Rupa kao sigurnosni alat - 2, ili kako uhvatiti APT "na živi mamac"

(hvala Sergeju G. Bresteru na ideji za naslov sebres)

Kolege, svrha ovog članka je podijeliti iskustvo jednogodišnjeg testnog rada nove klase IDS rješenja baziranih na Deception tehnologijama.

Da bi se održala logička koherentnost izlaganja gradiva, smatram da je potrebno početi od premisa. Dakle, problem:

1. Ciljani napadi su najopasniji tip napada, uprkos činjenici da je njihov udio u ukupnom broju prijetnji mali.
2. Još nije izmišljeno zagarantovano efikasno sredstvo za zaštitu perimetra (ili skup takvih sredstava).
3. Ciljani napadi se po pravilu odvijaju u nekoliko faza. Prevazilaženje perimetra je samo jedna od početnih faza, koja (možete ga bacati kamenje na mene) ne nanosi veliku štetu „žrtvi“, osim ako se, naravno, ne radi o DEoS (Destruction of service) napadu (enkriptori itd.) .). Pravi “bol” počinje kasnije, kada zarobljena sredstva počinju da se koriste za okretanje i razvijanje “dubinskog” napada, a mi to nismo primijetili.
4. Budući da počinjemo da trpimo stvarne gubitke kada napadači konačno stignu do ciljeva napada (aplikacioni serveri, DBMS, skladišta podataka, repozitorijumi, elementi kritične infrastrukture), logično je da je jedan od zadataka službe informacione bezbednosti da prekine napade pre nego što ovog tužnog događaja. Ali da biste nešto prekinuli, prvo morate saznati za to. I što prije, to bolje.
5. Shodno tome, za uspješno upravljanje rizikom (odnosno, smanjenje štete od ciljanih napada), ključno je imati alate koji će obezbijediti minimalni TTD (vrijeme za otkrivanje – vrijeme od trenutka upada do trenutka otkrivanja napada). U zavisnosti od industrije i regiona, ovaj period u proseku iznosi 99 dana u SAD, 106 dana u EMEA regionu, 172 dana u APAC regionu (M-Trends 2017, Pogled sa fronta, Mandiant).
6. Šta nudi tržište?
   • "Sandboxes". Još jedna preventivna kontrola, koja je daleko od idealne. Postoji mnogo efikasnih tehnika za otkrivanje i zaobilaženje sandbox-a ili rješenja za stavljanje na bijelu listu. Momci sa “tamne strane” su i dalje korak ispred.
   • UEBA (sistemi za profilisanje ponašanja i identifikaciju odstupanja) – u teoriji, može biti veoma efikasan. Ali, po mom mišljenju, to je negdje u dalekoj budućnosti. U praksi, to je još uvijek vrlo skupo, nepouzdano i zahtijeva vrlo zrelu i stabilnu IT i infrastrukturu za sigurnost informacija, koja već ima sve alate koji će generirati podatke za analizu ponašanja.
   • SIEM je dobar alat za istraživanje, ali ne može na vrijeme vidjeti i pokazati nešto novo i originalno, jer su pravila korelacije ista kao i potpisi.

7. Kao rezultat toga, postoji potreba za alatom koji bi:
   • uspješno radio u uslovima već kompromitovanog perimetra,
   • otkrili uspješne napade u skoro realnom vremenu, bez obzira na korištene alate i ranjivosti,
   • nije zavisilo od potpisa/pravila/skripti/politika/profila i drugih statičnih stvari,
   • nisu zahtijevale velike količine podataka i njihovih izvora za analizu,
   • omogućilo bi da se napadi definišu ne kao neka vrsta ocenjivanja rizika kao rezultat rada „najbolje na svetu, patentirane i stoga zatvorene matematike“, što zahteva dodatno istraživanje, već praktično kao binarni događaj – „Da, napadnuti smo” ili “Ne, sve je u redu”,
   • bio je univerzalan, efikasno skalabilan i izvodljiv za implementaciju u bilo kojem heterogenom okruženju, bez obzira na korištenu fizičku i logičku topologiju mreže.

