(salamat kay Sergey G. Brester sa ideya sa titulo )
Mga kauban, ang katuyoan niini nga artikulo mao ang pagpaambit sa kasinatian sa usa ka tuig nga operasyon sa pagsulay sa usa ka bag-ong klase sa mga solusyon sa IDS base sa mga teknolohiya sa Paglimbong.
Aron mapadayon ang lohikal nga pagkadugtong sa presentasyon sa materyal, giisip nako nga kinahanglan nga magsugod sa lugar. Busa, ang problema:
- Ang gipuntirya nga mga pag-atake mao ang labing delikado nga matang sa pag-atake, bisan pa sa kamatuoran nga ang ilang bahin sa kinatibuk-ang gidaghanon sa mga hulga gamay ra.
- Wala pay garantiya nga epektibong paagi sa pagpanalipod sa perimeter (o usa ka hugpong sa maong mga paagi) ang naimbento.
- Ingon sa usa ka lagda, ang gipunting nga mga pag-atake mahitabo sa daghang mga yugto. Ang pagbuntog sa perimeter usa lamang sa mga inisyal nga yugto, nga (mahimo nimong ilabay ang mga bato kanako) dili hinungdan sa daghang kadaot sa "biktima", gawas kung, siyempre, kini usa ka pag-atake sa DEoS (Paglaglag sa serbisyo) (mga encryptors, etc. .). Ang tinuod nga "kasakit" magsugod sa ulahi, sa diha nga ang nadakpan nga mga kabtangan nagsugod sa paggamit alang sa pivoting ug pagpalambo sa usa ka "lawom" nga pag-atake, ug kami wala makamatikod niini.
- Tungod kay nagsugod kami sa pag-antus sa tinuud nga mga kapildihan kung ang mga tig-atake sa katapusan nakaabot sa mga target sa pag-atake (mga server sa aplikasyon, DBMS, mga bodega sa datos, mga repositoryo, kritikal nga mga elemento sa imprastraktura), makatarunganon nga usa sa mga buluhaton sa serbisyo sa seguridad sa impormasyon mao ang paghunong sa mga pag-atake sa wala pa. kini nga makapasubo nga panghitabo. Apan aron mabalda ang usa ka butang, kinahanglan nimo nga mahibal-an una ang bahin niini. Ug ang mas sayo, mas maayo.
- Subay niini, alang sa malampuson nga pagdumala sa risgo (nga mao, ang pagkunhod sa kadaot gikan sa gipuntirya nga mga pag-atake), importante nga adunay mga himan nga maghatag og minimum nga TTD (panahon sa pag-ila - ang panahon gikan sa higayon sa pagsulod ngadto sa higayon nga ang pag-atake namatikdan). Depende sa industriya ug rehiyon, kini nga panahon nag-aberids ug 99 ka adlaw sa US, 106 ka adlaw sa EMEA nga rehiyon, 172 ka adlaw sa rehiyon sa APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
- Unsa ang gitanyag sa merkado?
- "Mga Sandbox". Laing pagpugong sa pagpugong, nga layo sa sulundon. Adunay daghang epektibo nga mga pamaagi sa pag-ila ug pag-bypass sa mga sandbox o mga solusyon sa pag-whitelist. Ang mga lalaki gikan sa "ngitngit nga bahin" usa pa ka lakang sa unahan dinhi.
- UEBA (mga sistema sa pag-profile sa kinaiya ug pag-ila sa mga pagtipas) - sa teorya, mahimong epektibo kaayo. Apan, sa akong opinyon, kini usa ka panahon sa layo nga umaabot. Sa praktis, kini mahal pa kaayo, dili kasaligan ug nanginahanglan usa ka hamtong ug lig-on nga IT ug imprastraktura sa seguridad sa kasayuran, nga naa na ang tanan nga mga himan nga makamugna mga datos alang sa pag-analisar sa pamatasan.
- Ang SIEM usa ka maayong himan alang sa mga imbestigasyon, apan dili kini makakita ug makapakita og bag-o ug orihinal sa tukma nga panahon, tungod kay ang mga lagda sa correlation parehas sa mga pirma.
