Təhlükəsizlik vasitəsi kimi çuxur - 2 və ya APT-ni "canlı yemdə" necə tutmaq olar

(başlıq ideyasına görə Sergey G. Bresterə təşəkkürlər) sebres)

Həmkarlar, bu məqalənin məqsədi Aldatma texnologiyalarına əsaslanan yeni IDS həllər sinfinin bir illik sınaq əməliyyatı təcrübəsini bölüşməkdir.

Materialın təqdimatının məntiqi uyğunluğunu qorumaq üçün mən binadan başlamağı zəruri hesab edirəm. Beləliklə, məsələ:

1. Məqsədli hücumlar təhdidlərin ümumi sayında payının az olmasına baxmayaraq, hücumların ən təhlükəli növüdür.
2. Perimetri qorumaq üçün bəzi zəmanətli effektiv vasitələr (və ya bu cür vasitələrin kompleksi) hələ icad edilməmişdir.
3. Bir qayda olaraq, yönəldilmiş hücumlar bir neçə mərhələdə baş verir. Perimetri aşmaq ilkin mərhələlərdən yalnız biridir, bu (mənə daş ata bilərsən) "qurbana" o qədər də böyük ziyan vurmursa, əlbəttə ki, bu DEoS (xidmətin məhv edilməsi) hücumu (fidyə proqramı və s.) .). Əsl “zərər” sonradan, ələ keçirilən aktivlər fırlanma və hücumun “dərinlikdə” inkişafı üçün istifadə edildikdə başlayır və biz bunu hiss etmədik.
4. Təcavüzkarlar hələ də hücumun hədəflərinə (tətbiq serverləri, DBMS, məlumatların saxlanması, depolar, kritik infrastruktur elementləri) çatdıqda real itkilərə məruz qalmağa başladığımız üçün informasiya təhlükəsizliyi xidmətinin vəzifələrindən birinin hücumları dayandırmaq olması məntiqlidir. bu kədərli hadisədən əvvəl. Ancaq nəyisə kəsmək üçün ilk növbədə onun haqqında bilmək lazımdır. Və nə qədər tez, bir o qədər yaxşıdır.
5. Müvafiq olaraq, müvəffəqiyyətli risklərin idarə edilməsi (yəni, hədəflənmiş hücumlardan zərərin azaldılması) üçün minimum TTD təmin edən alətlərin olması vacibdir (aşkarlama vaxtı - müdaxilə anından hücumun aşkarlandığı ana qədər olan vaxt). Sənaye və regiondan asılı olaraq, bu müddət ABŞ-da orta hesabla 99 gün, EMEA regionunda 106 gün, APAC regionunda 172 gündür (M-Trends 2017, A View From the Front Lines, Mandiant).
6. Bazar nə təklif edir?
   • "Qum qutuları". İdealdan uzaq olan başqa bir profilaktik nəzarət. Qum qutularını və ya ağ siyahı həllərini aşkar etmək və yan keçmək üçün bir çox effektiv üsullar var. Burada “qaranlıq tərəf”in oğlanları bir addım öndədir.
   • UEBA (davranış profili və sapma aşkarlama sistemləri) - nəzəri cəhətdən çox təsirli ola bilər. Amma mənim fikrimcə, bu nə vaxtsa uzaq gələcəkdədir. Praktikada bu, hələ də çox bahalı, etibarsızdır və davranış təhlili üçün məlumat yaradacaq bütün alətlərə malik olan çox yetkin və sabit İT və informasiya təhlükəsizliyi infrastrukturu tələb edir.
   • SIEM araşdırmalar üçün yaxşı vasitədir, lakin korrelyasiya qaydaları eyni imza olduğu üçün yeni, orijinal bir şeyi vaxtında görmək və göstərmək iqtidarında deyil.

7. Nəticədə, belə bir vasitəyə ehtiyac var:
   • artıq pozulmuş bir perimetr şəraitində uğurla işləmişdir,
   • istifadə olunan alətlərdən və zəifliklərdən asılı olmayaraq, yaxın real vaxtda uğurlu hücumlar aşkar edildi,
   • imzalardan/qaydalardan/skriptlərdən/siyasətlərdən/profillərdən və digər statik şeylərdən asılı deyildi,
   • təhlil üçün böyük məlumat massivlərinin və onların mənbələrinin olmasını tələb etmirdi,
   • hücumları əlavə araşdırma tələb edən “dünyanın ən yaxşısı, patentləşdirilmiş və buna görə də qapalı riyaziyyat”ın işi nəticəsində bir növ risk qiymətləndirməsi kimi deyil, praktiki olaraq ikili hadisə kimi müəyyən etməyə imkan verərdi - “Bəli, biz hücuma məruz qalır” və ya “Xeyr, hər şey qaydasındadır”,
   • istifadə olunan fiziki və məntiqi şəbəkə topologiyasından asılı olmayaraq universal, səmərəli şəkildə miqyaslana bilən və istənilən heterojen mühitdə real şəkildə həyata keçirilirdi.

