Дзюра як прылада бяспекі – 2, ці як лавіць APT «на жыўца»

(за ідэю загалоўка дзякуй Sergey G. Brester sebres)

Калегі, мэтай дадзенага артыкула з'яўляецца жаданне падзяліцца досведам гадавой тэставай эксплуатацыі новага класа IDS-рашэнняў на аснове Deception-тэхналогій.

Каб захаваць лагічную складнасць выкладу матэрыялу, лічу патрэбным пачаць з перадумоў. Такім чынам, праблематыка:

1. Накіраваныя напады - найболей небяспечны выгляд нападаў, нягледзячы на ​​тое, што ў агульнай колькасці пагроз іх удзельная вага невялікі.
2. Нейкага гарантаванага эфектыўнага сродку абароны перыметра (ці комплексу такіх сродкаў) пакуль яшчэ не прыдумана.
3. Як правіла, накіраваныя напады праходзяць у некалькі стадый. Пераадоленне перыметра - гэта толькі адна з пачатковых стадый, якая (можаце закідаць мяне камянямі) вялікай шкоды для "ахвяры" не нясе, калі гэта, вядома не DEoS (Destruction of service) напады (шыфравальшчыкі і т. п.). Па-сапраўднаму "балюча" пачынаецца пазней, калі захопленыя актывы пачынаюць выкарыстоўвацца для пивотинга і развіцці нападу "ў глыбіню", а мы гэтага не заўважылі.
4. Бо мы пачынаем несці сапраўдныя страты тады, калі зламыснікі ўсёткі дабіраюцца да мэт нападу (сервера прыкладанняў, СКБД, сховішчы дадзеных, рэпазітары, элементы крытычнай інфраструктуры), лагічна, што адной з задач службы ИБ з'яўляецца перапыненне нападаў да гэтай сумнай падзеі. Але каб нешта перапыніць, трэба пра гэта спачатку даведацца. І чым раней - тым лепш.
5. Адпаведна, для паспяховага кіравання рызыкамі (гэта значыць, зніжэння шкоды ад накіраваных нападаў) крытычна наяўнасць інструментаў, якія забяспечаць мінімальнае TTD (time to detect - час з моманту ўварвання да моманту выяўлення атакі). У залежнасці ад галіны і рэгіёна гэты перыяд з сярэднім складае 99 дзён у ЗША, 106 дзён у рэгіёне EMEA, 172 дні ў рэгіёне APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
6. Што прапануе рынак?
   • "Пясочніцы". Яшчэ адзін preventive control, які далёкі ад ідэалу. Ёсць маса эфектыўных тэхнік выяўлення і абыходу пясочніц або whitelisting-рашэнняў. Хлопцы з "цёмнага боку" тут пакуль на крок наперадзе.
   • UEBA (сістэмы прафілявання паводзін і выяўленні адхіленняў) - у тэорыі можа быць вельмі эфектыўна. Але, на мой погляд, гэта некалі ў далёкай будучыні. На практыцы - гэта пакуль вельмі дорага, ненадзейна і патрабуе вельмі спелай і стабільнай ІТ-і ИБ-інфраструктуры, дзе ўжо ёсць усе інструменты, якія будуць генераваць дадзеныя для паводніцкага аналізу.
   • SIEM - добрая прылада для расследаванняў, але нешта новае, арыгінальнае, убачыць і своечасова паказаць не ў стане, таму што правілы карэляцыі сутнасць тыя ж сігнатуры.

7. У выніку, наспела неабходнасць у такім інструменце, які б:
   • паспяхова працаваў ва ўмовах ужо скампраметаванага перыметра,
   • выяўляў паспяховыя напады ў рэжыме блізкім да рэальнага часу незалежна ад інструментара і тых уразлівасцяў, якія выкарыстоўваюцца,
   • не залежаў ад сігнатур/правілаў/сцэнарыяў/палітык/профіляў і іншых статычных рэчаў,
   • не патрабаваў наяўнасці вялікіх масіваў дадзеных і іх крыніц для аналізу,
   • дазваляў бы вызначаць атакі не як нейкую рызыку-скорынг у выніку працы "лепшай у свеце, запатэнтаванай і таму закрытай матэматыкі", які патрабуе дадатковага расследавання, а практычна як бінарная падзея - "Так, нас атакуюць" або "Не, усё ОК",
   • быў універсальным, эфектыўна якія маштабуюцца і рэальна ўкараняюцца ў любым гетэрагенным асяроддзі, незалежна ад выкарыстоўванай фізічнай і лагічнай тапалогіі сеткі.