- Ingon nga resulta, adunay panginahanglan alang sa usa ka himan nga:
- malampuson nga nagtrabaho sa mga kondisyon sa usa ka nakompromiso nga perimeter,
- nakit-an ang malampuson nga mga pag-atake sa hapit sa tinuud nga oras, bisan unsa pa ang mga gamit ug mga kahuyangan nga gigamit,
- wala magdepende sa mga pirma / lagda / script / palisiya / profile ug uban pang mga static nga butang,
- wala magkinahanglan og daghang mga datos ug ang ilang mga tinubdan alang sa pagtuki,
- magtugot sa mga pag-atake nga mahubit dili isip usa ka matang sa pagmarka sa risgo isip resulta sa buhat sa "labing maayo sa kalibutan, patente ug busa sirado nga matematika", nga nagkinahanglan og dugang nga imbestigasyon, apan praktikal isip usa ka binary nga panghitabo - "Oo, giatake kami" o "Dili, OK ra ang tanan",
- kay unibersal, episyente nga scalable ug mahimo nga ipatuman sa bisan unsang heterogenous nga palibot, bisan unsa pa ang pisikal ug lohikal nga topology sa network nga gigamit.
Ang gitawag nga mga solusyon sa limbong karon nag-indigay alang sa papel sa ingon nga himan. Nga mao, ang mga solusyon base sa maayo nga daan nga konsepto sa honeypots, apan uban sa usa ka bug-os nga lain-laing ang-ang sa pagpatuman. Kini nga hilisgutan siguradong nag-uswag karon.
Pinauyon sa mga sangputanan Ang mga solusyon sa paglimbong gilakip sa TOP 3 nga mga estratehiya ug mga himan nga girekomenda nga gamiton.
Sumala sa taho Ang paglimbong usa sa mga nag-unang direksyon sa pagpalambo sa IDS Intrusion Detection Systems) nga mga solusyon.
Usa ka tibuok nga seksyon sa ulahi , nga gipahinungod sa SCADA, gibase sa datos gikan sa usa sa mga lider niini nga merkado, TrapX Security (Israel), ang solusyon nga nagtrabaho sa among lugar sa pagsulay sulod sa usa ka tuig.
Gitugotan ka sa TrapX Deception Grid nga gastohan ug operahan ang daghang gipang-apod-apod nga mga IDS sa sentro, nga walaβy pagdugang sa load sa lisensya ug mga kinahanglanon alang sa mga kahinguhaan sa hardware. Sa tinuud, ang TrapX usa ka konstruktor nga nagtugot kanimo sa paghimo gikan sa mga elemento sa naa na nga imprastraktura sa IT usa ka dako nga mekanismo alang sa pag-ila sa mga pag-atake sa usa ka gilapdon sa negosyo, usa ka matang sa giapod-apod nga "alarma" sa network.
Istruktura sa Solusyon
Sa among laboratoryo kanunay kaming nagtuon ug nagsulay sa lainlaing mga bag-ong produkto sa natad sa seguridad sa IT. Sa pagkakaron, mga 50 ka lain-laing mga virtual server ang gipakatap dinhi, lakip ang mga sangkap sa TrapX Deception Grid.
Busa, gikan sa taas hangtod sa ubos:
- Ang TSOC (TrapX Security Operation Console) mao ang utok sa sistema. Kini ang sentral nga console sa pagdumala diin ang pag-configure, pag-deploy sa solusyon ug tanan nga adlaw-adlaw nga operasyon gihimo. Tungod kay kini usa ka serbisyo sa web, mahimo kini i-deploy bisan asa - sa perimeter, sa panganod o sa usa ka tighatag sa MSSP.
- Ang TrapX Appliance (TSA) maoy usa ka virtual server diin atong gikonektar, gamit ang trunk port, kadtong mga subnet nga gusto natong tabunan sa pagmonitor. Usab, ang tanan namong mga sensor sa network sa tinuod "buhi" dinhi.
