(grazie à Sergey G. Brester per l'idea di titulu )
Colleghi, u scopu di stu articulu hè di sparte a sperienza di un funziunamentu di prova di un annu di una nova classa di suluzioni IDS basatu nantu à i tecnulugii Deception.
Per mantene a coherenza logica di a presentazione di u materiale, pensu chì hè necessariu di principià cù i locali. Allora, u prublema:
- L'attacchi mirati sò u tipu d'attaccu più periculosu, malgradu u fattu chì a so parte in u numeru tutale di minacce hè chjuca.
- Nisun mezzu efficaci garantitu di prutezzione di u perimetru (o un inseme di tali mezi) hè statu ancu inventatu.
- In regula, l'attacchi mirati sò in parechje tappe. Superà u perimetru hè solu una di e fasi iniziali, chì (pudete lancià petre à mè) ùn causa micca assai danni à a "vittima", salvu chì, sicuru, hè un attaccu DEoS (Destruction of service) (encryptors, etc.). .). U veru "dolore" principia più tardi, quandu l'assi catturati cumincianu à esse usatu per pivoting è sviluppà un attaccu di "prufundità", è ùn avemu micca nutatu questu.
- Siccomu cuminciamu à soffre di perdite reali quandu l'attaccanti ghjunghjenu infine à i miri di l'attaccu (servitori d'applicazioni, DBMS, magazzini di dati, repositori, elementi di infrastruttura critica), hè logicu chì unu di i compiti di u serviziu di sicurità di l'infurmazioni hè di interrompe l'attacchi prima. stu tristu avvenimentu. Ma per interrompe qualcosa, avete prima di sapè. È u prima, u megliu.
- In cunsiquenza, per una gestione di risichi successu (vale à dì, riducendu u dannu da attacchi mirati), hè criticu per avè strumenti chì furnisceranu un TTD minimu (tempu per detect - u tempu da u mumentu di l'intrusione à u mumentu chì l'attaccu hè rilevatu). Sicondu l'industria è a regione, stu periodu hè mediu di 99 ghjorni in i Stati Uniti, 106 ghjorni in a regione EMEA, 172 ghjorni in a regione APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
- Chì offre u mercatu?
- "Sandboxes". Un altru cuntrollu preventivu, chì hè luntanu da l'ideale. Ci hè parechje tecniche efficaci per a rilevazione è l'annullamentu di sandboxes o soluzioni di lista bianca. I picciotti di u "latu scuru" sò sempre un passu avanti quì.
- UEBA (sistemi per profiling cumpurtamentu è identificazione deviazioni) - in teoria, pò esse assai efficace. Ma, in my opinion, questu hè qualchì volta in un futuru distante. In pratica, questu hè sempre assai caru, inaffidabile è esige una infrastruttura di securità di l'informatica è di l'informatica assai matura è stabile, chì hà digià tutte l'arnesi chì generaranu dati per l'analisi di cumportamentu.
- SIEM hè un bonu strumentu per l'investigazioni, ma ùn hè micca capaci di vede è dimustrà qualcosa di novu è originale in una manera puntuale, perchè e regule di correlazione sò listessi cum'è signature.
- In u risultatu, ci hè bisognu di un strumentu chì:
- hà travagliatu cù successu in cundizioni di un perimetru digià cumprumissu,
- hà rilevatu attacchi successi in quasi tempu reale, indipendentemente da l'arnesi è e vulnerabilità utilizati,
- ùn dipende micca da signature / regule / scripts / pulitiche / profili è altre cose statiche,
- ùn hà micca bisognu di grandi quantità di dati è e so fonti per l'analisi,
- permetterebbe attacchi per esse definitu micca cum'è una sorta di puntuazione di risicu in u risultatu di u travagliu di "u megliu in u mondu, matematica patentata è dunque chjusa", chì richiede investigazioni supplementari, ma praticamenti cum'è un avvenimentu binariu - "Iè, simu attaccati" o "No, tuttu va bè",
- era universale, scalabile in modu efficiente è fattibile per implementà in ogni ambiente eterogeneu, indipendentemente da a topologia di a rete fisica è logica utilizata.