На ролю такой прылады зараз прэтэндуюць, так званыя, deception-рашэнні. Гэта значыць рашэнні, у аснове якіх ляжыць старая добрая канцэпцыя ханіпотаў, але з зусім іншым узроўнем рэалізацыі. Гэтая тэма зараз адназначна на ўздыме.

па выніках Gartner Security&Risc management summit 2017 Deception-рашэнні ўваходзяць у ТОП-3 стратэгій і інструментаў, якія рэкамендуецца прымяняць.

Па дадзеных справаздачы TAG Cybersecurity Annual 2017 Deception з'яўляецца адным з магістральных напрамкаў развіцця IDS (Intrusion Detection Systems) рашэнняў.

Цэлая секцыя апошняга справаздачы Cisco аб стане ІТ-бяспекі, прысвечаная SCADA, пабудавана на дадзеных аднаго з лідэраў гэтага рынку, TrapX Security (Ізраіль), рашэнне якіх ужо год працуе ў нашай тэставай зоне.

ТрапХ Deception Grid дазваляе каштаваць і эксплуатаваць масіраваныя размеркаваныя IDS цэнтралізавана, без павелічэння ліцэнзійнай нагрузкі і патрабаванняў да апаратных рэсурсаў. Фактычна, ТрапХ - гэта канструктар, які дазваляе стварыць з элементаў існай ІТ-інфраструктуры адзін вялікі механізм выяўлення нападаў маштабу ўсяго прадпрыемства, свайго роду размеркаваную сеткавую "сігналізацыю".

Структура Рашэння

У нашай лабараторыі мы пастаянна вывучаем і тэсціруем розныя навінкі ў галіне ІТ-бяспекі. Цяпер тут разгорнута каля 50 розных віртуальных сервераў, у тым ліку і кампаненты TrapX Deception Grid.

Такім чынам, зверху ўніз:

1. TSOC (TrapX Security Operation Console) - мозг сістэмы. Гэта цэнтральная кансоль кіравання, з дапамогай якой ажыццяўляецца настройка, разгортванне рашэння і ўся штодзённая праца. Бо гэта вэб-сэрвіс, ён можа быць разгорнуты дзе заўгодна - у перыметры, у воблаку ці ў MSSP правайдэра.
2. TrapX Appliance (TSA) - віртуальны сервер, у які мы з дапамогай trunk-порта падключаем тыя падсеткі, якія мы хочам ахапіць маніторынгам. Таксама тут фактычна "жывуць" усе нашы сеткавыя сэнсары.

   У нашай лабараторыі разгорнуты адзін TSA (mwsapp1), але насамрэч іх можа быць шмат. Гэта можа спатрэбіцца ў буйных сетках, дзе паміж сегментамі няма L2-складнасці (тыповы прыклад – "Холдынг і даччыныя прадпрыемствы" ці "Галоўны офіс банка і філіялы") або калі ў сетцы ёсць ізаляваныя сегменты, напрыклад, АСУТП. У кожным такім філіяле/сегменце можна разгарнуць свой TSA і падлучыць яго да адзінага TSOC, на якім уся інфармацыя будзе цэнтралізавана апрацоўвацца. Такая архітэктура дазваляе будаваць размеркаваныя сістэмы маніторынгу без неабходнасці кардынальнай перабудовы сеткі або парушэнні існуючай сегментацыі.

   Таксама, на TSA мы можам падаць копію выходнага трафіку праз TAP/SPAN. У выпадку выяўлення злучэнняў з вядомымі ботнетамі, каманднымі серверамі, TOR-сесій мы таксама атрымаем вынік у кансолі. За гэта адказвае Network Intelligence Sensor (NIS). У нашым асяроддзі гэты функцыянал рэалізаваны на міжсеткавым экране, таму тут мы яго не выкарыстоўвалі.

3. Application Traps (Full OS) – традыцыйныя ханіпаты на базе Windows-сервераў. Іх не патрабуецца шмат, бо асноўная задача гэтых сервераў - падаць ІТ-сэрвісы наступнаму ўзроўню сэнсараў або выяўляць напады на бізнэс-прыкладанні, якія могуць быць разгорнутыя ў Windows-асяроддзі. У нас у лабараторыі ўсталяваны адзін такі сервер (FOS01)

   

4. Emulated traps – асноўны кампанент рашэння, які дазваляе нам з дапамогай адной адзінай віртуальнай машыны стварыць вельмі шчыльнае міннае поле для атакавалых і насыціць сетку прадпрыемства, усё яго vlan-ы, нашымі сэнсарамі. Атакуючы бачыць такі сэнсар, ці фантомны хост, як сапраўдны Windows ПК ці сервер, Linux сервер ці іншая прылада, якое мы вырашаем яму паказаць.