Takozvana rješenja obmane sada se bore za ulogu takvog alata. Odnosno rješenja zasnovana na dobrom starom konceptu honeypots, ali sa potpuno drugačijim nivoom implementacije. Ova tema je sada definitivno u porastu.

Prema rezultatima Gartner Security&Risc menadžment samit 2017 Rješenja za obmane uključena su u TOP 3 strategije i alate koji se preporučuju za korištenje.

Prema izvještaju TAG Cybersecurity Annual 2017 Obmana je jedan od glavnih pravaca razvoja rješenja IDS Intrusion Detection Systems).

Čitav dio potonjeg Cisco Izveštaj o stanju IT bezbednosti, posvećen SCADA-i, baziran je na podacima jednog od lidera na ovom tržištu, TrapX Security (Izrael), čije rješenje radi na našem testnom području već godinu dana.

TrapX Deception Grid vam omogućava da centralno koštate i upravljate masovno distribuiranim IDS-om, bez povećanja opterećenja licenciranja i zahtjeva za hardverskim resursima. U stvari, TrapX je konstruktor koji vam omogućava da od elemenata postojeće IT infrastrukture kreirate jedan veliki mehanizam za otkrivanje napada na nivou preduzeća, neku vrstu distribuiranog mrežnog „alarma“.

Struktura rješenja

U našoj laboratoriji stalno proučavamo i testiramo različite nove proizvode iz oblasti IT sigurnosti. Trenutno je ovdje raspoređeno oko 50 različitih virtualnih servera, uključujući TrapX Deception Grid komponente.

Dakle, od vrha do dna:

1. TSOC (TrapX Security Operation Console) je mozak sistema. Ovo je centralna upravljačka konzola preko koje se provode konfiguracija, implementacija rješenja i sve svakodnevne operacije. Budući da je ovo web usluga, može se primijeniti bilo gdje - na perimetru, u oblaku ili kod MSSP provajdera.
2. TrapX Appliance (TSA) je virtuelni server u koji povezujemo, koristeći trunk port, one podmreže koje želimo pokriti praćenjem. Također, svi naši mrežni senzori zapravo “žive” ovdje.

   Naša laboratorija ima jedan TSA raspoređen (mwsapp1), ali u stvarnosti ih može biti mnogo. Ovo može biti potrebno u velikim mrežama u kojima ne postoji L2 povezanost između segmenata (tipičan primjer je “Holding i podružnice” ili “Sjedište banke i filijale”) ili ako mreža ima izolovane segmente, na primjer, automatizirane sisteme kontrole procesa. U svakoj takvoj grani/segmentu možete postaviti svoj vlastiti TSA i povezati ga s jednim TSOC-om, gdje će se sve informacije centralno obrađivati. Ova arhitektura vam omogućava da izgradite distribuirane sisteme za praćenje bez potrebe za radikalnim restrukturiranjem mreže ili ometanjem postojeće segmentacije.

   Također, možemo dostaviti kopiju odlaznog saobraćaja TSA preko TAP/SPAN. Ako otkrijemo veze s poznatim botnetima, komandnim i kontrolnim serverima ili TOR sesijama, također ćemo dobiti rezultat u konzoli. Za to je odgovoran mrežni inteligentni senzor (NIS). U našem okruženju, ova funkcionalnost je implementirana na firewall-u, tako da je ovdje nismo koristili.