Aldatma-həll adlananlar indi belə bir alət rolunu iddia edirlər. Yəni, köhnə bal qabları konsepsiyasına əsaslanan həllər, lakin tamamilə fərqli bir icra səviyyəsi ilə. Bu mövzu mütləq yüksəlişdədir.

Nəticələrə görə Gartner Security & Risk Management sammit 2017 Aldatma həlləri istifadə üçün tövsiyə olunan TOP 3 strategiya və alətlərə daxildir.

Məlumata görə TAG Kibertəhlükəsizlik İllik 2017 Aldatma IDS Intrusion Detection Systems) həllərinin inkişafının əsas istiqamətlərindən biridir.

Sonuncunun tam bir hissəsi Cisco İT Təhlükəsizlik Hesabatı, SCADA-ya həsr olunmuş bu bazarın liderlərindən biri olan TrapX Security-nin (İsrail) məlumatlarına əsaslanır, onun həlli artıq bir ildir sınaq zonamızda işləyir.

TrapX Aldatma Şəbəkəsi sizə lisenziya yükünü və aparat resursları üçün tələbləri artırmadan, kütləvi paylanmış IDS-ləri mərkəzləşdirilmiş şəkildə xərcləməyə və idarə etməyə imkan verir. Əslində, TrapX mövcud İT infrastrukturunun elementlərindən, bir növ paylanmış şəbəkə “siqnalının” elementlərindən böyük bir müəssisə miqyasında hücumun aşkarlanması mexanizmi yaratmağa imkan verən konstruktordur.

Həll strukturu

Laboratoriyamızda İT təhlükəsizliyi sahəsində müxtəlif yenilikləri daim öyrənir və sınaqdan keçiririk. İndi burada təxminən 50 müxtəlif virtual server, o cümlədən TrapX Deception Grid komponentləri yerləşdirilib.

Beləliklə, yuxarıdan aşağıya:

1. TSOC (TrapX Təhlükəsizlik Əməliyyat Konsolu) sistemin beynidir. Bu, konfiqurasiya, həllin yerləşdirilməsi və bütün gündəlik işlərin həyata keçirildiyi mərkəzi idarəetmə konsoludur. Veb xidməti olduğu üçün onu istənilən yerdə - perimetrdə, buludda və ya MSSP provayderində tətbiq etmək olar.
2. TrapX Appliance (TSA) magistral portdan istifadə edərək monitorinqlə əhatə etmək istədiyimiz alt şəbəkələri birləşdirdiyimiz virtual serverdir. Həmçinin, bizim bütün şəbəkə sensorlarımız əslində burada “yaşayır”.

   Laboratoriyamızda yerləşdirilmiş bir TSA (mwsapp1) var, lakin əslində çox ola bilər. Bu, seqmentlər arasında L2 bağlantısının olmadığı böyük şəbəkələrdə (məsələn, “Holdinq və törəmə şirkətlər” və ya “Bankın baş ofisi və filialları”dır) və ya şəbəkədə təcrid olunmuş seqmentlər, məsələn, prosesə nəzarət sistemləri olduqda lazım ola bilər. . Hər bir belə filialda/seqmentdə siz öz TSA-nı yerləşdirə və bütün məlumatların mərkəzləşdirilmiş şəkildə işlənəcəyi vahid TSOC-a qoşa bilərsiniz. Bu arxitektura şəbəkənin köklü yenidən qurulmasına və ya mövcud seqmentasiyanın pozulmasına ehtiyac olmadan paylanmış monitorinq sistemlərini qurmağa imkan verir.

   Həmçinin, biz TAP/SPAN vasitəsilə TSA-ya gedən trafikin surətini təqdim edə bilərik. Məlum botnetlər, komanda və idarəetmə serverləri, TOR sessiyaları ilə əlaqə aşkar edilərsə, nəticəni konsolda da alacağıq. Şəbəkə Kəşfiyyat Sensoru (NIS) buna cavabdehdir. Bizim mühitimizdə bu funksionallıq firewallda həyata keçirilir, ona görə də biz onu burada istifadə etmədik.

3. Tətbiq Tələləri (Full OS) Windows serverlərinə əsaslanan ənənəvi bal qablarıdır. Onların çoxuna ehtiyacınız yoxdur, çünki bu serverlərin əsas vəzifəsi sensorların növbəti səviyyəsinə İT xidmətləri göstərmək və ya Windows mühitində yerləşdirilə bilən biznes proqramlarına hücumları aşkar etməkdir. Laboratoriyamızda belə bir server quraşdırılıb (FOS01)

   

4. Emulasiya edilmiş tələlər həllin əsas komponentidir ki, bu da bizə vahid virtual maşının köməyi ilə təcavüzkarlar üçün çox sıx “mina” sahəsi yaratmağa və müəssisə şəbəkəsini, onun bütün vlanlarını sensorlarımızla doyurmağa imkan verir. Təcavüzkar belə bir sensoru və ya fantom hostu real Windows kompüteri və ya serveri, Linux serveri və ya ona göstərmək qərarına gəldiyimiz digər cihaz kimi görür.

