Twll fel offeryn diogelwch - 2, neu sut i ddal APT "ar abwyd byw"

(diolch i Sergey G. Brester am y syniad teitl sebres)

Cydweithwyr, pwrpas yr erthygl hon yw rhannu profiad gweithrediad prawf blwyddyn o hyd o ddosbarth newydd o atebion IDS yn seiliedig ar dechnolegau Twyll.

Er mwyn cynnal cydlyniad rhesymegol cyflwyniad y deunydd, rwyf o'r farn bod angen dechrau gyda'r safle. Felly, y broblem:

1. Ymosodiadau wedi'u targedu yw'r math mwyaf peryglus o ymosodiad, er gwaethaf y ffaith bod eu cyfran yng nghyfanswm nifer y bygythiadau yn fach.
2. Nid oes unrhyw ddull effeithiol gwarantedig o ddiogelu'r perimedr (neu set o ddulliau o'r fath) wedi'i ddyfeisio eto.
3. Fel rheol, mae ymosodiadau wedi'u targedu yn digwydd mewn sawl cam. Dim ond un o'r camau cychwynnol yw goresgyn y perimedr, nad yw (gallwch chi daflu cerrig ataf) yn achosi llawer o niwed i'r “dioddefwr”, oni bai, wrth gwrs, ei fod yn ymosodiad DEoS (Difa gwasanaeth) (amgryptio, ac ati). .). Mae’r “boen” go iawn yn dechrau yn ddiweddarach, pan fydd yr asedau a ddaliwyd yn dechrau cael eu defnyddio ar gyfer pivotio a datblygu ymosodiad “dyfnder”, ac ni wnaethom sylwi ar hyn.
4. Ers i ni ddechrau dioddef colledion gwirioneddol pan fydd ymosodwyr o'r diwedd yn cyrraedd targedau'r ymosodiad (gweinyddwyr cais, DBMS, warysau data, ystorfeydd, elfennau seilwaith hanfodol), mae'n rhesymegol mai un o dasgau'r gwasanaeth diogelwch gwybodaeth yw torri ar draws ymosodiadau o'r blaen y digwyddiad trist hwn. Ond er mwyn torri ar draws rhywbeth, mae'n rhaid i chi ddarganfod amdano yn gyntaf. A gorau po gyntaf, gorau oll.
5. Yn unol â hynny, ar gyfer rheoli risg yn llwyddiannus (hynny yw, lleihau difrod o ymosodiadau wedi'u targedu), mae'n hanfodol cael offer a fydd yn darparu isafswm TTD (amser i ganfod - yr amser o'r eiliad o ymwthiad i'r eiliad y canfyddir yr ymosodiad). Yn dibynnu ar y diwydiant a'r rhanbarth, mae'r cyfnod hwn ar gyfartaledd yn 99 diwrnod yn yr Unol Daleithiau, 106 diwrnod yn rhanbarth EMEA, 172 diwrnod yn rhanbarth APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
6. Beth mae'r farchnad yn ei gynnig?
   • "Blychau tywod". Rheolaeth ataliol arall, sydd ymhell o fod yn ddelfrydol. Mae yna lawer o dechnegau effeithiol ar gyfer canfod a osgoi blychau tywod neu atebion rhestr wen. Mae’r bois o’r “ochr dywyll” dal un cam ar y blaen yma.
   • UEBA (systemau ar gyfer proffilio ymddygiad a nodi gwyriadau) - mewn theori, gall fod yn effeithiol iawn. Ond, yn fy marn i, mae hyn rywbryd yn y dyfodol pell. Yn ymarferol, mae hyn yn dal yn ddrud iawn, yn annibynadwy ac mae angen seilwaith TG a diogelwch gwybodaeth aeddfed a sefydlog iawn, sydd eisoes â'r holl offer a fydd yn cynhyrchu data ar gyfer dadansoddi ymddygiad.
   • Mae SIEM yn arf da ar gyfer ymchwiliadau, ond nid yw'n gallu gweld a dangos rhywbeth newydd a gwreiddiol mewn modd amserol, oherwydd mae'r rheolau cydberthynas yr un fath â llofnodion.

