Loch als Sicherheitswerkzeug – 2, oder wie man APT „mit lebendem Köder“ fängt

(Danke an Sergey G. Brester für die Titelidee sebres)

Kolleginnen und Kollegen, der Zweck dieses Artikels besteht darin, die Erfahrungen eines einjährigen Testbetriebs einer neuen Klasse von IDS-Lösungen basierend auf Deception-Technologien zu teilen.

Um die logische Kohärenz der Darstellung des Materials zu wahren, halte ich es für notwendig, mit den Prämissen zu beginnen. Also das Problem:

1. Gezielte Angriffe sind die gefährlichste Angriffsart, auch wenn ihr Anteil an der Gesamtzahl der Bedrohungen gering ist.
2. Es wurde noch kein garantiert wirksames Mittel zum Schutz des Perimeters (oder eine Reihe solcher Mittel) erfunden.
3. Gezielte Angriffe erfolgen in der Regel in mehreren Stufen. Die Überwindung des Perimeters ist nur eine der ersten Phasen, die (Sie können mich mit Steinen bewerfen) dem „Opfer“ keinen großen Schaden zufügt, es sei denn, es handelt sich natürlich um einen DEoS-Angriff (Destruction of Service) (Verschlüsselungsgeräte usw.). .). Der eigentliche „Schmerz“ beginnt später, wenn die erbeuteten Assets zum Schwenken und Entwickeln eines „Tiefen“-Angriffs verwendet werden, und wir haben dies nicht bemerkt.
4. Da wir beginnen, echte Verluste zu erleiden, wenn Angreifer endlich die Angriffsziele (Anwendungsserver, DBMS, Data Warehouses, Repositorys, kritische Infrastrukturelemente) erreichen, ist es logisch, dass eine der Aufgaben des Informationssicherheitsdienstes darin besteht, Angriffe vorher zu unterbrechen dieses traurige Ereignis. Doch um etwas zu unterbrechen, muss man es erst einmal herausfinden. Und je früher, desto besser.
5. Dementsprechend ist es für ein erfolgreiches Risikomanagement (d. h. die Reduzierung des Schadens durch gezielte Angriffe) von entscheidender Bedeutung, über Tools zu verfügen, die eine minimale TTD (Zeit bis zur Erkennung – die Zeit vom Moment des Eindringens bis zur Erkennung des Angriffs) bieten. Je nach Branche und Region beträgt dieser Zeitraum durchschnittlich 99 Tage in den USA, 106 Tage in der EMEA-Region und 172 Tage in der APAC-Region (M-Trends 2017, A View From the Front Lines, Mandiant).
6. Was bietet der Markt?
   • „Sandkästen“. Eine weitere vorbeugende Kontrolle, die alles andere als ideal ist. Es gibt viele wirksame Techniken zum Erkennen und Umgehen von Sandboxes oder Whitelisting-Lösungen. Die Jungs von der „dunklen Seite“ sind hier immer noch einen Schritt voraus.
   • UEBA (Systeme zur Profilierung des Verhaltens und zur Identifizierung von Abweichungen) – kann theoretisch sehr effektiv sein. Aber meiner Meinung nach liegt das irgendwann in ferner Zukunft. In der Praxis ist dies immer noch sehr teuer, unzuverlässig und erfordert eine sehr ausgereifte und stabile IT- und Informationssicherheitsinfrastruktur, die bereits über alle Tools verfügt, die Daten für die Verhaltensanalyse generieren.
   • SIEM ist ein gutes Tool für Untersuchungen, aber es ist nicht in der Lage, etwas Neues und Originelles rechtzeitig zu sehen und anzuzeigen, da die Korrelationsregeln mit denen von Signaturen identisch sind.

7. Daher besteht Bedarf an einem Tool, das:
   • erfolgreich unter Bedingungen eines bereits gefährdeten Perimeters gearbeitet,
   • erfolgreiche Angriffe nahezu in Echtzeit erkennen, unabhängig von den verwendeten Tools und Schwachstellen,
   • hing nicht von Signaturen/Regeln/Skripten/Richtlinien/Profilen und anderen statischen Dingen ab,
   • erforderte keine großen Datenmengen und deren Quellen für die Analyse,
   • würde es ermöglichen, Angriffe nicht als eine Art Risikobewertung als Ergebnis der Arbeit „der weltbesten, patentierten und daher geschlossenen Mathematik“ zu definieren, was zusätzliche Untersuchungen erfordert, sondern praktisch als binäres Ereignis – „Ja, wir werden angegriffen“ oder „Nein, alles ist in Ordnung“,
   • war universell, effizient skalierbar und konnte in jeder heterogenen Umgebung implementiert werden, unabhängig von der verwendeten physischen und logischen Netzwerktopologie.