   
   
   Для карысці справы і цікаўнасці дзеля, мы разгарнулі «кожнага стварэння па пары» – Windows ПК і серверы розных версій, Linux-серверы, банкамат c Windows embedded, SWIFT Web Access, сеткавы прынтэр, камутатар Cisco, IP-камера Axis, макбук, PLC -прылада і нават разумную лямпачку. Усяго - 13 хастоў. Наогул, вендар рэкамендуе разгортваць такія сэнсары ў колькасці мінімум 10% ад колькасці рэальных хастоў. Верхняя планка - гэта даступная адрасная прастора.

   Вельмі важным момантам з'яўляецца тое, што кожны такі хост - гэта не паўнавартасная віртуальная машына, якая патрабуе рэсурсы і ліцэнзіі. Гэта "падманка", эмуляцыя, адзін працэс на TSA, у якога ёсць набор параметраў і IP-адрас. Таму мы з дапамогай нават аднаго TSA можам насыціць сетку сотнямі такіх фантомных хастоў, якія будуць працаваць як датчыкі ў сістэме сігналізацыі. Менавіта гэтая тэхналогія дазваляе эканамічна эфектыўна маштабаваць канцэпцыю "ханіпотаў" у маштабах любога буйнога размеркаванага прадпрыемства.

   Гэтыя хасты з пункта гледжання атакавалага боку з'яўляюцца прывабнымі, бо ўтрымоўваюць уразлівасці і выглядаюць адносна лёгкімі мэтамі. Атакуючы бачыць сэрвісы на гэтых хастах і можа з імі ўзаемадзейнічаць, атакаваць іх, выкарыстоўваючы стандартныя прылады і пратаколы (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus і т. п.). Але выкарыстоўваць гэтыя хасты для развіцця нападу т запуску свайго кода немагчыма.

5. Спалучэнне гэтых двух тэхналогій (FullOS і эмуляваных пастак) дазваляе дасягнуць высокай статыстычнай верагоднасці, што атакавалы ўсё ж рана ці позна сутыкнецца з якім-небудзь элементам нашай сігнальнай сеткі. Але як зрабіць так, каб гэтая верагоднасць была блізкая да 100%?

   У бой уступаюць так званыя токены (Deception tokens). Дзякуючы ім мы можам уключыць у склад нашага размеркаванага IDS усе наяўныя ПК і серверы прадпрыемства. Такены размяшчаюцца на рэальных ПК карыстальнікаў. Важна разумець, што токены - гэта не агент, які спажывае рэсурсы і можа выклікаць канфлікты. Такены - гэта пасіўныя інфармацыйныя элементы, свайго роду "хлебныя крошкі" для атакавалага боку, якія вядуць яе ў пастку. Напрыклад, падлучаныя сеткавыя дыскі, закладкі на фэйкавыя вэб-адмінкі ў браўзэры і захаваныя паролі да іх, захаваныя ssh/rdp/winscp сесіі, нашы пасткі з каментарамі ў hosts файлах, захаваныя ў памяці паролі, уліковыя дадзеныя неіснуючых карыстальнікаў, офісныя файлы, якіх выкліча спрацоўванне сістэмы, і шматлікае іншае. Такім чынам, мы змяшчаем атакавалага ў скажонае асяроддзе, насычанае тымі вектарамі нападаў, якія насамрэч не ўяўляюць для нас пагрозы, а, хутчэй, наадварот. І ў яго няма магчымасці вызначыць дзе праўдзівая інфармацыя, а дзе ілжывая. Такім чынам, мы не толькі забяспечваем хуткае вызначэнне нападу, але і істотна запавольваем яе ход.

Прыклад стварэння сеткавай пасткі і налады токенаў. Прыязны інтэрфейс і на якой ручной праўкі канфігаў, скрыптоў і да т.п.