7. O ganlyniad, mae angen offeryn a fyddai'n:
   • gweithio'n llwyddiannus o dan amodau perimedr sydd eisoes dan fygythiad,
   • canfod ymosodiadau llwyddiannus mewn amser real bron, waeth beth fo'r offer a'r gwendidau a ddefnyddiwyd,
   • ddim yn dibynnu ar lofnodion/rheolau/sgriptiau/polisïau/profiliau a phethau statig eraill,
   • nad oedd angen llawer iawn o ddata a'u ffynonellau i'w dadansoddi,
   • yn caniatáu i ymosodiadau gael eu diffinio nid fel rhyw fath o sgorio risg o ganlyniad i waith “y gorau yn y byd, mathemateg batent ac felly caeedig”, sy'n gofyn am ymchwiliad ychwanegol, ond yn ymarferol fel digwyddiad deuaidd - “Ie, mae rhywun yn ymosod arnon ni” neu “Na, mae popeth yn iawn”,
   • yn gyffredinol, yn raddadwy yn effeithlon ac yn ymarferol i'w weithredu mewn unrhyw amgylchedd heterogenaidd, waeth beth fo'r topoleg rhwydwaith ffisegol a rhesymegol a ddefnyddiwyd.

Mae datrysiadau twyll fel y'u gelwir bellach yn cystadlu am rôl offeryn o'r fath. Hynny yw, atebion yn seiliedig ar yr hen gysyniad da o botiau mêl, ond gyda lefel hollol wahanol o weithredu. Mae'r pwnc hwn yn bendant ar gynnydd nawr.

Yn ôl y canlyniadau Uwchgynhadledd rheoli Gartner Security & Risc 2017 Mae atebion twyll wedi'u cynnwys yn y 3 strategaeth ac offer TOP yr argymhellir eu defnyddio.

Yn ôl yr adroddiad Seiberddiogelwch TAG Blynyddol 2017 Twyll yw un o'r prif gyfeiriadau ar gyfer datblygu datrysiadau Systemau Canfod Ymyrraeth IDS.

Rhan gyfan o'r olaf Adroddiad Cisco ar Gyflwr Diogelwch TG, sy'n ymroddedig i SCADA, yn seiliedig ar ddata gan un o'r arweinwyr yn y farchnad hon, TrapX Security (Israel), y mae ei ddatrysiad wedi bod yn gweithio yn ein maes prawf ers blwyddyn.

Mae Grid Twyll TrapX yn caniatáu ichi gostio a gweithredu IDS sydd wedi'i ddosbarthu'n aruthrol yn ganolog, heb gynyddu'r llwyth trwyddedu a'r gofynion ar gyfer adnoddau caledwedd. Mewn gwirionedd, mae TrapX yn adeiladwr sy'n eich galluogi i greu o elfennau o'r seilwaith TG presennol un mecanwaith mawr ar gyfer canfod ymosodiadau ar raddfa menter gyfan, math o “larwm” rhwydwaith gwasgaredig.

Strwythur Ateb

Yn ein labordy rydym yn gyson yn astudio ac yn profi cynhyrchion newydd amrywiol ym maes diogelwch TG. Ar hyn o bryd, mae tua 50 o weinyddion rhithwir gwahanol yn cael eu defnyddio yma, gan gynnwys cydrannau Grid Twyll TrapX.

Felly, o'r top i'r gwaelod:

1. TSOC (TrapX Security Operation Console) yw ymennydd y system. Dyma'r consol rheoli canolog ar gyfer cyflunio, defnyddio'r datrysiad a'r holl weithrediadau o ddydd i ddydd. Gan mai gwasanaeth gwe yw hwn, gellir ei ddefnyddio yn unrhyw le - ar y perimedr, yn y cwmwl neu mewn darparwr MSSP.
2. Mae TrapX Appliance (TSA) yn weinydd rhithwir yr ydym yn cysylltu ag ef, gan ddefnyddio'r prif borthladd, yr is-rwydweithiau hynny yr ydym am eu gorchuddio â monitro. Hefyd, mae ein holl synwyryddion rhwydwaith yn “byw” yma mewn gwirionedd.

