Hul som sikkerhedsværktøj – 2, eller hvordan man fanger APT "med levende agn"

(tak til Sergey G. Brester for titelideen sebres)

Kolleger, formålet med denne artikel er at dele erfaringerne fra en årelang testdrift af en ny klasse af IDS-løsninger baseret på Deception-teknologier.

For at bevare den logiske sammenhæng i præsentationen af ​​materialet, anser jeg det for nødvendigt at tage udgangspunkt i præmisserne. Så problemet:

1. Målrettede angreb er den farligste type angreb, på trods af at deres andel af det samlede antal trusler er lille.
2. Ingen garanteret effektive midler til at beskytte omkredsen (eller et sæt af sådanne midler) er endnu blevet opfundet.
3. Som regel foregår målrettede angreb i flere faser. At overvinde perimeteren er kun et af de indledende stadier, som (du kan kaste sten efter mig) ikke forårsager meget skade på "offeret", medmindre det selvfølgelig er et DEoS (Destruction of service) angreb (krypteringer osv. .). Den virkelige "smerte" begynder senere, når de erobrede aktiver begynder at blive brugt til at dreje og udvikle et "dybde" angreb, og vi har ikke bemærket dette.
4. Da vi begynder at lide reelle tab, når angribere endelig når målene for angrebet (applikationsservere, DBMS, datavarehuse, repositories, kritiske infrastrukturelementer), er det logisk, at en af ​​informationssikkerhedstjenestens opgaver er at afbryde angreb før denne triste begivenhed. Men for at afbryde noget, skal du først finde ud af det. Og jo før, jo bedre.
5. I overensstemmelse hermed er det afgørende for en vellykket risikostyring (det vil sige at reducere skader fra målrettede angreb), at have værktøjer, der vil give et minimum af TTD (tid til detektion - tiden fra tidspunktet for indtrængen til det øjeblik, angrebet detekteres). Afhængigt af industrien og regionen er denne periode i gennemsnit 99 dage i USA, 106 dage i EMEA-regionen, 172 dage i APAC-regionen (M-Trends 2017, A View From the Front Lines, Mandiant).
6. Hvad tilbyder markedet?
   • "Sandkasser". Endnu en forebyggende kontrol, som langt fra er ideel. Der er mange effektive teknikker til at opdage og omgå sandkasser eller hvidlisteløsninger. Fyrene fra "den mørke side" er stadig et skridt foran her.
   • UEBA (systemer til profilering af adfærd og identifikation af afvigelser) - i teorien kan være meget effektive. Men efter min mening ligger dette engang i en fjern fremtid. I praksis er dette stadig meget dyrt, upålideligt og kræver en meget moden og stabil it- og informationssikkerhedsinfrastruktur, som allerede har alle de værktøjer, der skal generere data til adfærdsanalyse.
   • SIEM er et godt værktøj til undersøgelser, men det er ikke i stand til at se og vise noget nyt og originalt rettidigt, fordi korrelationsreglerne er det samme som signaturer.

7. Som følge heraf er der behov for et værktøj, der kan:
   • med succes arbejdet under forhold med en allerede kompromitteret omkreds,
   • opdagede vellykkede angreb i næsten realtid, uanset de anvendte værktøjer og sårbarheder,
   • var ikke afhængig af signaturer/regler/scripts/politikker/profiler og andre statiske ting,
   • ikke krævede store mængder data og deres kilder til analyse,
   • ville gøre det muligt at definere angreb ikke som en form for risikoscoring som et resultat af arbejdet fra "de bedste i verden, patenteret og derfor lukket matematik", hvilket kræver yderligere undersøgelse, men praktisk talt som en binær begivenhed - "Ja, vi bliver angrebet" eller "Nej, alt er i orden",
   • var universel, effektivt skalerbar og gennemførlig at implementere i ethvert heterogent miljø, uanset den anvendte fysiske og logiske netværkstopologi.

Såkaldte bedrageriløsninger kappes nu om rollen som et sådant værktøj. Det vil sige løsninger baseret på det gode gamle koncept med honeypots, men med et helt andet implementeringsniveau. Dette emne er helt klart stigende nu.

Ifølge resultaterne Gartner Security&Risc management topmøde 2017 Bedragsløsninger er inkluderet i TOP 3 strategier og værktøjer, der anbefales at blive brugt.

Ifølge rapporten TAG Cybersecurity Annual 2017 Bedrag er en af ​​hovedretningerne i udviklingen af ​​IDS Intrusion Detection Systems) løsninger.

Et helt afsnit af sidstnævnte Cisco State of IT-sikkerhedsrapport, dedikeret til SCADA, er baseret på data fra en af ​​lederne på dette marked, TrapX Security (Israel), hvis løsning har fungeret i vores testområde i et år.

TrapX Deception Grid giver dig mulighed for at koste og drive massivt distribueret IDS centralt uden at øge licensbelastningen og kravene til hardwareressourcer. Faktisk er TrapX en konstruktør, der giver dig mulighed for ud fra elementer af den eksisterende it-infrastruktur at skabe én stor mekanisme til at detektere angreb på en virksomhedsomfattende skala, en slags distribueret netværks-"alarm".

