Díra jako bezpečnostní nástroj - 2 aneb jak chytit APT "na živou návnadu"

(děkuji Sergey G. Bresterovi za nápad na titul sebres)

Vážení kolegové, účelem tohoto článku je podělit se o zkušenosti z ročního zkušebního provozu nové třídy IDS řešení založených na technologiích Deception.

Aby byla zachována logická provázanost prezentace materiálu, považuji za nutné začít od prostor. Takže problém:

1. Cílené útoky jsou nejnebezpečnějším typem útoku, přestože jejich podíl na celkovém počtu hrozeb je malý.
2. Žádný zaručeně účinný prostředek ochrany perimetru (nebo soubor takových prostředků) dosud nebyl vynalezen.
3. Cílené útoky probíhají zpravidla v několika fázích. Překonání perimetru je pouze jednou z počátečních fází, která (můžete po mě házet kameny) nezpůsobí „oběti“ velké škody, pokud se ovšem nejedná o útok DEoS (Destruction of service) (šifrovače atd.). .). Skutečná „bolest“ začíná později, když se ukořistěné prostředky začnou používat k otáčení a rozvíjení „hloubkového“ útoku, a toho jsme si nevšimli.
4. Vzhledem k tomu, že začínáme trpět skutečnými ztrátami, když se útočníci konečně dostanou k cílům útoku (aplikační servery, DBMS, datové sklady, úložiště, prvky kritické infrastruktury), je logické, že jedním z úkolů služby informační bezpečnosti je přerušit útoky před tuto smutnou událost. Ale abyste něco přerušili, musíte se o tom nejprve dozvědět. A čím dříve, tím lépe.
5. V souladu s tím je pro úspěšné řízení rizik (to znamená snížení škod způsobených cílenými útoky) klíčové mít nástroje, které zajistí minimální TTD (čas k detekci – doba od okamžiku narušení do okamžiku detekce útoku). V závislosti na odvětví a regionu je toto období v průměru 99 dní v USA, 106 dní v regionu EMEA, 172 dní v regionu APAC (M-Trends 2017, Pohled z předních linií, Mandiant).
6. Co trh nabízí?
   • "pískoviště". Další preventivní kontrola, která má k ideálu daleko. Existuje mnoho účinných technik pro detekci a obcházení sandboxů nebo řešení whitelistingu. Kluci z „temné strany“ jsou zde stále o krok napřed.
   • UEBA (systémy pro profilování chování a identifikaci odchylek) - teoreticky, může být velmi efektivní. Ale podle mého názoru je to někdy ve vzdálené budoucnosti. V praxi je to stále velmi drahé, nespolehlivé a vyžaduje to velmi vyspělou a stabilní infrastrukturu IT a informační bezpečnosti, která již má všechny nástroje, které budou generovat data pro analýzu chování.
   • SIEM je dobrý nástroj pro vyšetřování, ale není schopen včas vidět a ukázat něco nového a originálního, protože pravidla korelace jsou stejná jako podpisy.

7. V důsledku toho existuje potřeba nástroje, který by:
   • úspěšně pracoval v podmínkách již ohroženého perimetru,
   • detekoval úspěšné útoky téměř v reálném čase, bez ohledu na použité nástroje a zranitelnosti,
   • nezáviselo na podpisech/pravidlech/skriptech/zásadách/profilech a dalších statických věcech,
   • nevyžadovalo velké množství dat a jejich zdrojů pro analýzu,
   • by umožnilo definovat útoky nikoli jako nějaké hodnocení rizika jako výsledek práce „nejlepších na světě, patentovaná a tedy uzavřená matematika“, která vyžaduje další vyšetřování, ale prakticky jako binární událost – „Ano, jsme napadeni“ nebo „Ne, vše je v pořádku“,
   • byl univerzální, efektivně škálovatelný a proveditelný pro implementaci v jakémkoli heterogenním prostředí, bez ohledu na použitou fyzickou a logickou topologii sítě.

O roli takového nástroje se nyní perou takzvaná klamná řešení. Tedy řešení založená na starém dobrém konceptu honeypotů, ale s úplně jinou úrovní implementace. Toto téma je nyní rozhodně na vzestupu.

Podle výsledků Summit managementu Gartner Security&Risc 2017 Řešení podvodů jsou zařazena mezi TOP 3 strategie a nástroje, které je doporučeno používat.

Podle zprávy TAG Cybersecurity Annual 2017 Podvod je jedním z hlavních směrů vývoje řešení IDS Intrusion Detection Systems).

Celá část toho druhého Zpráva Cisco o stavu bezpečnosti IT, věnovaný SCADA, vychází z dat jednoho z lídrů na tomto trhu, TrapX Security (Izrael), jehož řešení v naší testovací oblasti funguje již rok.

TrapX Deception Grid vám umožňuje centrálně zpoplatnit a provozovat masivně distribuované IDS, aniž by se zvyšovalo licenční zatížení a požadavky na hardwarové zdroje. TrapX je ve skutečnosti konstruktér, který vám umožňuje vytvořit z prvků stávající IT infrastruktury jeden velký mechanismus pro detekci útoků v celopodnikovém měřítku, jakýsi distribuovaný síťový „alarm“.