   Mae gan ein labordy un TSA (mwsapp1), ond mewn gwirionedd gallai fod llawer. Gall hyn fod yn angenrheidiol mewn rhwydweithiau mawr lle nad oes cysylltedd L2 rhwng segmentau (enghraifft nodweddiadol yw “Holding and subsidies” neu “Prif swyddfa a changhennau banc”) neu os oes gan y rhwydwaith segmentau ynysig, er enghraifft, systemau rheoli prosesau awtomataidd. Ym mhob cangen/segment o'r fath, gallwch ddefnyddio eich TSA eich hun a'i gysylltu ag un TSOC, lle bydd yr holl wybodaeth yn cael ei phrosesu'n ganolog. Mae'r bensaernïaeth hon yn caniatáu ichi adeiladu systemau monitro gwasgaredig heb yr angen i ailstrwythuro'r rhwydwaith yn radical nac amharu ar segmentu presennol.

   Hefyd, gallwn gyflwyno copi o draffig sy'n mynd allan i TSA trwy TAP/SPAN. Os byddwn yn canfod cysylltiadau â botnets hysbys, gweinyddwyr gorchymyn a rheoli, neu sesiynau TOR, byddwn hefyd yn derbyn y canlyniad yn y consol. Synhwyrydd Gwybodaeth Rhwydwaith (NIS) sy'n gyfrifol am hyn. Yn ein hamgylchedd, gweithredir y swyddogaeth hon ar y wal dân, felly ni wnaethom ei ddefnyddio yma.

3. Trapiau Cymwysiadau (System Weithredu Llawn) – potiau mêl traddodiadol yn seiliedig ar Windows-gweinyddion. Nid oes angen llawer ohonynt, gan mai prif bwrpas y gweinyddion hyn yw darparu gwasanaethau TG i'r haen nesaf o synwyryddion neu ganfod ymosodiadau ar gymwysiadau busnes a allai gael eu defnyddio yn Windows-Dydd Mercher. Mae gennym un gweinydd o'r fath (FOS01) wedi'i osod yn ein labordy.

   

4. Trapiau efelychiedig yw elfen graidd y datrysiad, gan ganiatáu inni greu maes mwyngloddiau dwys iawn ar gyfer ymosodwyr gan ddefnyddio un peiriant rhithwir a gorlenwi rhwydwaith y fenter, gan gynnwys ei holl VLANs, gyda'n synwyryddion. Mae'r ymosodwr yn gweld synhwyrydd o'r fath, neu westeiwr ffug, fel un go iawn. Windows Cyfrifiadur personol neu weinydd, Linux gweinydd neu ddyfais arall yr ydym yn penderfynu ei dangos.

   
   
   Er mwyn busnes a chwilfrydedd, fe wnaethon ni ddefnyddio “pâr o bob creadur” - Windows Cyfrifiaduron personol a gweinyddion o wahanol fersiynau, Linux-gweinyddion, peiriant ATM Windows wedi'i fewnosod, SWIFT Web Access, argraffydd rhwydwaith, switsh Cisco, camera IP Axis, MacBook, dyfais PLC, a hyd yn oed bylbiau golau clyfar. Dyna gyfanswm o 13 gwesteiwr. Yn gyffredinol, mae'r gwerthwr yn argymell defnyddio synwyryddion o'r fath ar gyfer o leiaf 10% o gyfanswm y gwesteiwyr gwirioneddol. Y terfyn uchaf yw'r gofod cyfeiriadau sydd ar gael.

   Pwynt pwysig iawn yw nad yw pob gwesteiwr o'r fath yn beiriant rhithwir llawn sy'n gofyn am adnoddau a thrwyddedau. Mae hwn yn ddecoy, efelychiad, un broses ar y TSA, sydd â set o baramedrau a chyfeiriad IP. Felly, gyda chymorth hyd yn oed un TSA, gallwn ddirlawn y rhwydwaith gyda channoedd o westeion ffug o'r fath, a fydd yn gweithio fel synwyryddion yn y system larwm. Y dechnoleg hon sy'n ei gwneud hi'n bosibl graddio'r cysyniad pot mêl yn gost-effeithiol ar draws unrhyw fenter ddosbarthedig fawr.