Ang among lab adunay usa ka TSA nga gipakatap (mwsapp1), apan sa tinuud mahimo nga daghan. Mahimong gikinahanglan kini sa dagkong mga network diin walay koneksyon sa L2 tali sa mga bahin (usa ka tipikal nga pananglitan mao ang "Paghupot ug mga subsidiary" o "Bank head office ug mga sanga") o kung ang network adunay nahilain nga mga bahin, pananglitan, mga automated nga sistema sa pagkontrol sa proseso. Sa matag ingon nga sanga/segment, mahimo nimong i-deploy ang imong kaugalingon nga TSA ug ikonektar kini sa usa ka TSOC, diin ang tanan nga kasayuran iproseso sa sentro. Gitugotan ka sa kini nga arkitektura nga magtukod mga gipang-apod-apod nga mga sistema sa pag-monitor nga wala kinahanglana ang radikal nga pag-restructure sa network o pagbungkag sa kasamtangan nga pagbahin.
Usab, makasumite kami og kopya sa outgoing traffic ngadto sa TSA pinaagi sa TAP/SPAN. Kung namatikdan namon ang mga koneksyon sa nahibal-an nga mga botnet, command ug control server, o mga sesyon sa TOR, madawat usab namo ang resulta sa console. Ang Network Intelligence Sensor (NIS) ang responsable niini. Sa among palibot, kini nga pagpaandar gipatuman sa firewall, mao nga wala namo kini gigamit dinhi.
- Application Traps (Full OS) β tradisyonal nga honeypots base sa Windows servers. Dili nimo kinahanglan ang daghan niini, tungod kay ang panguna nga katuyoan sa kini nga mga server mao ang paghatag mga serbisyo sa IT sa sunod nga layer sa mga sensor o makit-an ang mga pag-atake sa mga aplikasyon sa negosyo nga mahimong i-deploy sa usa ka palibot sa Windows. Adunay kami usa ka server nga na-install sa among laboratoryo (FOS01)
- Ang gisunod nga mga lit-ag mao ang nag-unang bahin sa solusyon, nga nagtugot kanamo, gamit ang usa ka virtual nga makina, sa paghimo sa usa ka dasok kaayo nga "minefield" alang sa mga tig-atake ug pagpuno sa network sa negosyo, tanan nga mga vlan niini, sa among mga sensor. Ang tig-atake nakakita sa ingon nga sensor, o phantom host, ingon usa ka tinuod nga Windows PC o server, Linux server o uban pang aparato nga among gipili nga ipakita kaniya.
Alang sa kaayohan sa negosyo ug alang sa pagkamausisaon, nag-deploy kami og "usa ka pares sa matag binuhat" - Mga Windows PC ug server sa lainlaing mga bersyon, Linux server, ATM nga adunay Windows embedded, SWIFT Web Access, network printer, Cisco. switch, usa ka Axis IP camera, usa ka MacBook, PLC -device ug bisan usa ka smart bombilya. Adunay 13 ka host sa kinatibuk-an. Sa kinatibuk-an, girekomenda sa vendor ang pag-deploy sa ingon nga mga sensor sa kantidad nga labing menos 10% sa gidaghanon sa tinuod nga mga host. Ang ibabaw nga bar mao ang anaa nga address space.Ang usa ka hinungdanon kaayo nga punto mao nga ang matag ingon nga host dili usa ka hingpit nga virtual machine nga nanginahanglan mga kapanguhaan ug lisensya. Kini usa ka decoy, emulation, usa ka proseso sa TSA, nga adunay usa ka set sa mga parameter ug usa ka IP address. Busa, sa tabang sa bisan usa ka TSA, mahimo natong saturate ang network sa gatusan ka mga phantom host, nga magtrabaho isip mga sensor sa sistema sa alarma. Kini nga teknolohiya nga nagpaposible sa gasto nga epektibo nga pagsukod sa konsepto sa honeypot sa bisan unsang dako nga gipang-apod-apod nga negosyo.
