياكل القابضة الكبيرة أو مقدمي خدمات MSSP.

بدلا من السيرة الذاتية

إذا كان هناك نظام مراقبة يغطي ظهورنا مجازيًا، فكل شيء يبدأ للتو مع التنازل عن المحيط. والأهم أن هناك فرصة حقيقية للتعامل مع حوادث أمن المعلومات، وليس التعامل مع عواقبها.

المصدر: www.habr.com