   
   
   İş və maraq naminə biz “hər məxluqdan bir cüt” - Windows kompüterləri və müxtəlif versiyalı serverlər, Linux serverləri, Windows quraşdırılmış bankomat, SWIFT Veb Girişi, şəbəkə printeri, Cisco keçidi, Axis IP kamera, MacBook, PLC cihazı və hətta ağıllı lampa. Ümumilikdə 13 host var. Ümumiyyətlə, satıcı bu cür sensorları real hostların sayının ən azı 10%-i həcmində yerləşdirməyi tövsiyə edir. Üst sətir mövcud ünvan sahəsidir.

   Çox vacib bir məqam ondan ibarətdir ki, hər bir belə host resurs və lisenziya tələb edən tam hüquqlu virtual maşın deyil. Bu, bir sıra parametrlər və IP ünvanı olan bir "hiylə", emulyasiya, hər ÜSY üçün bir prosesdir. Buna görə də, hətta bir TSA-nın köməyi ilə biz şəbəkəni siqnalizasiya sistemində sensor kimi işləyəcək yüzlərlə belə fantom hostla doyura bilərik. Məhz bu texnologiya "bal küpləri" konsepsiyasını istənilən iri paylanmış müəssisənin miqyasına qədər səmərəli şəkildə genişləndirməyə imkan verir.

   Bu hostlar təcavüzkarın nöqteyi-nəzərindən cəlbedicidir, çünki onlar zəiflikləri ehtiva edir və nisbətən asan hədəflərə bənzəyirlər. Təcavüzkar bu hostlarda xidmətləri görür və onlarla əlaqə qura, standart alətlər və protokollardan (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus və s.) istifadə edərək onlara hücum edə bilər. Lakin bu hostlardan hücum hazırlamaq və öz kodunuzu işlətmək üçün istifadə etmək mümkün deyil.

5. Bu iki texnologiyanın (FullOS və təqlid edilmiş tələlərin) birləşməsi bizə təcavüzkarın nəticədə siqnal şəbəkəmizin hansısa elementi ilə qarşılaşacağı yüksək statistik ehtimala nail olmağa imkan verir. Bəs bu ehtimalı 100%-ə necə yaxınlaşdırmaq olar?

   Sözdə tokenlər (Deception tokens) döyüşə girirlər. Onların sayəsində biz bütün mövcud fərdi kompüterləri və korporativ serverləri paylanmış IDS-ə daxil edə bilərik. Tokenlər istifadəçilərin real kompüterlərində yerləşdirilir. Tokenlərin resursları istehlak edən və münaqişələrə səbəb ola bilən agent olmadığını başa düşmək vacibdir. Tokenlər passiv informasiya elementləridir, hücum edən tərəf üçün onu tələyə salan bir növ “çörək qırıntıları”dır. Məsələn, xəritələşdirilmiş şəbəkə diskləri, brauzerdə saxta veb adminlər üçün əlfəcinlər və onlara saxlanılan parollar, saxlanmış ssh/rdp/winscp seansları, host fayllarında şərhlər olan tələlərimiz, yaddaşda saxlanan parollar, mövcud olmayan istifadəçilərin etimadnamələri, ofis faylları, sistemi işə salacaq açılışlar və daha çox. Beləliklə, biz təcavüzkarı təhrif edilmiş bir mühitə yerləşdiririk, əslində bizə təhlükə yaratmayan, əksinə, əksinə olan hücum vektorları ilə doyuruq. Və onun doğru məlumatın harada olduğunu, harada yalan olduğunu müəyyən etmək imkanı yoxdur. Beləliklə, biz yalnız hücumun tez aşkarlanmasını təmin etmirik, həm də onun gedişatını əhəmiyyətli dərəcədə yavaşlatır.

Şəbəkə tələsinin yaradılması və tokenlərin qurulması nümunəsi. Dost interfeys və konfiqurasiyaların, skriptlərin və s.-nin əl ilə redaktəsi yoxdur.

Bizim mühitimizdə biz Windows Server 01R2012 ilə işləyən FOS2 və Windows 7 ilə işləyən sınaq kompüterində bir sıra belə tokenləri konfiqurasiya etdik və yerləşdirdik. RDP bu maşınlarda işləyir və biz onları vaxtaşırı bir sıra sensorlarımızın olduğu DMZ-yə “yerləşdiririk”. (emulyasiya edilmiş tələlər) də göstərilir. Beləliklə, təbii şəkildə belə desək, davamlı hadisələr axını alırıq.