Gikan sa punto sa panglantaw sa tig-atake, kini nga mga host madanihon tungod kay kini adunay mga kahuyangan ug morag sayon ββββnga target. Ang tig-atake nakakita sa mga serbisyo niini nga mga host ug mahimong makig-uban kanila ug moatake kanila gamit ang standard nga mga himan ug protocol (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, ug uban pa). Apan imposible nga gamiton kini nga mga host aron makahimo usa ka pag-atake o pagpadagan sa imong kaugalingon nga code.
- Ang kombinasyon niining duha ka mga teknolohiya (FullOS ug emulated traps) nagtugot kanato sa pagkab-ot sa taas nga statistical probability nga ang usa ka tig-atake sa madugay o sa madali makasugat og pipila ka elemento sa atong signaling network. Apan unsaon nato pagsiguro nga kini nga posibilidad hapit sa 100%?
Ang gitawag nga mga timaan sa Paglimbong mosulod sa gubat. Salamat sa ila, mahimo namon ilakip ang tanan nga mga PC ug server sa negosyo sa among gipang-apod-apod nga mga IDS. Ang mga token gibutang sa tinuod nga mga PC sa mga tiggamit. Importante nga masabtan nga ang mga token dili mga ahente nga nagkonsumo sa mga kapanguhaan ug mahimong hinungdan sa mga panagbangi. Ang mga token maoy passive information elements, usa ka matang sa "breadcrumbs" para sa nag-atake nga bahin nga nagdala niini ngadto sa usa ka lit-ag. Pananglitan, ang mga gimapa nga network drive, mga bookmark sa peke nga mga web admin sa browser ug gitipigan ang mga password alang kanila, gitipigan ang mga sesyon sa ssh/rdp/winscp, among mga lit-ag nga adunay mga komento sa mga file sa host, mga password nga na-save sa memorya, mga kredensyal sa walaβy mga tiggamit, opisina. mga file, pag-abli nga mag-trigger sa sistema, ug daghan pa. Sa ingon, among gibutang ang tig-atake sa usa ka hiwi nga palibot, puno sa mga vector sa pag-atake nga dili gyud hulga kanamo, apan sukwahi. Ug wala siyay paagi sa pagtino kon asa tinuod ang impormasyon ug asa kini bakak. Sa ingon, dili lamang nato masiguro ang dali nga pag-ila sa usa ka pag-atake, apan labi usab nga gipahinay ang pag-uswag niini.
Usa ka pananglitan sa paghimo og lit-ag sa network ug pag-set up sa mga token. Mahigalaon nga interface ug walay manwal nga pag-edit sa mga config, script, ug uban pa.
Sa among palibot, among gi-configure ug gibutang ang usa ka gidaghanon sa ingon nga mga token sa FOS01 nga nagpadagan sa Windows Server 2012R2 ug usa ka pagsulay nga PC nga nagdagan Windows 7. Ang RDP nagdagan sa kini nga mga makina ug kami matag karon nga "nagbitay" kanila sa DMZ, diin ang usa ka gidaghanon sa among mga sensor. (emulated traps) gipakita usab. Mao nga nakakuha kami kanunay nga pag-agay sa mga insidente, natural nga isulti.
Busa, ania ang pipila ka dali nga estadistika alang sa tuig:
56 β mga insidente nga natala,
2 β namatikdan ang tinubdan sa pag-atake.
Interactive, ma-click nga mapa sa pag-atake
Sa samang higayon, ang solusyon wala makamugna og usa ka matang sa mega-log o feed sa panghitabo, nga nagkinahanglan og taas nga panahon aron masabtan. Hinuon, ang solusyon mismo nagklasipikar sa mga panghitabo pinaagi sa ilang mga tipo ug gitugotan ang grupo sa seguridad sa impormasyon nga mag-una sa pag-focus sa labing peligro - kung ang tig-atake mosulay sa pagpataas sa mga sesyon sa pagkontrol (interaksyon) o kung ang mga binary payloads (infection) makita sa among trapiko.