I cosi-chiamati suluzioni d'ingannamentu sò oghji in lotta per u rolu di un tali strumentu. Questu hè, suluzioni basate nantu à u bonu vechju cuncettu di honeypots, ma cù un livellu di implementazione completamente diversu. Stu tema hè definitivamente in crescita avà.
Sicondu i risultati I suluzioni di l'ingannimentu sò inclusi in i TOP 3 strategie è strumenti chì sò cunsigliati per esse utilizati.
Sicondu u rapportu L'ingannimentu hè una di e direzzione principali di u sviluppu di e soluzioni IDS Intrusion Detection Systems).
Una sezione sana di l'ultimi , dedicatu à SCADA, hè basatu annantu à e dati di unu di i capi di stu mercatu, TrapX Security (Israele), a suluzione chì hà travagliatu in a nostra zona di teste per un annu.
TrapX Deception Grid vi permette di costà è di uperà IDS distribuiti massicciamenti in u centru, senza aumentà a carica di licenze è i requisiti per e risorse hardware. In fatti, TrapX hè un custruttore chì vi permette di creà da elementi di l'infrastruttura IT esistenti un grande mecanismu per detectà attacchi à una scala di l'impresa, una spezia di "allarme" di rete distribuita.
Struttura di suluzione
In u nostru laboratoriu studiemu è testemu constantemente diversi prudutti novi in u campu di a sicurità IT. Attualmente, circa 50 servitori virtuali diffirenti sò implementati quì, cumprese i cumpunenti TrapX Deception Grid.
Dunque, da cima à fondu:
- TSOC (TrapX Security Operation Console) hè u cervellu di u sistema. Questa hè a cunsola di gestione cintrali attraversu quale a cunfigurazione, a implementazione di a suluzione è tutte l'operazioni di u ghjornu sò realizate. Siccomu questu hè un serviziu web, pò esse implementatu in ogni locu - in u perimetru, in u nuvulu o in un fornitore MSSP.
- TrapX Appliance (TSA) hè un servitore virtuale in quale cunnettamu, utilizendu u portu di u troncu, quelli subnets chì vulemu copre cù u monitoraghju. Inoltre, tutti i nostri sensori di rete in realtà "vivanu" quì.
U nostru labburatoriu hà una TSA implementata (mwsapp1), ma in a realtà puderia esse parechje. Questu pò esse necessariu in e grande rete induve ùn ci hè micca una cunnessione L2 trà i segmenti (un esempiu tipicu hè "Holding and subsidiaries" o "Bank head office and branch") o se a reta hà segmenti isolati, per esempiu, sistemi di cuntrollu di prucessu automatizatu. In ogni ramu / segmentu tali, pudete implementà u vostru propiu TSA è cunnetta à un unicu TSOC, induve tutte l'infurmazioni seranu trattate centralmente. Questa architettura permette di custruisce sistemi di monitoraghju distribuiti senza a necessità di ristrutturar radicalmente a reta o di disturbà a segmentazione esistente.
Inoltre, pudemu mandà una copia di u trafficu in uscita à TSA via TAP / SPAN. Se detectemu cunnessione cù botnets cunnisciuti, servitori di cumanda è cuntrollu, o sessioni TOR, riceveremu ancu u risultatu in a cunsola. Network Intelligence Sensor (NIS) hè rispunsevule per questu. In u nostru ambiente, sta funziunalità hè implementata nantu à u firewall, cusì ùn avemu micca usatu quì.
- Trappole d'applicazione (OS Full) - honeypots tradiziunali basati nantu à i servitori Windows. Ùn avete bisognu di parechji di elli, postu chì u scopu principale di questi servitori hè di furnisce servizii IT à a prossima capa di sensori o detectà attacchi à l'applicazioni cummerciale chì ponu esse implementati in un ambiente Windows. Avemu un tali servitore installatu in u nostru laboratoriu (FOS01)
- Trappule emulate sò u cumpunente principale di a suluzione, chì ci permette, utilizendu una sola macchina virtuale, per creà un "campu minatu" assai densu per l'attaccanti è saturate a reta di l'impresa, tutti i so vlans, cù i nostri sensori. L'attaccante vede un tali sensoru, o host fantasma, cum'è un veru PC o servitore Windows, un servitore Linux o un altru dispositivu chì decidemu di mustrà.