Um die Rolle eines solchen Tools buhlen inzwischen sogenannte Täuschungslösungen. Also Lösungen, die auf dem guten alten Konzept der Honeypots basieren, aber einen völlig anderen Umsetzungsgrad haben. Dieses Thema ist derzeit definitiv im Kommen.

Nach den Ergebnissen Gartner Security&Risc Management Summit 2017 Täuschungslösungen gehören zu den TOP 3 Strategien und Tools, deren Verwendung empfohlen wird.

Laut der Meldung TAG Cybersecurity Annual 2017 Täuschung ist eine der Hauptrichtungen der Entwicklung von IDS-Intrusion-Detection-Systems-Lösungen.

Ein ganzer Abschnitt des Letzteren Cisco State of IT Security Report, gewidmet SCADA, basiert auf Daten von einem der Marktführer in diesem Markt, TrapX Security (Israel), dessen Lösung in unserem Testbereich seit einem Jahr funktioniert.

Mit TrapX Deception Grid können Sie massiv verteilte IDS zentral kalkulieren und betreiben, ohne die Lizenzlast und den Bedarf an Hardwareressourcen zu erhöhen. Tatsächlich ist TrapX ein Konstruktor, der es Ihnen ermöglicht, aus Elementen der vorhandenen IT-Infrastruktur einen großen Mechanismus zur Erkennung von Angriffen im unternehmensweiten Maßstab zu erstellen, eine Art verteilten Netzwerk-„Alarm“.

Lösungsstruktur

In unserem Labor untersuchen und testen wir ständig verschiedene neue Produkte im Bereich der IT-Sicherheit. Derzeit sind hier etwa 50 verschiedene virtuelle Server im Einsatz, darunter auch TrapX Deception Grid-Komponenten.

Also von oben nach unten:

1. TSOC (TrapX Security Operation Console) ist das Gehirn des Systems. Dabei handelt es sich um die zentrale Verwaltungskonsole, über die die Konfiguration, die Bereitstellung der Lösung und alle alltäglichen Vorgänge ausgeführt werden. Da es sich um einen Webdienst handelt, kann er überall bereitgestellt werden – am Perimeter, in der Cloud oder bei einem MSSP-Anbieter.
2. TrapX Appliance (TSA) ist ein virtueller Server, mit dem wir über den Trunk-Port die Subnetze verbinden, die wir überwachen möchten. Außerdem „leben“ tatsächlich alle unsere Netzwerksensoren hier.

   In unserem Labor ist ein TSA im Einsatz (mwsapp1), aber in Wirklichkeit könnten es mehrere sein. Dies kann in großen Netzwerken erforderlich sein, in denen keine L2-Konnektivität zwischen Segmenten besteht (ein typisches Beispiel ist „Holding und Tochtergesellschaften“ oder „Bankzentrale und Filialen“) oder wenn das Netzwerk über isolierte Segmente verfügt, beispielsweise automatisierte Prozessleitsysteme. In jeder dieser Zweigstellen/Segmente können Sie Ihre eigene TSA einsetzen und diese mit einem einzigen TSOC verbinden, wo alle Informationen zentral verarbeitet werden. Diese Architektur ermöglicht den Aufbau verteilter Überwachungssysteme, ohne dass das Netzwerk radikal umstrukturiert oder die bestehende Segmentierung unterbrochen werden muss.

   Außerdem können wir über TAP/SPAN eine Kopie des ausgehenden Datenverkehrs an die TSA übermitteln. Wenn wir Verbindungen zu bekannten Botnets, Command-and-Control-Servern oder TOR-Sitzungen erkennen, erhalten wir das Ergebnis auch in der Konsole. Verantwortlich dafür ist der Network Intelligence Sensor (NIS). In unserer Umgebung ist diese Funktionalität auf der Firewall implementiert, daher haben wir sie hier nicht genutzt.

3. Anwendungsfallen (Vollständiges Betriebssystem) – traditionelle Honeypots basierend auf Windows-Server. Es werden nicht viele benötigt, da der Hauptzweck dieser Server darin besteht, IT-Dienste für die nächste Sensorebene bereitzustellen oder Angriffe auf Geschäftsanwendungen zu erkennen, die möglicherweise in Windows-Mittwoch. Wir haben einen solchen Server (FOS01) in unserem Labor installiert.

