(gràcies a Sergey G. Brester per la idea del títol )
Col·legues, l'objectiu d'aquest article és compartir l'experiència d'un any de funcionament de prova d'una nova classe de solucions IDS basades en tecnologies de Deception.
Per tal de mantenir la coherència lògica de la presentació del material, considero necessari començar per les premisses. Per tant, el problema:
- Els atacs dirigits són el tipus d'atac més perillós, malgrat que la seva proporció en el nombre total d'amenaces és petita.
- Encara no s'ha inventat cap mitjà eficaç garantit per protegir el perímetre (o un conjunt d'aquests mitjans).
- Com a regla general, els atacs dirigits tenen lloc en diverses etapes. La superació del perímetre és només una de les etapes inicials, que (pots tirar-me pedres) no causa gaire dany a la "víctima", tret que, és clar, es tracti d'un atac DEoS (Destrucció de servei) (encriptadors, etc.). .). El veritable "dolor" comença més tard, quan els actius capturats comencen a utilitzar-se per pivotar i desenvolupar un atac de "profunditat", i això no ens ho vam adonar.
- Com que comencem a patir pèrdues reals quan els atacants per fi arriben als objectius de l'atac (servidors d'aplicacions, DBMS, magatzems de dades, repositoris, elements d'infraestructura crític), és lògic que una de les tasques del servei de seguretat de la informació sigui interrompre abans els atacs. aquest trist esdeveniment. Però per interrompre alguna cosa, primer has d'esbrinar-ho. I com més aviat millor.
- En conseqüència, per a una gestió exitosa del risc (és a dir, reduir el dany dels atacs dirigits), és fonamental disposar d'eines que proporcionin un TTD mínim (temps per detectar - el temps des del moment de la intrusió fins al moment en què es detecta l'atac). Segons la indústria i la regió, aquest període té una mitjana de 99 dies als EUA, 106 dies a la regió EMEA, 172 dies a la regió APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
- Què ofereix el mercat?
- "Caixes de sorra". Un altre control preventiu, que dista de ser ideal. Hi ha moltes tècniques efectives per detectar i ometre solucions sandbox o llista blanca. Els nois del "costat fosc" encara estan un pas per davant aquí.
- UEBA (sistemes per a l'elaboració de perfils de comportament i identificació de desviacions): en teoria, pot ser molt efectiu. Però, al meu entendre, això és en un futur llunyà. A la pràctica, això encara és molt car, poc fiable i requereix una infraestructura informàtica i de seguretat de la informació molt madura i estable, que ja disposa de totes les eines que generaran dades per a l'anàlisi del comportament.
- SIEM és una bona eina per a investigacions, però no és capaç de veure i mostrar alguna cosa nova i original de manera oportuna, perquè les regles de correlació són les mateixes que les signatures.
- Com a resultat, es necessita una eina que:
- treballat amb èxit en condicions d'un perímetre ja compromès,
- detectat atacs amb èxit gairebé en temps real, independentment de les eines i vulnerabilitats utilitzades,
- no depenia de signatures/regles/scripts/polítiques/perfils i altres coses estàtiques,
- no va requerir grans quantitats de dades i les seves fonts per a l'anàlisi,
- permetria definir els atacs no com una mena de puntuació de risc com a resultat del treball de "les millors matemàtiques del món, patentades i, per tant, tancades", que requereix una investigació addicional, sinó pràcticament com un esdeveniment binari: "Sí, ens estan atacant” o “No, tot està bé”,
- era universal, escalable de manera eficient i factible d'implementar en qualsevol entorn heterogeni, independentment de la topologia de xarxa física i lògica utilitzada.
Les anomenades solucions d'engany competeixen ara pel paper d'aquesta eina. És a dir, solucions basades en el bon vell concepte dels honeypots, però amb un nivell d'implementació completament diferent. Aquest tema definitivament està en augment ara.
Segons els resultats Les solucions d'engany s'inclouen a les 3 millors estratègies i eines que es recomana utilitzar.
Segons l'informe L'engany és una de les principals direccions de desenvolupament de les solucions IDS Intrusion Detection Systems).
Tot un apartat d'aquest últim , dedicada a SCADA, es basa en dades d'un dels líders d'aquest mercat, TrapX Security (Israel), la solució del qual fa un any que treballa a la nostra àrea de proves.
TrapX Deception Grid us permet fer un cost i operar IDS distribuïts massivament de manera centralitzada, sense augmentar la càrrega de llicències i els requisits dels recursos de maquinari. De fet, TrapX és un constructor que permet crear a partir d'elements de la infraestructura informàtica existent un gran mecanisme per detectar atacs a escala empresarial, una mena d'"alarma" de xarxa distribuïda.