Struktura řešení

V naší laboratoři neustále studujeme a testujeme různé nové produkty v oblasti IT bezpečnosti. V současné době je zde nasazeno asi 50 různých virtuálních serverů, včetně komponent TrapX Deception Grid.

Takže odshora dolů:

1. TSOC (TrapX Security Operation Console) je mozkem systému. Jedná se o konzolu centrální správy, jejímž prostřednictvím se provádí konfigurace, nasazení řešení a veškeré každodenní operace. Jelikož se jedná o webovou službu, lze ji nasadit kdekoli – na perimetru, v cloudu nebo u poskytovatele MSSP.
2. TrapX Appliance (TSA) je virtuální server, do kterého připojujeme pomocí trunk portu ty podsítě, které chceme pokrýt monitorováním. Také zde skutečně „žijí“ všechny naše síťové senzory.

   V naší laboratoři je nasazeno jedno TSA (mwsapp1), ale ve skutečnosti jich může být mnoho. To může být nutné ve velkých sítích, kde neexistuje L2 konektivita mezi segmenty (typickým příkladem je „Holding a dceřiné společnosti“ nebo „Ústředí banky a pobočky“) nebo pokud má síť izolované segmenty, například automatizované systémy řízení procesů. V každé takové pobočce/segmentu můžete nasadit vlastní TSA a připojit jej k jedinému TSOC, kde budou všechny informace centrálně zpracovávány. Tato architektura umožňuje budovat distribuované monitorovací systémy bez nutnosti radikálně restrukturalizovat síť nebo narušovat stávající segmentaci.

   Také můžeme odeslat kopii odchozího provozu do TSA prostřednictvím TAP/SPAN. Pokud zjistíme spojení se známými botnety, příkazovými a řídicími servery nebo relacemi TOR, obdržíme výsledek také do konzole. Za to je zodpovědný Network Intelligence Sensor (NIS). V našem prostředí je tato funkcionalita implementována na firewallu, proto jsme ji zde nepoužili.

3. Application Traps (Full OS) – tradiční honeypoty založené na Windows serverech. Nepotřebujete jich mnoho, protože hlavním účelem těchto serverů je poskytovat IT služby další vrstvě senzorů nebo detekovat útoky na podnikové aplikace, které mohou být nasazeny v prostředí Windows. Jeden takový server máme nainstalován v naší laboratoři (FOS01)

   

4. Emulované pasti jsou hlavní součástí řešení, které nám umožňuje pomocí jediného virtuálního stroje vytvořit velmi husté „minové pole“ pro útočníky a nasytit podnikovou síť, všechny její vlany, našimi senzory. Útočník vidí takový senzor nebo fantomového hostitele jako skutečný Windows PC nebo server, Linux server nebo jiné zařízení, které se mu rozhodneme ukázat.

   
   
   Pro dobro obchodu a pro zajímavost jsme nasadili „pár z každého tvora“ – Windows PC a servery různých verzí, linuxové servery, bankomat s Windows embedded, SWIFT Web Access, síťovou tiskárnu, Cisco přepínač, IP kameru Axis, MacBook, PLC zařízení a dokonce i chytrou žárovku. Celkem je zde 13 hostitelů. Obecně platí, že prodejce doporučuje nasadit takové senzory v množství alespoň 10 % z počtu skutečných hostitelů. Horní lišta je dostupný adresní prostor.

   Velmi důležitým bodem je, že každý takový hostitel není plnohodnotným virtuálním strojem, který vyžaduje prostředky a licence. Jedná se o návnadu, emulaci, jeden proces na TSA, který má sadu parametrů a IP adresu. S pomocí byť jednoho TSA tedy můžeme saturovat síť stovkami takových fantomových hostitelů, kteří budou fungovat jako senzory v zabezpečovacím systému. Právě tato technologie umožňuje nákladově efektivní škálování konceptu honeypotu napříč jakýmkoli velkým distribuovaným podnikem.

   Z pohledu útočníka jsou tito hostitelé atraktivní, protože obsahují zranitelnosti a zdají se být relativně snadnými cíli. Útočník vidí služby na těchto hostitelích a může s nimi interagovat a útočit na ně pomocí standardních nástrojů a protokolů (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus atd.). Ale je nemožné použít tyto hostitele k vývoji útoku nebo spuštění vlastního kódu.

5. Kombinace těchto dvou technologií (FullOS a emulované pasti) nám umožňuje dosáhnout vysoké statistické pravděpodobnosti, že útočník dříve či později narazí na nějaký prvek naší signalizační sítě. Jak ale můžeme zajistit, aby se tato pravděpodobnost blížila 100 %?