Beləliklə, ilin qısa xülasəsi:

56 208 hadisə qeydə alınıb,
2 – hücum mənbəyi hostları aşkar edildi.

İnteraktiv, tıklana bilən hücum xəritəsi

Eyni zamanda, həll bir növ meqa-log və ya hadisə lentini yaratmır, bunun başa düşülməsi uzun müddətdir. Əvəzində, həllin özü hadisələri növlərinə görə təsnif edir və informasiya təhlükəsizliyi komandasına diqqəti ilk növbədə ən təhlükəli olanlara yönəltməyə imkan verir - hücum edən tərəf nəzarət seanslarını (qarşılıqlı əlaqəni) yüksəltməyə çalışdıqda və ya trafikimizdə binar faydalı yüklər (infeksiya) olduqda.

Hadisələr haqqında bütün məlumatlar oxunaqlıdır və fikrimcə, hətta informasiya təhlükəsizliyi sahəsində baza biliyə malik istifadəçi üçün də asan başa düşülən formada təqdim olunur.

Bildirilən hadisələrin əksəriyyəti hostlarımızı və ya tək bağlantılarımızı skan etmək cəhdləridir.

Və ya RDP üçün kobud güc parollarına cəhdlər

Ancaq daha maraqlı hallar da var idi, xüsusən də təcavüzkarlar RDP üçün parol tapmağı və yerli şəbəkəyə çıxış əldə etməyi "bacardıq".

Təcavüzkar psexec istifadə edərək kodu icra etməyə çalışır.

Təcavüzkar xilas edilmiş sessiyanı tapdı və bu, onu Linux serveri şəklində tələyə saldı. Əvvəlcədən hazırlanmış bir əmr dəsti ilə əlaqə qurduqdan dərhal sonra bütün log fayllarını və müvafiq sistem dəyişənlərini məhv etməyə çalışdı.

Təcavüzkar SWIFT Veb Girişini təqlid edən qarmaqda SQL inyeksiyası həyata keçirməyə çalışır.

Bu "təbii" hücumlarla yanaşı, biz özümüz də bir sıra sınaqlar keçirdik. Ən aşkara çıxanlardan biri şəbəkədə şəbəkə qurdunun aşkarlanma vaxtını yoxlamaqdır. Bunun üçün GuardiCore adlı alətdən istifadə etdik Yoluxma meymunu. Bu, Windows və Linux-u ələ keçirə bilən, lakin heç bir "faydalı yük" olmadan şəbəkə qurdudur.
Biz yerli komanda mərkəzini yerləşdirdik, maşınlardan birində qurdun ilk instansiyasını işə saldıq və TrapX konsolunda ilk bildirişi dəqiqə yarımdan az müddətdə aldıq. Orta hesabla 90 günə qarşı TTD 106 saniyə…

Digər həllər sinifləri ilə inteqrasiya etmək imkanı sayəsində biz yalnız təhdidlərin sürətli aşkarlanmasından onlara avtomatik cavab verməyə keçə bilərik.

Məsələn, NAC (Şəbəkə Girişinə Nəzarət) sistemləri və ya CarbonBlack ilə inteqrasiya pozulmuş kompüterləri şəbəkədən avtomatik olaraq ayıracaq.

Sandboxlarla inteqrasiya sizə hücumda iştirak edən faylları təhlil üçün avtomatik təqdim etməyə imkan verir.

McAfee ilə inteqrasiya

Həll həmçinin öz daxili hadisə korrelyasiya sisteminə malikdir.

Lakin onun imkanları bizi qane etmədiyi üçün onu HP ArcSight ilə inteqrasiya etdik.

Daxili bilet sistemi "bütün dünya ilə" aşkar edilmiş təhlükələrin öhdəsindən gəlməyə kömək edir.

"Başlanğıcdan" həll dövlət qurumlarının və böyük bir korporativ seqmentin ehtiyacları üçün işlənib hazırlandığından, əlbəttə ki, rola əsaslanan giriş modeli, AD ilə inteqrasiya, hazırlanmış hesabatlar və tetikleyiciler sistemi (hadisə xəbərdarlığı), böyük holdinq strukturları və ya MSSP provayderləri üçün orkestrasiya orada həyata keçirilir.

Bir rezyume yerinə

Əgər obrazlı desək, arxamızı örtən belə bir monitorinq sistemi varsa, deməli, hər şey yenicə perimetrin güzəştindən başlayır. Ən əsası, informasiya təhlükəsizliyi insidentləri ilə məşğul olmaq üçün real imkan var, onların nəticələrinin aradan qaldırılması ilə məşğul olmur.

Mənbə: www.habr.com