   

4. Emulierte Fallen sind der Kern der Lösung. Sie ermöglichen es uns, mit einer einzigen virtuellen Maschine ein extrem dichtes Minenfeld für Angreifer zu schaffen und das Unternehmensnetzwerk, einschließlich aller VLANs, mit unseren Sensoren zu übersättigen. Der Angreifer sieht einen solchen Sensor oder Phantom-Host als realen Host. Windows PC oder Server, Linux Server oder ein anderes Gerät, auf dem wir es anzeigen möchten.

   
   
   Aus geschäftlichen und neugierigen Gründen setzten wir „jeweils ein Paar jeder Kreatur“ ein. Windows PCs und Server verschiedener Versionen, Linux-Server, Geldautomat c Windows Eingebettete Systeme, SWIFT Web Access, ein Netzwerkdrucker, ein Cisco-Switch, eine Axis-IP-Kamera, ein MacBook, eine SPS und sogar eine smarte Glühbirne – insgesamt 13 Hosts. Der Hersteller empfiehlt, solche Sensoren auf mindestens 10 % der tatsächlichen Hosts einzusetzen. Die Obergrenze ist der verfügbare Adressraum.

   Ein sehr wichtiger Punkt ist, dass jeder dieser Hosts keine vollwertige virtuelle Maschine ist, die Ressourcen und Lizenzen erfordert. Dies ist ein Täuschungsmanöver, eine Emulation, ein Prozess auf der TSA, der über eine Reihe von Parametern und eine IP-Adresse verfügt. Daher können wir mit Hilfe einer einzigen TSA das Netzwerk mit Hunderten solcher Phantom-Hosts sättigen, die als Sensoren im Alarmsystem fungieren. Diese Technologie ermöglicht die kostengünstige Skalierung des Honeypot-Konzepts in jedem großen verteilten Unternehmen.

   Aus der Sicht eines Angreifers sind diese Hosts attraktiv, weil sie Schwachstellen aufweisen und relativ leichte Ziele zu sein scheinen. Der Angreifer sieht Dienste auf diesen Hosts und kann mit ihnen interagieren und sie mithilfe von Standardtools und -protokollen (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus usw.) angreifen. Es ist jedoch unmöglich, diese Hosts zu nutzen, um einen Angriff zu entwickeln oder eigenen Code auszuführen.

5. Durch die Kombination dieser beiden Technologien (FullOS und emulierte Traps) können wir eine hohe statistische Wahrscheinlichkeit erreichen, dass ein Angreifer früher oder später auf ein Element unseres Signalnetzwerks stößt. Aber wie können wir sicherstellen, dass diese Wahrscheinlichkeit nahezu 100 % beträgt?

   Die sogenannten Deception-Tokens kommen in den Kampf. Dank ihnen können wir alle vorhandenen PCs und Server des Unternehmens in unser verteiltes IDS einbinden. Token werden auf den echten PCs der Benutzer platziert. Es ist wichtig zu verstehen, dass Token keine Agenten sind, die Ressourcen verbrauchen und Konflikte verursachen können. Token sind passive Informationselemente, eine Art „Brotkrumen“ für die angreifende Seite, die sie in eine Falle führen. Zum Beispiel zugeordnete Netzlaufwerke, Lesezeichen für gefälschte Webadministratoren im Browser und gespeicherte Passwörter für diese, gespeicherte SSH/RDP/Winscp-Sitzungen, unsere Traps mit Kommentaren in Hosts-Dateien, im Speicher gespeicherte Passwörter, Anmeldeinformationen nicht vorhandener Benutzer, Office Dateien öffnen, das System auslösen und vieles mehr. Somit versetzen wir den Angreifer in eine verzerrte Umgebung, die mit Angriffsvektoren gesättigt ist, die für uns eigentlich keine Bedrohung darstellen, sondern das Gegenteil. Und er hat keine Möglichkeit festzustellen, wo die Informationen wahr und wo sie falsch sind. Damit sorgen wir nicht nur für eine schnelle Erkennung eines Angriffs, sondern verlangsamen auch dessen Fortschritt deutlich.

Ein Beispiel für die Erstellung einer Netzwerkfalle und das Einrichten von Token. Freundliche Benutzeroberfläche und keine manuelle Bearbeitung von Konfigurationen, Skripten usw.

In unserer Umgebung haben wir eine Reihe solcher Token auf FOS01 unter der Kontrolle von Windows Server 2012R2 und ein Test-PC unter Windows 7. Diese Maschinen nutzen RDP und werden regelmäßig in der DMZ „abgeschaltet“, wo sich auch einige unserer Sensoren (emulierte Fallen) befinden. Dadurch erhalten wir sozusagen einen ständigen Strom von Vorfällen.