Løsningsstruktur

I vores laboratorium studerer og tester vi konstant forskellige nye produkter inden for IT-sikkerhed. I øjeblikket er omkring 50 forskellige virtuelle servere installeret her, inklusive TrapX Deception Grid-komponenter.

Så fra top til bund:

1. TSOC (TrapX Security Operation Console) er hjernen i systemet. Dette er den centrale administrationskonsol, hvorigennem konfiguration, udrulning af løsningen og alle daglige operationer udføres. Da dette er en webservice, kan den implementeres hvor som helst - på perimeteren, i skyen eller hos en MSSP-udbyder.
2. TrapX Appliance (TSA) er en virtuel server, som vi ved hjælp af trunkporten forbinder de undernet, som vi ønsker at dække med overvågning. Desuden "bor" alle vores netværkssensorer faktisk her.

   Vores laboratorium har en TSA installeret (mwsapp1), men i virkeligheden kan der være mange. Dette kan være nødvendigt i store netværk, hvor der ikke er L2-forbindelse mellem segmenter (et typisk eksempel er "Holding og datterselskaber" eller "Bankhovedkontor og filialer"), eller hvis netværket har isolerede segmenter, for eksempel automatiserede processtyringssystemer. I hver sådan gren/segment kan du implementere din egen TSA og forbinde den til en enkelt TSOC, hvor al information vil blive behandlet centralt. Denne arkitektur giver dig mulighed for at bygge distribuerede overvågningssystemer uden at skulle radikalt omstrukturere netværket eller forstyrre eksisterende segmentering.

   Vi kan også sende en kopi af udgående trafik til TSA via TAP/SPAN. Hvis vi opdager forbindelser med kendte botnets, kommando- og kontrolservere eller TOR-sessioner, vil vi også modtage resultatet i konsollen. Network Intelligence Sensor (NIS) er ansvarlig for dette. I vores miljø er denne funktionalitet implementeret på firewallen, så vi har ikke brugt den her.

3. Application Traps (Fuld OS) – traditionelle honeypots baseret på Windows-servere. Du behøver ikke mange af dem, da hovedformålet med disse servere er at levere it-tjenester til det næste lag af sensorer eller opdage angreb på forretningsapplikationer, der kan blive implementeret i et Windows-miljø. Vi har en sådan server installeret i vores laboratorium (FOS01)

   

4. Emulerede fælder er hovedkomponenten i løsningen, som giver os mulighed for, ved hjælp af en enkelt virtuel maskine, at skabe et meget tæt "minefelt" for angribere og mætte virksomhedens netværk, alle dets vlans, med vores sensorer. Angriberen ser sådan en sensor, eller fantomvært, som en rigtig Windows-pc eller -server, Linux-server eller anden enhed, som vi beslutter at vise ham.

   
   
   Til gavn for forretningen og for nysgerrighedens skyld implementerede vi "et par af hvert væsen" - Windows-pc'er og servere i forskellige versioner, Linux-servere, en pengeautomat med indlejret Windows, SWIFT Web Access, en netværksprinter, en Cisco switch, et Axis IP-kamera, en MacBook, PLC-enhed og endda en smart pære. Der er i alt 13 værter. Generelt anbefaler leverandøren at implementere sådanne sensorer i en mængde på mindst 10 % af antallet af rigtige værter. Den øverste bjælke er det tilgængelige adresseområde.

   Et meget vigtigt punkt er, at hver sådan vært ikke er en fuldgyldig virtuel maskine, der kræver ressourcer og licenser. Dette er en lokkedue, emulering, én proces på TSA, som har et sæt parametre og en IP-adresse. Derfor kan vi ved hjælp af blot en TSA mætte netværket med hundredvis af sådanne fantomværter, som vil fungere som sensorer i alarmsystemet. Det er denne teknologi, der gør det muligt omkostningseffektivt at skalere honeypot-konceptet på tværs af enhver stor distribueret virksomhed.

   Fra en angribers synspunkt er disse værter attraktive, fordi de indeholder sårbarheder og ser ud til at være relativt lette mål. Angriberen ser tjenester på disse værter og kan interagere med dem og angribe dem ved hjælp af standardværktøjer og protokoller (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus osv.). Men det er umuligt at bruge disse værter til at udvikle et angreb eller køre din egen kode.

5. Kombinationen af ​​disse to teknologier (FullOS og emulerede fælder) giver os mulighed for at opnå en høj statistisk sandsynlighed for, at en angriber før eller siden vil støde på et eller andet element i vores signalnetværk. Men hvordan kan vi sikre os, at denne sandsynlighed er tæt på 100%?