   O safbwynt ymosodwr, mae'r gwesteiwyr hyn yn ddeniadol oherwydd eu bod yn cynnwys gwendidau ac yn ymddangos yn dargedau cymharol hawdd. Mae'r ymosodwr yn gweld gwasanaethau ar y gwesteiwyr hyn a gall ryngweithio â nhw ac ymosod arnynt gan ddefnyddio offer a phrotocolau safonol (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, ac ati). Ond mae'n amhosibl defnyddio'r gwesteiwyr hyn i ddatblygu ymosodiad neu redeg eich cod eich hun.

5. Mae'r cyfuniad o'r ddwy dechnoleg hyn (FullOS a thrapiau wedi'u hefelychu) yn ein galluogi i gyflawni tebygolrwydd ystadegol uchel y bydd ymosodwr yn dod ar draws rhyw elfen o'n rhwydwaith signalau yn hwyr neu'n hwyrach. Ond sut gallwn ni sicrhau bod y tebygolrwydd hwn yn agos at 100%?

   Mae'r tocynnau Twyll fel y'u gelwir yn mynd i mewn i'r frwydr. Diolch iddynt, gallwn gynnwys holl gyfrifiaduron personol a gweinyddwyr y fenter yn ein IDS dosbarthedig. Rhoddir tocynnau ar gyfrifiaduron personol go iawn defnyddwyr. Mae'n bwysig deall nad yw tocynnau yn gyfryngau sy'n defnyddio adnoddau ac yn gallu achosi gwrthdaro. Mae tocynnau yn elfennau gwybodaeth goddefol, math o “briwsion bara” ar gyfer yr ochr ymosod sy'n ei arwain i mewn i fagl. Er enghraifft, gyriannau rhwydwaith wedi'u mapio, nodau tudalen i weinyddwyr gwe ffug yn y porwr a chyfrineiriau wedi'u cadw ar eu cyfer, sesiynau ssh/rdp/winscp wedi'u cadw, ein trapiau gyda sylwadau mewn ffeiliau gwesteiwr, cyfrineiriau wedi'u cadw yn y cof, manylion defnyddwyr nad ydynt yn bodoli, swyddfa ffeiliau, agor a fydd yn sbarduno'r system, a llawer mwy. Felly, rydyn ni'n gosod yr ymosodwr mewn amgylchedd ystumiedig, yn dirlawn â fectorau ymosodiad nad ydyn nhw mewn gwirionedd yn fygythiad i ni, ond yn hytrach i'r gwrthwyneb. Ac nid oes ganddo unrhyw ffordd i benderfynu lle mae'r wybodaeth yn wir a lle mae'n ffug. Felly, rydym nid yn unig yn sicrhau bod ymosodiad yn cael ei ganfod yn gyflym, ond hefyd yn arafu ei gynnydd yn sylweddol.

Enghraifft o greu trap rhwydwaith a gosod tocynnau. Rhyngwyneb cyfeillgar a dim golygu â llaw o gyfluniadau, sgriptiau, ac ati.

Yn ein hamgylchedd ni, rydym wedi ffurfweddu a defnyddio nifer o docynnau o'r fath ar FOS01 dan reolaeth Windows Server 2012R2 a chyfrifiadur prawf o dan Windows 7. Mae'r peiriannau hyn yn rhedeg RDP, ac rydym yn eu "hongian" yn y DMZ o bryd i'w gilydd, lle mae nifer o'n synwyryddion (trapiau efelychiedig) hefyd wedi'u lleoli. Fel hyn, rydym yn derbyn llif cyson o ddigwyddiadau, fel petai, yn naturiol.

Felly, dyma rai ystadegau cyflym ar gyfer y flwyddyn:

56 – digwyddiadau a gofnodwyd,
2 - gwesteiwyr ffynhonnell ymosodiad wedi'u canfod.

Map ymosodiad rhyngweithiol y gellir ei glicio

Ar yr un pryd, nid yw'r ateb yn cynhyrchu rhyw fath o mega-log neu borthiant digwyddiadau, sy'n cymryd amser hir i'w ddeall. Yn lle hynny, mae'r ateb ei hun yn dosbarthu digwyddiadau yn ôl eu mathau ac yn caniatáu i'r tîm diogelwch gwybodaeth ganolbwyntio'n bennaf ar y rhai mwyaf peryglus - pan fydd yr ymosodwr yn ceisio codi sesiynau rheoli (rhyngweithio) neu pan fydd llwythi tâl deuaidd (haint) yn ymddangos yn ein traffig.