   Do bitvy vstupují takzvané žetony podvodu. Díky nim můžeme do našeho distribuovaného IDS zahrnout všechna stávající PC a servery podniku. Tokeny jsou umístěny na skutečných počítačích uživatelů. Je důležité pochopit, že tokeny nejsou agenty, kteří spotřebovávají zdroje a mohou způsobit konflikty. Tokeny jsou pasivní informační prvky, jakési „drobky“ pro útočící stranu, které ji zavedou do pasti. Například mapované síťové disky, záložky falešným webovým administrátorům v prohlížeči a uložená hesla pro ně, uložené relace ssh/rdp/winscp, naše pasti s komentáři v souborech hostitelů, hesla uložená v paměti, přihlašovací údaje neexistujících uživatelů, kancelář soubory, otevření, které spustí systém, a mnoho dalšího. Útočníka tak umístíme do zdeformovaného prostředí, prosyceného útočnými vektory, které pro nás ve skutečnosti nepředstavují hrozbu, spíše naopak. A nemá jak určit, kde jsou informace pravdivé a kde nepravdivé. Zajistíme tak nejen rychlou detekci útoku, ale také výrazně zpomalíme jeho průběh.

Příklad vytvoření síťové pasti a nastavení tokenů. Přátelské rozhraní a žádné ruční úpravy konfigurací, skriptů atd.

V našem prostředí jsme nakonfigurovali a umístili řadu takových tokenů na FOS01 s Windows Server 2012R2 a testovací PC s Windows 7. Na těchto strojích běží RDP a pravidelně je „zavěšujeme“ do DMZ, kde je řada našich senzorů (emulované pasti) jsou také zobrazeny. Takže máme neustálý proud incidentů, přirozeně, abych tak řekl.

Zde je tedy několik rychlých statistik za rok:

56 208 – zaznamenaných incidentů,
2 912 – zjištěno hostitelské zdroje útoku.

Interaktivní útočná mapa s možností kliknutí

Řešení zároveň negeneruje nějaký megalog nebo event feed, jehož pochopení trvá dlouho. Místo toho samotné řešení klasifikuje události podle jejich typů a umožňuje týmu pro bezpečnost informací zaměřit se především na ty nejnebezpečnější – když se útočník snaží vyvolat kontrolní relace (interakce) nebo když se v našem provozu objeví binární užitečné zatížení (infekce).

Veškeré informace o akcích jsou čitelné a podané dle mého názoru snadno srozumitelnou formou i pro uživatele se základními znalostmi v oblasti informační bezpečnosti.

Většina zaznamenaných incidentů jsou pokusy o skenování našich hostitelů nebo jednotlivých připojení.

Nebo pokusy o hrubou sílu hesel pro RDP

Objevily se ale i zajímavější případy, zejména když se útočníkům „podařilo“ uhodnout heslo pro RDP a získat přístup do lokální sítě.

Útočník se pokusí spustit kód pomocí psexec.

Útočník našel uloženou relaci, která ho zavedla do pasti v podobě linuxového serveru. Ihned po připojení se pomocí jedné předem připravené sady příkazů pokusil zničit všechny soubory protokolu a odpovídající systémové proměnné.

Útočník se pokusí provést vložení SQL na honeypot, který napodobuje SWIFT Web Access.

Kromě těchto „přirozených“ útoků jsme také provedli řadu vlastních testů. Jedním z nejvíce odhalujících je testování doby detekce síťového červa v síti. K tomu jsme použili nástroj od GuardiCore tzv Infekce opice. Jedná se o síťový červ, který dokáže unést Windows a Linux, ale bez jakékoli „užitné zátěže“.
Nasadili jsme místní velitelské centrum, spustili první instanci červa na jednom ze strojů a za méně než minutu a půl jsme obdrželi první výstrahu v konzole TrapX. TTD v průměru 90 sekund oproti 106 dnům...

Díky možnosti integrace s jinými třídami řešení můžeme přejít od pouhé rychlé detekce hrozeb k automatické reakci na ně.

Například integrace se systémy NAC (Network Access Control) nebo s CarbonBlack vám umožní automaticky odpojit napadená PC od sítě.

Integrace s karanténami umožňuje automatické odesílání souborů zapojených do útoku k analýze.

Integrace McAfee

Řešení má také svůj vlastní vestavěný systém korelace událostí.

S jeho možnostmi jsme ale nebyli spokojeni, a tak jsme jej integrovali s HP ArcSight.

Vestavěný ticketingový systém pomáhá celému světu vyrovnat se s odhalenými hrozbami.

Vzhledem k tomu, že řešení bylo vyvinuto „od začátku“ pro potřeby vládních agentur a velkého firemního segmentu, přirozeně implementuje model přístupu založený na rolích, integraci s AD, vyvinutý systém reportů a spouštěčů (upozornění na události), orchestraci pro velké holdingové struktury nebo poskytovatelé MSPP.

Místo životopisu

Pokud existuje takový monitorovací systém, který nám, obrazně řečeno, kryje záda, tak kompromisem perimetru vše teprve začíná. Nejdůležitější je, aby existovala skutečná příležitost řešit incidenty informační bezpečnosti, a ne řešit jejich důsledky.

Zdroj: www.habr.com