Estructura de la solució
Al nostre laboratori estudiem i testem constantment diversos nous productes en l'àmbit de la seguretat informàtica. Actualment, s'hi despleguen uns 50 servidors virtuals diferents, inclosos els components de TrapX Deception Grid.
Així, de dalt a baix:
- TSOC (TrapX Security Operation Console) és el cervell del sistema. Aquesta és la consola central de gestió a través de la qual es realitza la configuració, el desplegament de la solució i totes les operacions del dia a dia. Com que es tracta d'un servei web, es pot desplegar a qualsevol lloc: al perímetre, al núvol o a un proveïdor de MSSP.
- TrapX Appliance (TSA) és un servidor virtual al qual connectem, mitjançant el port troncal, aquelles subxarxes que volem cobrir amb monitorització. A més, tots els nostres sensors de xarxa realment "viuen" aquí.
El nostre laboratori té un TSA desplegat (mwsapp1), però en realitat n'hi podria haver molts. Això pot ser necessari en xarxes grans on no hi ha connectivitat L2 entre segments (un exemple típic és "Holding i filials" o "Oficina central i oficines del banc") o si la xarxa té segments aïllats, per exemple, sistemes de control de processos automatitzats. En cadascuna d'aquestes branques/segments, podeu implementar el vostre propi TSA i connectar-lo a un TSOC únic, on tota la informació es processarà de manera centralitzada. Aquesta arquitectura us permet construir sistemes de monitorització distribuïts sense necessitat de reestructurar radicalment la xarxa o interrompre la segmentació existent.
A més, podem enviar una còpia del trànsit de sortida a TSA mitjançant TAP/SPAN. Si detectem connexions amb botnets conegudes, servidors de comandament i control o sessions TOR, també rebrem el resultat a la consola. Network Intelligence Sensor (NIS) és el responsable d'això. Al nostre entorn, aquesta funcionalitat està implementada al tallafoc, per la qual cosa no la vam utilitzar aquí.
- Trampes d'aplicacions (SO complet): honeypots tradicionals basats en servidors Windows. No en necessiteu molts, ja que l'objectiu principal d'aquests servidors és proporcionar serveis informàtics a la següent capa de sensors o detectar atacs a aplicacions empresarials que es puguin desplegar en un entorn Windows. Tenim un d'aquests servidors instal·lat al nostre laboratori (FOS01)
- Les trampes emulades són el component principal de la solució, que ens permet, utilitzant una única màquina virtual, crear un "camp minat" molt dens per als atacants i saturar la xarxa empresarial, totes les seves vlans, amb els nostres sensors. L'atacant veu aquest sensor, o host fantasma, com un PC o servidor Windows real, un servidor Linux o un altre dispositiu que decidim mostrar-li.
Pel bé del negoci i per curiositat, vam desplegar "un parell de cada criatura": ordinadors Windows i servidors de diverses versions, servidors Linux, un caixer automàtic amb Windows incrustat, SWIFT Web Access, una impressora de xarxa, un Cisco interruptor, una càmera IP Axis, un MacBook, un dispositiu PLC i fins i tot una bombeta intel·ligent. Hi ha 13 amfitrions en total. En general, el venedor recomana desplegar aquests sensors en una quantitat d'almenys el 10% del nombre d'amfitrions reals. La barra superior és l'espai d'adreces disponible.Un punt molt important és que cada amfitrió no és una màquina virtual completa que requereixi recursos i llicències. Es tracta d'un señu, emulació, un procés a la TSA, que té un conjunt de paràmetres i una adreça IP. Per tant, fins i tot amb l'ajuda d'un TSA, podem saturar la xarxa amb centenars d'hosts fantasma, que funcionaran com a sensors al sistema d'alarma. És aquesta tecnologia la que permet escalar de manera rendible el concepte de pot de mel a qualsevol gran empresa distribuïda.
Des del punt de vista d'un atacant, aquests amfitrions són atractius perquè contenen vulnerabilitats i semblen objectius relativament fàcils. L'atacant veu serveis en aquests amfitrions i pot interactuar amb ells i atacar-los mitjançant eines i protocols estàndard (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, etc.). Però és impossible utilitzar aquests amfitrions per desenvolupar un atac o executar el vostre propi codi.
- La combinació d'aquestes dues tecnologies (FullOS i trampes emulades) ens permet aconseguir una alta probabilitat estadística que un atacant es trobi tard o d'hora amb algun element de la nostra xarxa de senyalització. Però, com podem assegurar-nos que aquesta probabilitat és propera al 100%?