Per u bonu di l'affari è per a curiosità, avemu implementatu "un paru di ogni criatura" - PC Windows è servitori di diverse versioni, servitori Linux, un ATM cù Windows integratu, SWIFT Web Access, una stampante di rete, una Cisco. switch, una camera IP Axis, un MacBook, un dispositivu PLC è ancu una lampadina intelligente. Ci sò 13 ospiti in totale. In generale, u vinditore ricumanda di implementà tali sensori in una quantità di almenu 10% di u numeru di ospiti veri. A barra superiore hè u spaziu di indirizzu dispunibule.Un puntu assai impurtante hè chì ogni tali host ùn hè micca una macchina virtuale cumpleta chì richiede risorse è licenze. Questu hè un decoy, emulazione, un prucessu nantu à a TSA, chì hà un set di parametri è un indirizzu IP. Per quessa, cù l'aiutu di ancu un TSA, pudemu saturatu a reta cù cintunari di tali ospiti fantasma, chì travaglià cum'è sensori in u sistema di alarme. Hè sta tecnulugia chì permette di scala in modu costu-efficace u cuncettu di miele in ogni grande impresa distribuita.
Da u puntu di vista di l'attaccante, questi ospiti sò attrattivi perchè cuntenenu vulnerabili è parenu esse miri relativamente faciuli. L'attaccante vede i servizii nantu à questi òspiti è pò interagisce cun elli è attaccà cù arnesi è protokolli standard (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, etc.). Ma hè impussibile di utilizà questi ospiti per sviluppà un attaccu o eseguisce u vostru propiu codice.
- A cumminazzioni di sti dui tecnulugii (FullOS è trappule emulate) ci permette di ottene una alta probabilità statistica chì un attaccu prima o dopu scuntrà qualchì elementu di a nostra rete di signalazione. Ma cumu pudemu assicurà chì sta probabilità hè vicinu à 100%?
I tokens chjamati Deception entranu in a battaglia. Grazie à elli, pudemu include tutti i PC esistenti è i servitori di l'impresa in i nostri IDS distribuiti. I tokens sò posti nantu à i PC veri di l'utilizatori. Hè impurtante di capisce chì i tokens ùn sò micca agenti chì cunsuma risorse è ponu causà cunflitti. I tokens sò elementi d'infurmazioni passivi, una spezia di "breadcrumbs" per u latu attaccante chì u portanu in una trappula. Per esempiu, unità di rete mappate, marcati à falsi amministratori web in u navigatore è password salvate per elli, sessioni salvate ssh / rdp / winscp, e nostre trappule cù cumenti in i fugliali d'ospiti, password salvate in memoria, credenziali di utilizatori inesistenti, ufficiu i schedarii, l'apertura chì attivarà u sistema, è assai di più. Cusì, mettemu l'attaccante in un ambiente distortu, saturatu cù vettori d'attaccu chì ùn ponenu micca veramente una minaccia per noi, ma piuttostu u cuntrariu. È ùn hà micca manera di determinà induve l'infurmazione hè vera è induve hè falsa. Cusì, ùn solu assicurà a rilevazione rapida di un attaccu, ma ancu rallentà significativamente u so prugressu.
Un esempiu di creazione di una trappula di rete è di creazione di tokens. Interfaccia amichevule è senza edizione manuale di cunfigurazioni, script, etc.
In u nostru ambiente, avemu cunfiguratu è pusatu una quantità di tali tokens in FOS01 chì eseguisce Windows Server 2012R2 è un PC di prova chì esegue Windows 7. RDP hè in esecuzione nantu à sti machini è li "appendemu" periodicamente in a DMZ, induve una quantità di i nostri sensori. (trappule emulate) sò ancu affissate. Allora avemu un flussu constante di incidenti, naturalmente per parlà.