Mae'r holl wybodaeth am ddigwyddiadau yn ddarllenadwy ac yn cael ei chyflwyno, yn fy marn i, ar ffurf hawdd ei deall hyd yn oed i ddefnyddiwr sydd â gwybodaeth sylfaenol ym maes diogelwch gwybodaeth.

Ymdrechion i sganio ein gwesteiwyr neu gysylltiadau sengl yw'r rhan fwyaf o'r digwyddiadau a gofnodwyd.

Neu ymdrechion i gyfrineiriau 'n Ysgrublaidd ar gyfer RDP

Ond roedd yna achosion mwy diddorol hefyd, yn enwedig pan lwyddodd ymosodwyr i ddyfalu'r cyfrinair ar gyfer RDP a chael mynediad i'r rhwydwaith lleol.

Mae ymosodwr yn ceisio gweithredu cod gan ddefnyddio psexec.

Daeth yr ymosodwr o hyd i sesiwn wedi'i chadw a'i harweiniodd i fagl ar ffurf Linux-gweinydd. Yn syth ar ôl cysylltu, gan ddefnyddio un set o orchmynion wedi'u paratoi ymlaen llaw, ceisiodd ddinistrio'r holl ffeiliau log a'r newidynnau system cyfatebol.

Mae ymosodwr yn ceisio perfformio chwistrelliad SQL ar bot mêl sy'n dynwared SWIFT Web Access.

Yn ogystal ag ymosodiadau “naturiol” o’r fath, fe wnaethom hefyd gynnal nifer o’n profion ein hunain. Un o'r rhai mwyaf dadlennol yw profi amser canfod mwydyn rhwydwaith ar rwydwaith. I wneud hyn fe wnaethom ddefnyddio teclyn gan GuardiCore o'r enw Mwnci HaintMwydyn rhwydwaith yw hwn sy'n gallu dal Windows и Linux, ond heb unrhyw lwyth “defnyddiol”.
Fe wnaethom ddefnyddio canolfan orchymyn leol, lansio'r lle cyntaf o'r mwydyn ar un o'r peiriannau, a derbyn y rhybudd cyntaf yn y consol TrapX mewn llai na munud a hanner. TTD 90 eiliad yn erbyn 106 diwrnod ar gyfartaledd...

Diolch i'r gallu i integreiddio â dosbarthiadau eraill o atebion, gallwn symud o ddim ond canfod bygythiadau yn gyflym i ymateb yn awtomatig iddynt.

Er enghraifft, bydd integreiddio â systemau NAC (Rheoli Mynediad Rhwydwaith) neu â CarbonBlack yn caniatáu ichi ddatgysylltu cyfrifiaduron personol dan fygythiad o'r rhwydwaith yn awtomatig.

Mae integreiddio â blychau tywod yn caniatáu i ffeiliau sy'n ymwneud ag ymosodiad gael eu cyflwyno'n awtomatig i'w dadansoddi.

Integreiddio McAfee

Mae gan yr ateb hefyd ei system cydberthynas digwyddiad adeiledig ei hun.

Ond nid oeddem yn fodlon â'i alluoedd, felly fe wnaethom ei integreiddio â HP ArcSight.

Mae'r system docynnau adeiledig yn helpu'r byd i gyd i ymdopi â bygythiadau a ganfyddir.

Ers i'r datrysiad gael ei ddatblygu “o'r cychwyn cyntaf” ar gyfer anghenion asiantaethau'r llywodraeth a segment corfforaethol mawr, mae'n naturiol yn gweithredu model mynediad seiliedig ar rôl, integreiddio ag AD, system ddatblygedig o adroddiadau a sbardunau (rhybuddion digwyddiad), offeryniaeth ar gyfer strwythurau daliad mawr neu ddarparwyr MSSP.

Yn lle ailddechrau

Os oes system fonitro o'r fath, sydd, yn ffigurol a siarad, yn gorchuddio ein cefn, yna gyda chyfaddawd y perimedr fel arfer mae popeth yn dechrau. Y peth pwysicaf yw bod cyfle gwirioneddol i ymdrin â digwyddiadau diogelwch gwybodaeth, ac i beidio â delio â'u canlyniadau.

Ffynhonnell: hab.com