   De såkaldte Deception-tokens går ind i kampen. Takket være dem kan vi inkludere alle eksisterende pc'er og servere i virksomheden i vores distribuerede IDS. Tokens placeres på brugernes rigtige pc'er. Det er vigtigt at forstå, at tokens ikke er agenter, der forbruger ressourcer og kan forårsage konflikter. Tokens er passive informationselementer, en slags "brødkrummer" for den angribende side, der fører den i en fælde. For eksempel kortlagte netværksdrev, bogmærker til falske webadministratorer i browseren og gemte adgangskoder til dem, gemte ssh/rdp/winscp-sessioner, vores fælder med kommentarer i værtsfiler, adgangskoder gemt i hukommelsen, legitimationsoplysninger for ikke-eksisterende brugere, office filer, åbning som vil udløse systemet og meget mere. Således placerer vi angriberen i et forvrænget miljø, mættet med angrebsvektorer, der faktisk ikke udgør en trussel for os, men snarere det modsatte. Og han har ingen måde at afgøre, hvor oplysningerne er sande, og hvor de er falske. Således sikrer vi ikke kun hurtig opdagelse af et angreb, men bremser også dets fremskridt betydeligt.

Et eksempel på oprettelse af en netværksfælde og opsætning af tokens. Venlig grænseflade og ingen manuel redigering af konfigurationer, scripts osv.

I vores miljø konfigurerede og placerede vi en række sådanne tokens på FOS01, der kører Windows Server 2012R2 og en test-pc, der kører Windows 7. RDP kører på disse maskiner, og vi "hænger" dem med jævne mellemrum i DMZ, hvor en række af vores sensorer (emulerede fælder) vises også. Så vi får en konstant strøm af hændelser, naturligt så at sige.

Så her er nogle hurtige statistikker for året:

56 – hændelser registreret,
2 – angrebskildeværter fundet.

Interaktivt, klikbart angrebskort

Samtidig genererer løsningen ikke en eller anden form for mega-log eller hændelsesfeed, som det tager lang tid at forstå. I stedet klassificerer løsningen selv hændelser efter deres typer og giver informationssikkerhedsteamet mulighed for primært at fokusere på de farligste – når angriberen forsøger at hæve kontrolsessioner (interaktion), eller når binære nyttelaster (infektion) dukker op i vores trafik.

Al information om begivenheder er læsbar og præsenteret efter min mening i en letforståelig form selv for en bruger med grundlæggende viden inden for informationssikkerhed.

De fleste af de registrerede hændelser er forsøg på at scanne vores værter eller enkelte forbindelser.

Eller forsøg på at brute force adgangskoder til RDP

Men der var også mere interessante tilfælde, især når angribere "formåede" at gætte adgangskoden til RDP og få adgang til det lokale netværk.

En angriber forsøger at udføre kode ved hjælp af psexec.

Angriberen fandt en gemt session, som førte ham ind i en fælde i form af en Linux-server. Umiddelbart efter tilslutning forsøgte den med et på forhånd forberedt sæt kommandoer at ødelægge alle logfiler og tilsvarende systemvariabler.

En angriber forsøger at udføre SQL-injektion på en honeypot, der efterligner SWIFT Web Access.

Ud over sådanne "naturlige" angreb udførte vi også en række af vores egne tests. En af de mest afslørende er at teste detektionstiden for en netværksorm på et netværk. For at gøre dette brugte vi et værktøj fra GuardiCore kaldet Infektionsabe. Dette er en netværksorm, der kan kapre Windows og Linux, men uden nogen "nyttelast".
Vi indsatte et lokalt kommandocenter, lancerede den første forekomst af ormen på en af ​​maskinerne og modtog den første advarsel i TrapX-konsollen på mindre end halvandet minut. TTD 90 sekunder versus 106 dage i gennemsnit...

Takket være muligheden for at integrere med andre klasser af løsninger, kan vi gå fra blot at opdage trusler hurtigt til at reagere på dem automatisk.

For eksempel vil integration med NAC-systemer (Network Access Control) eller med CarbonBlack give dig mulighed for automatisk at afbryde kompromitterede pc'er fra netværket.

Integration med sandkasser tillader, at filer, der er involveret i et angreb, automatisk sendes til analyse.

McAfee integration

Løsningen har også sit eget indbyggede hændelseskorrelationssystem.

Men vi var ikke tilfredse med dens muligheder, så vi integrerede den med HP ArcSight.

Det indbyggede billetsystem hjælper hele verden med at håndtere opdagede trusler.

Da løsningen er udviklet "fra starten" til behovene hos offentlige myndigheder og et stort virksomhedssegment, implementerer den naturligvis en rollebaseret adgangsmodel, integration med AD, et udviklet system af rapporter og triggere (event alerts), orkestrering mhp. store holdingstrukturer eller MSSP-udbydere.

I stedet for et CV

Hvis der er et sådant overvågningssystem, som billedligt talt dækker vores ryg, så er alt lige begyndt med omkredsens kompromis. Det vigtigste er, at der er en reel mulighed for at håndtere informationssikkerhedshændelser, og ikke at håndtere deres konsekvenser.

Kilde: www.habr.com