У нашым асяроддзі мы сканфігуравалі і размясцілі шэраг такіх токенаў на FOS01 пад кіраваннем Windows Server 2012R2 і тэставым ПК пад Windows 7. На гэтых машынах запушчаны RDP і мы перыядычна "вывешваем" іх у DMZ, куды выведзены таксама шэраг нашых сэнсараў (emulated traps). Такім чынам, мы атрымліваем пастаянны паток інцыдэнтаў, так бы мовіць, натуральным чынам.

Такім чынам, кароткая статыстыка за год:

56 – інцыдэнтаў зафіксавана,
2 - хастоў-крыніц нападаў выяўлена.

Інтэрактыўная, клікабельная карта нападаў

Пры гэтым, рашэнне не генеруе нейкі мега-лог ці стужку падзей, у якой трэба доўга разбірацца. Замест гэтага рашэнне само класіфікуе падзеі па іх тыпах і дазваляе камандзе ИБ факусавацца ў першую чаргу на самых небяспечных - калі атакуючы бок спрабуе паднімаць кіраўнікі сесіі (interaction) або калі ў нас у трафіку з'яўляецца бінарныя пейлоады (infection).

Уся інфармацыя аб падзеях чытэльная і ўяўляецца, на мой погляд, у лёгкім для разумення выглядзе нават карыстачу з базавымі ведамі ў вобласці ИБ.

Большасць з зафіксаваных інцыдэнтаў - гэта спробы сканавання нашых хастоў або адзінкавых злучэнняў.

Або спробы перабору пароляў для RDP

Але сустракаліся і цікавейшыя кейсы, асабліва калі зламыснікам атрымоўвалася падабраць пароль для RDP і атрымаць доступ у лакальную сетку.

Зламыснік спрабуе выканаць код з дапамогай psexec.

Зламыснік знайшоў захаваную сесію, якая прывяла яго ў пастку ў выглядзе Linux-сервера. Адразу пасля падлучэння адным, загадзя нарыхтаваным наборам каманд, ён паспрабаваў знішчыць усе файлы часопісаў і адпаведныя сістэмныя зменныя.

Атакуючы спрабуе правесці SQL-ін'екцыю на пастцы, якая імітуе SWIFT Web Access.

Акрамя такіх "натуральных" нападаў мы праводзілі і шэраг сваіх уласных тэстаў. Адным з найболей паказальных з'яўляецца тэставанне часу выяўлення сеткавага чарвяка ў сетцы. Для гэтага мы выкарыстоўвалі інструмент ад GuardiCore, які называецца Заражэнне малпы. Гэта сеткавы чарвяк, які ўмее захопліваць Windows і Linux, але без нейкай "карыснай" нагрузкі.
Мы разгарнулі лакальны камандны цэнтр, на адной з машын запусцілі першы асобнік чарвяка і атрымалі першую апавяшчэнне ў кансолі TrapX менш за праз паўтары хвіліны. TTD 90 секунд супраць 106 дзён у сярэднім…

Дзякуючы магчымасці інтэграцыі з іншымі класамі рашэнняў мы можам перайсці толькі ад хуткага дэтэктавання пагроз да аўтаматычнага рэагавання на іх.

Так, напрыклад, інтэграцыя з NAC (Network Access Control) сістэмамі ці з CarbonBlack дазволіць аўтаматычна адключаць скампраметаваныя ПК ад сеткі.

Інтэграцыя з пясочніцамі дазваляе аўтаматычна перадаваць для аналізу файлы, якія ўдзельнічаюць у нападзе.

Інтэграцыя з McAfee

Таксама ў рашэнні ёсць свая ўбудаваная сістэма карэляцыі падзей.

Але нас яе магчымасці не задаволілі, таму мы інтэгравалі яго з HP ArcSight.

Справіцца з выяўленымі пагрозамі "ўсім светам" дапамагае ўбудаваная сістэма тыкетынгу.

Так як рашэнне "са старту" распрацоўвалася для патрэб дзяржорганаў і буйнога карпаратыўнага сегмента, то там, натуральна, рэалізавана ролевая мадэль доступу, інтэграцыя з AD, развітая сістэма справаздач і трыгераў (падзейных абвестак), аркестрацыя для буйных холдынгавых структур або MSSP правайдэраў.

Замест рэзюмэ

Калі ёсць падобная сістэма маніторынгу, якая, вобразна кажучы, затуляе нам спіну, то з кампраметацыяй перыметра ўсё толькі пачынаецца. Самае галоўнае, што з'яўляецца рэальная магчымасць дужацца з ИБ-інцыдэнтамі, а не займацца ўхіленнем іх наступстваў.

Крыніца: habr.com