Ang tanan nga kasayuran bahin sa mga panghitabo mabasa ug gipresentar, sa akong opinyon, sa usa ka dali masabtan nga porma bisan alang sa usa ka tiggamit nga adunay sukaranan nga kahibalo sa natad sa kasiguruhan sa kasayuran.
Kadaghanan sa natala nga mga insidente mao ang pagsulay sa pag-scan sa among mga host o usa ka koneksyon.
O misulay sa pagpamugos sa mga password alang sa RDP
Apan adunay usab mas makapaikag nga mga kaso, ilabi na kung ang mga tig-atake "nakadumala" sa pagtag-an sa password alang sa RDP ug makaangkon og access sa lokal nga network.
Usa ka tig-atake misulay sa pagpatuman sa code gamit ang psexec.
Nakakita ang tig-atake sa usa ka naluwas nga sesyon, nga nagdala kaniya sa usa ka lit-ag sa porma sa usa ka server sa Linux. Diha-diha dayon human sa pagkonektar, uban sa usa ka pre-prepared set of commands, misulay kini sa pagguba sa tanang log files ug katugbang nga mga variables sa sistema.
Usa ka tig-atake misulay sa paghimo sa SQL injection sa usa ka honeypot nga nagsundog sa SWIFT Web Access.
Dugang pa sa ingon nga "kinaiyanhon" nga mga pag-atake, nagpahigayon usab kami daghang mga kaugalingon nga pagsulay. Usa sa labing nagpadayag mao ang pagsulay sa oras sa pagkakita sa usa ka network worm sa usa ka network. Aron mahimo kini gigamit namon ang usa ka himan gikan sa GuardiCore nga gitawag . Kini usa ka network worm nga maka-hijack sa Windows ug Linux, apan walay bisan unsang "payload".
Nag-deploy kami og usa ka lokal nga command center, gilunsad ang unang higayon sa worm sa usa sa mga makina, ug nakadawat sa unang alert sa TrapX console sa wala pay usa ka minuto ug tunga. TTD 90 segundos kumpara sa 106 ka adlaw sa aberids...
Salamat sa abilidad sa pag-integrate sa ubang mga klase sa mga solusyon, makalihok kita gikan sa dali nga pag-ila sa mga hulga ngadto sa awtomatikong pagtubag niini.
Pananglitan, ang paghiusa sa mga sistema sa NAC (Network Access Control) o sa CarbonBlack magtugot kanimo nga awtomatiko nga idiskonekta ang mga nakompromiso nga PC gikan sa network.
Ang paghiusa sa mga sandbox nagtugot sa mga file nga nahilambigit sa usa ka pag-atake nga awtomatiko nga isumite alang sa pagtuki.
Paghiusa sa McAfee
Ang solusyon usab adunay kaugalingon nga built-in nga sistema sa correlation sa panghitabo.
Apan wala kami matagbaw sa mga kapabilidad niini, mao nga gihiusa namo kini sa HP ArcSight.
Ang built-in nga sistema sa pagtiket nagtabang sa tibuuk kalibutan nga makasagubang sa mga nakit-an nga hulga.
Tungod kay ang solusyon naugmad "gikan sa sinugdanan" alang sa mga panginahanglan sa mga ahensya sa gobyerno ug usa ka dako nga bahin sa korporasyon, kini natural nga nagpatuman sa usa ka modelo sa pag-access nga gibase sa papel, panagsama sa AD, usa ka naugmad nga sistema sa mga taho ug mga hinungdan (mga alerto sa panghitabo), orkestra para sa dagkong holding structures o MSSP providers.
Imbis nga usa ka resume
Kung adunay ingon nga sistema sa pag-monitor, nga, sa mahulagwayong pagkasulti, nagtabon sa among likod, unya sa pagkompromiso sa perimeter ang tanan nagsugod pa lang. Ang labing importante nga butang mao nga adunay usa ka tinuod nga oportunidad sa pag-atubang sa mga insidente sa seguridad sa impormasyon, ug dili sa pag-atubang sa ilang mga sangputanan.
Source: www.habr.com