3. Application Traps (Full OS) – tradicionalni honeypots bazirani na Windows serverima. Ne treba vam ih mnogo, jer je glavna svrha ovih servera da obezbede IT usluge sledećem sloju senzora ili otkriju napade na poslovne aplikacije koje se mogu primeniti u Windows okruženju. Imamo jedan takav server instaliran u našoj laboratoriji (FOS01)

   

4. Emulirane zamke su glavna komponenta rješenja, koja nam omogućava da, koristeći jednu virtuelnu mašinu, kreiramo veoma gusto „minsko polje“ za napadače i zasitimo mrežu preduzeća, sve njene vlan-ove, našim senzorima. Napadač takav senzor, odnosno fantomski host, vidi kao pravi Windows PC ili server, Linux server ili drugi uređaj koji mi odlučimo da mu pokažemo.

   
   
   Za dobrobit poslovanja i radoznalosti, postavili smo „par svakog stvorenja“ - Windows računare i servere različitih verzija, Linux servere, bankomat sa ugrađenim Windowsom, SWIFT Web Access, mrežni štampač, Cisco prekidač, Axis IP kamera, MacBook, PLC uređaj, pa čak i pametna sijalica. Ukupno ima 13 domaćina. Općenito, dobavljač preporučuje postavljanje takvih senzora u količini od najmanje 10% od broja pravih hostova. Gornja traka je dostupni adresni prostor.

   Vrlo važna stvar je da svaki takav host nije punopravna virtualna mašina koja zahtijeva resurse i licence. Ovo je mamac, emulacija, jedan proces na TSA, koji ima skup parametara i IP adresu. Stoga, uz pomoć čak i jednog TSA, možemo zasititi mrežu stotinama takvih fantomskih hostova, koji će raditi kao senzori u alarmnom sistemu. Upravo ova tehnologija omogućava ekonomično skaliranje honeypot koncepta u bilo koje veliko distribuirano preduzeće.

   Sa tačke gledišta napadača, ovi hostovi su atraktivni jer sadrže ranjivosti i izgledaju kao relativno lake mete. Napadač vidi usluge na ovim hostovima i može komunicirati s njima i napasti ih koristeći standardne alate i protokole (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, itd.). Ali nemoguće je koristiti ove hostove za razvoj napada ili pokretanje vlastitog koda.

5. Kombinacija ove dvije tehnologije (FullOS i emulirane zamke) nam omogućava da postignemo visoku statističku vjerovatnoću da će napadač prije ili kasnije naići na neki element naše signalne mreže. Ali kako možemo osigurati da je ova vjerovatnoća blizu 100%?

   Takozvani žetoni za prevaru ulaze u bitku. Zahvaljujući njima možemo uključiti sve postojeće računare i servere preduzeća u naš distribuirani IDS. Tokeni se postavljaju na stvarne računare korisnika. Važno je razumjeti da tokeni nisu agenti koji troše resurse i mogu uzrokovati sukobe. Tokeni su pasivni informacijski elementi, svojevrsne „mrvice kruha“ za napadačku stranu koje je vode u zamku. Na primjer, mapirani mrežni diskovi, oznake za lažne web administratore u pregledniku i sačuvane lozinke za njih, sačuvane ssh/rdp/winscp sesije, naše zamke s komentarima u fajlovima hosta, lozinke sačuvane u memoriji, vjerodajnice nepostojećih korisnika, ured datoteke, otvaranje koje će pokrenuti sistem i još mnogo toga. Tako napadača stavljamo u iskrivljeno okruženje, zasićeno vektorima napada koji nam zapravo ne predstavljaju prijetnju, već suprotno. I on nema načina da utvrdi gdje je informacija istinita, a gdje lažna. Time ne samo da osiguravamo brzo otkrivanje napada, već i značajno usporavamo njegov napredak.

Primjer kreiranja mrežne zamke i postavljanja tokena. Prijateljski interfejs i bez ručnog uređivanja konfiguracija, skripti itd.

U našem okruženju smo konfigurisali i postavili određeni broj takvih tokena na FOS01 koji radi pod Windows Serverom 2012R2 i na testnom računaru sa Windows 7. RDP radi na ovim mašinama i mi ih periodično „okačimo“ u DMZ, gde je veliki broj naših senzora (emulirane zamke) su također prikazane. Tako da imamo stalan tok incidenata, prirodno da tako kažem.