Les anomenades fitxes d'engany entren a la batalla. Gràcies a ells, podem incloure tots els ordinadors i servidors existents de l'empresa en els nostres IDS distribuïts. Els fitxes es col·loquen als ordinadors reals dels usuaris. És important entendre que els tokens no són agents que consumeixen recursos i poden provocar conflictes. Els fitxes són elements d'informació passius, una mena de "molles de pa" per al bàndol atacant que el porten a una trampa. Per exemple, unitats de xarxa mapejades, adreces d'interès per a administradors web falsos al navegador i contrasenyes desades per a ells, sessions ssh/rdp/winscp desades, les nostres trampes amb comentaris als fitxers hosts, contrasenyes desades a la memòria, credencials d'usuaris inexistents, oficina fitxers, obertura que activarà el sistema i molt més. Així, col·loquem l'atacant en un entorn distorsionat, saturat de vectors d'atac que en realitat no suposen una amenaça per a nosaltres, sinó tot el contrari. I no té cap manera de determinar on la informació és certa i on és falsa. Així, no només assegurem la detecció ràpida d'un atac, sinó que també alentem significativament el seu progrés.
Un exemple de creació d'una trampa de xarxa i de configuració de fitxes. Interfície amigable i sense edició manual de configuracions, scripts, etc.
Al nostre entorn, vam configurar i col·locar una sèrie d'aquests testimonis a FOS01 amb Windows Server 2012R2 i un ordinador de prova amb Windows 7. RDP s'executa en aquestes màquines i periòdicament les "pengem" a la DMZ, on alguns dels nostres sensors. (paranys emulats) també es mostren. Així que tenim un flux constant d'incidents, naturalment per dir-ho així.
Així doncs, aquí teniu algunes estadístiques ràpides de l'any:
56 - incidències registrades,
2: s'han detectat amfitrions d'origen d'atac.
Mapa d'atac interactiu i clicable
Al mateix temps, la solució no genera cap mena de mega-registre o feed d'esdeveniments, que triga molt de temps a entendre's. En canvi, la pròpia solució classifica els esdeveniments segons els seus tipus i permet a l'equip de seguretat de la informació centrar-se principalment en els més perillosos: quan l'atacant intenta augmentar les sessions de control (interacció) o quan apareixen càrregues útils binàries (infecció) al nostre trànsit.
Tota la informació sobre esdeveniments és llegible i presentada, al meu entendre, d'una forma fàcil d'entendre fins i tot per a un usuari amb coneixements bàsics en l'àmbit de la seguretat de la informació.
La majoria dels incidents registrats són intents d'escanejar els nostres hosts o connexions individuals.
O intents de força bruta contrasenyes per a RDP
Però també hi va haver casos més interessants, sobretot quan els atacants "aconseguien" endevinar la contrasenya per a RDP i accedir a la xarxa local.
Un atacant intenta executar codi amb psexec.
L'atacant va trobar una sessió desada, que el va portar a una trampa en forma de servidor Linux. Immediatament després de connectar-se, amb un conjunt d'ordres preparats prèviament, va intentar destruir tots els fitxers de registre i les variables del sistema corresponents.
Un atacant intenta realitzar una injecció SQL en un honeypot que imita l'accés web SWIFT.
A més d'aquests atacs "naturals", també vam realitzar una sèrie de proves pròpies. Un dels més reveladors és provar el temps de detecció d'un cuc de xarxa a una xarxa. Per fer-ho hem utilitzat una eina de GuardiCore anomenada . Aquest és un cuc de xarxa que pot segrestar Windows i Linux, però sense cap "càrrega útil".
Vam desplegar un centre de comandament local, vam llançar la primera instància del cuc en una de les màquines i vam rebre la primera alerta a la consola TrapX en menys d'un minut i mig. TTD 90 segons versus 106 dies de mitjana...
Gràcies a la capacitat d'integrar-nos amb altres classes de solucions, podem passar de detectar amenaces ràpidament a respondre-hi automàticament.
Per exemple, la integració amb sistemes NAC (Network Access Control) o amb CarbonBlack us permetrà desconnectar automàticament els ordinadors compromesos de la xarxa.
La integració amb sandbox permet que els fitxers implicats en un atac s'enviïn automàticament per a l'anàlisi.
Integració de McAfee
La solució també té el seu propi sistema de correlació d'esdeveniments integrat.
Però no estàvem satisfets amb les seves capacitats, així que el vam integrar amb HP ArcSight.
El sistema de venda d'entrades integrat ajuda a tot el món a fer front a les amenaces detectades.
Com que la solució es va desenvolupar "des del principi" per a les necessitats de les agències governamentals i d'un gran segment corporatiu, naturalment implementa un model d'accés basat en rols, integració amb AD, un sistema desenvolupat d'informes i activadors (alertes d'esdeveniments), orquestració per a grans estructures de holding o proveïdors de MSSP.
En lloc d'un currículum vitae
Si hi ha un sistema de control d'aquest tipus, que, en sentit figurat, ens cobreix l'esquena, aleshores amb el compromís del perímetre tot acaba de començar. El més important és que hi hagi una oportunitat real de fer front als incidents de seguretat de la informació, i no de fer front a les seves conseqüències.
Font: www.habr.com