Hier also einige kurze Statistiken für das Jahr:

56 – registrierte Vorfälle,
2 – Angriffsquellen-Hosts erkannt.

Interaktive, anklickbare Angriffskarte

Gleichzeitig generiert die Lösung kein Mega-Log oder Ereignis-Feed, dessen Verständnis lange dauert. Stattdessen klassifiziert die Lösung selbst Ereignisse nach ihrer Art und ermöglicht es dem Informationssicherheitsteam, sich hauptsächlich auf die gefährlichsten zu konzentrieren – wenn der Angreifer versucht, Kontrollsitzungen zu starten (Interaktion) oder wenn binäre Nutzlasten (Infektion) in unserem Datenverkehr auftauchen.

Alle Informationen zu Veranstaltungen sind meiner Meinung nach auch für einen Benutzer mit Grundkenntnissen im Bereich der Informationssicherheit lesbar und in leicht verständlicher Form dargestellt.

Bei den meisten erfassten Vorfällen handelt es sich um Versuche, unsere Hosts oder einzelne Verbindungen zu scannen.

Oder Versuche, Passwörter für RDP brutal zu erzwingen

Es gab aber auch interessantere Fälle, insbesondere wenn es Angreifern „gelangt“ hat, das Passwort für RDP zu erraten und sich Zugang zum lokalen Netzwerk zu verschaffen.

Ein Angreifer versucht, Code mithilfe von psexec auszuführen.

Der Angreifer fand eine gespeicherte Sitzung, die ihn in eine Falle führte, in Form von Linux-Server. Unmittelbar nach der Verbindungsherstellung versuchte er mithilfe eines einzigen, vorbereiteten Befehlssatzes, alle Protokolldateien und zugehörigen Systemvariablen zu zerstören.

Ein Angreifer versucht, eine SQL-Injection in einem Honeypot durchzuführen, der SWIFT Web Access imitiert.

Neben solchen „natürlichen“ Angriffen haben wir auch eine Reihe eigener Tests durchgeführt. Eine der aufschlussreichsten Methoden ist das Testen der Erkennungszeit eines Netzwerkwurms in einem Netzwerk. Dazu haben wir ein Tool von GuardiCore namens verwendet InfektionsaffeDies ist ein Netzwerk-Wurm, der Daten erfassen kann Windows и Linux, jedoch ohne jegliche „nützliche“ Last.
Wir richteten eine lokale Kommandozentrale ein, starteten die erste Instanz des Wurms auf einer der Maschinen und erhielten in weniger als anderthalb Minuten die erste Warnung in der TrapX-Konsole. TTD 90 Sekunden gegenüber durchschnittlich 106 Tagen ...

Dank der Möglichkeit der Integration mit anderen Lösungsklassen können wir von der einfachen schnellen Erkennung von Bedrohungen zur automatischen Reaktion auf diese übergehen.

Durch die Integration mit NAC-Systemen (Network Access Control) oder mit CarbonBlack können Sie beispielsweise gefährdete PCs automatisch vom Netzwerk trennen.

Durch die Integration mit Sandboxes können an einem Angriff beteiligte Dateien automatisch zur Analyse übermittelt werden.

McAfee-Integration

Die Lösung verfügt außerdem über ein eigenes integriertes Ereigniskorrelationssystem.

Da wir jedoch mit den Funktionen nicht zufrieden waren, haben wir es in HP ArcSight integriert.

Das integrierte Ticketsystem hilft der ganzen Welt, mit erkannten Bedrohungen umzugehen.

Da die Lösung „von Anfang an“ für die Bedürfnisse von Regierungsbehörden und einem großen Unternehmenssegment entwickelt wurde, implementiert sie selbstverständlich ein rollenbasiertes Zugriffsmodell, Integration mit AD, ein entwickeltes System von Berichten und Auslösern (Ereigniswarnungen) sowie Orchestrierung für große Holdingstrukturen oder MSSP-Anbieter.

Anstelle eines Lebenslaufs

Wenn es ein solches Überwachungssystem gibt, das uns im übertragenen Sinne den Rücken freihält, dann fängt mit der Gefährdung des Perimeters erst alles an. Das Wichtigste ist, dass es eine echte Chance gibt, mit Informationssicherheitsvorfällen umzugehen und nicht mit deren Folgen.

Source: habr.com