Dakle, evo nekoliko brzih statističkih podataka za godinu:

56 – zabilježeni incidenti,
2 – otkriveni su izvorni hostovi napada.

Interaktivna karta napada na koju se može kliknuti

U isto vrijeme, rješenje ne generiše neku vrstu mega-log ili feed događaja, za čije razumijevanje je potrebno mnogo vremena. Umjesto toga, samo rješenje klasifikuje događaje po njihovim vrstama i omogućava timu za informatičku sigurnost da se fokusira prvenstveno na one najopasnije – kada napadač pokuša da podigne kontrolne sesije (interakcija) ili kada se u našem prometu pojavi binarni teret (infekcija).

Sve informacije o događajima su čitljive i predstavljene, po mom mišljenju, u lako razumljivom obliku čak i za korisnika sa osnovnim znanjem iz oblasti informacione bezbednosti.

Većina zabilježenih incidenata su pokušaji skeniranja naših hostova ili pojedinačnih veza.

Ili pokušava grubo forsirati lozinke za RDP

No, bilo je i zanimljivijih slučajeva, posebno kada su napadači “uspjeli” da pogode lozinku za RDP i dobiju pristup lokalnoj mreži.

Napadač pokušava izvršiti kod koristeći psexec.

Napadač je pronašao sačuvanu sesiju, što ga je dovelo u zamku u obliku Linux servera. Odmah nakon povezivanja, sa jednim unapred pripremljenim skupom komandi, pokušao je da uništi sve datoteke dnevnika i odgovarajuće sistemske varijable.

Napadač pokušava izvršiti SQL injekciju na medenici koja imitira SWIFT Web pristup.

Pored ovakvih „prirodnih“ napada, sproveli smo i niz vlastitih testova. Jedan od najotkrivenijih je testiranje vremena detekcije mrežnog crva na mreži. Za to smo koristili alat iz GuardiCorea pod nazivom Infection Monkey. Ovo je mrežni crv koji može oteti Windows i Linux, ali bez ikakvog "korisnog opterećenja".
Postavili smo lokalni komandni centar, pokrenuli prvu instancu crva na jednoj od mašina i primili prvo upozorenje na TrapX konzoli za manje od minut i po. TTD 90 sekundi naspram 106 dana u prosjeku...

Zahvaljujući mogućnosti integracije s drugim klasama rješenja, možemo preći sa samo brzog otkrivanja prijetnji na automatsko reagiranje na njih.

Na primjer, integracija sa NAC (Network Access Control) sistemima ili sa CarbonBlack će vam omogućiti da automatski isključite kompromitovane računare sa mreže.

Integracija sa sandboxovima omogućava da se fajlovi uključeni u napad automatski predaju na analizu.

McAfee integracija

Rješenje također ima svoj ugrađeni sistem korelacije događaja.

Ali nismo bili zadovoljni njegovim mogućnostima, pa smo ga integrisali sa HP ArcSight.

Ugrađeni sistem za prodaju karata pomaže cijelom svijetu da se nosi sa otkrivenim prijetnjama.

Budući da je rješenje razvijeno „od početka“ za potrebe državnih agencija i velikog korporativnog segmenta, prirodno implementira model pristupa zasnovan na ulogama, integraciju sa AD, razvijen sistem izvještaja i okidača (upozorenja o događajima), orkestraciju za velike holding strukture ili MSSP provajderi.

Umesto rezimea

Ako postoji takav sistem nadzora, koji nam, slikovito rečeno, pokriva leđa, onda s kompromisom perimetra sve tek počinje. Najvažnije je da postoji realna mogućnost da se nosimo sa incidentima bezbednosti informacija, a ne da se bavimo njihovim posledicama.

izvor: www.habr.com