Dunque, eccu alcune statistiche veloci per l'annu:
56 208 - incidenti registrati,
2 - l'ospiti di fonte d'attaccu rilevati.
Mappa d'attaccu interattiva è clicchendu
À u listessu tempu, a suluzione ùn genera micca un tipu di mega-log o alimentazione di l'avvenimentu, chì piglia assai tempu per capiscenu. Invece, a suluzione stessa classifica l'avvenimenti per i so tipi è permette à a squadra di sicurità di l'infurmazioni per fucalizza principalmente nantu à i più periculosi - quandu l'attaccante prova di elevà e sessioni di cuntrollu (interazione) o quandu i carichi binari (infezzione) appariscenu in u nostru trafficu.
Tutte l'infurmazioni nantu à l'avvenimenti sò leghjite è presentate, in u mo parè, in una forma faciule da capisce ancu per un utilizatore cù cunniscenze basi in u campu di a sicurità di l'infurmazioni.
A maiò parte di l'incidenti arregistrati sò tentativi di scansà i nostri ospiti o cunnessioni uniche.
O tentativi di password di forza bruta per RDP
Ma ci sò ancu casi più interessanti, soprattuttu quandu l'attaccanti "rinisciutu" à guessà a password per RDP è accede à a reta lucale.
Un attaccu prova di eseguisce codice cù psexec.
L'attaccante hà truvatu una sessione salvata, chì l'hà purtatu in una trappula in forma di un servitore Linux. Immediatamente dopu a cunnessione, cù un set di cumandamenti pre-preparatu, hà pruvatu à distrughje tutti i schedarii di log è e variàbili di sistema currispondenti.
Un attaccu prova di fà iniezione SQL in un honeypot chì imita SWIFT Web Access.
In più di tali attacchi "naturali", avemu ancu realizatu una serie di e nostre teste. Unu di i più revelatori hè a prova di u tempu di deteczione di un verme di rete in una reta. Per fà questu avemu usatu un strumentu da GuardiCore chjamatu . Questu hè un vermu di rete chì pò pirate Windows è Linux, ma senza "payload".
Avemu implementatu un centru di cummandu lucale, lanciatu a prima istanza di u vermu nantu à una di e macchine, è hà ricevutu a prima alerta in a cunsola TrapX in menu di un minutu è mezu. TTD 90 seconde versus 106 ghjorni in media...
Grazie à a capacità di integrà cù altre classi di suluzioni, pudemu passà da a rilevazione rapida di e minacce à risponde automaticamente à elli.
Per esempiu, l'integrazione cù i sistemi NAC (Network Access Control) o cù CarbonBlack vi permetterà di disconnect automaticamente PC cumprumessi da a reta.
L'integrazione cù sandboxes permette à i fugliali implicati in un attaccu esse automaticamente sottumessi per l'analisi.
Integrazione McAfee
A suluzione hà ancu u so propiu sistema di correlazione di l'avvenimenti integratu.
Ma ùn eramu micca soddisfatti di e so capacità, cusì l'avemu integratu cù HP ArcSight.
U sistema di biglietteria integratu aiuta u mondu sanu à affruntà e minacce rilevate.
Siccomu a suluzione hè stata sviluppata "da u principiu" per i bisogni di l'agenzii di u guvernu è di un grande segmentu corporativu, implementa naturalmente un mudellu d'accessu basatu nantu à u rolu, integrazione cù AD, un sistema sviluppatu di rapporti è triggers (avvisi di eventi), orchestrazione per grandi strutture holding o fornitori MSSP.
Invece di un currettu
Se ci hè un tali sistema di surviglianza, chì, figurativamente parlante, copre a nostra volta, allora cù u cumprumissu di u perimetru tuttu hè ghjustu principiatu. A più impurtante hè chì ci hè una vera opportunità per trattà cù incidenti di sicurezza di l'infurmazioni, è micca per trattà cù e so cunsiquenzi.
Source: www.habr.com