Τρύπα ως εργαλείο ασφαλείας - 2, ή πώς να πιάσετε το APT "με ζωντανό δόλωμα"

(ευχαριστώ τον Sergey G. Brester για την ιδέα του τίτλου sebres)

Συνάδελφοι, ο σκοπός αυτού του άρθρου είναι να μοιραστεί την εμπειρία μιας δοκιμαστικής λειτουργίας ενός έτους μιας νέας κατηγορίας λύσεων IDS που βασίζονται σε τεχνολογίες εξαπάτησης.

Για να διατηρηθεί η λογική συνοχή της παρουσίασης του υλικού, θεωρώ απαραίτητο να ξεκινήσω από τις εγκαταστάσεις. Λοιπόν, το πρόβλημα:

1. Οι στοχευμένες επιθέσεις είναι το πιο επικίνδυνο είδος επίθεσης, παρά το γεγονός ότι το μερίδιό τους στον συνολικό αριθμό των απειλών είναι μικρό.
2. Δεν έχει ακόμη εφευρεθεί κανένα εγγυημένο αποτελεσματικό μέσο προστασίας της περιμέτρου (ή ένα σύνολο τέτοιων μέσων).
3. Κατά κανόνα, οι στοχευμένες επιθέσεις λαμβάνουν χώρα σε διάφορα στάδια. Η υπέρβαση της περιμέτρου είναι μόνο ένα από τα αρχικά στάδια, το οποίο (μπορείτε να μου πετάξετε πέτρες) δεν προκαλεί μεγάλη ζημιά στο «θύμα», εκτός φυσικά εάν πρόκειται για επίθεση DEoS (Καταστροφή υπηρεσίας) (κρυπτογραφητές κ.λπ. .). Ο πραγματικός «πόνος» ξεκινά αργότερα, όταν τα δεσμευμένα περιουσιακά στοιχεία αρχίζουν να χρησιμοποιούνται για την περιστροφή και την ανάπτυξη μιας επίθεσης «βάθους», και αυτό δεν το προσέξαμε.
4. Δεδομένου ότι αρχίζουμε να υποφέρουμε πραγματικές απώλειες όταν οι εισβολείς φτάνουν τελικά στους στόχους της επίθεσης (διακομιστές εφαρμογών, DBMS, αποθήκες δεδομένων, αποθήκες, στοιχεία κρίσιμης υποδομής), είναι λογικό ότι ένα από τα καθήκοντα της υπηρεσίας ασφάλειας πληροφοριών είναι να διακόπτει τις επιθέσεις πριν αυτό το θλιβερό γεγονός. Αλλά για να διακόψετε κάτι, πρέπει πρώτα να το μάθετε. Και όσο πιο γρήγορα, τόσο το καλύτερο.
5. Αντίστοιχα, για την επιτυχή διαχείριση κινδύνου (δηλαδή τη μείωση της ζημιάς από στοχευμένες επιθέσεις), είναι σημαντικό να υπάρχουν εργαλεία που θα παρέχουν ένα ελάχιστο TTD (χρόνος ανίχνευσης - ο χρόνος από τη στιγμή της εισβολής μέχρι τη στιγμή που ανιχνεύεται η επίθεση). Ανάλογα με τον κλάδο και την περιοχή, αυτή η περίοδος είναι κατά μέσο όρο 99 ημέρες στις ΗΠΑ, 106 ημέρες στην περιοχή EMEA, 172 ημέρες στην περιοχή APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
6. Τι προσφέρει η αγορά;
   • "Sandboxes". Άλλος ένας προληπτικός έλεγχος, ο οποίος απέχει πολύ από το να είναι ιδανικός. Υπάρχουν πολλές αποτελεσματικές τεχνικές για τον εντοπισμό και την παράκαμψη λύσεων sandbox ή λύσεων επιτρεπόμενης λίστας. Τα παιδιά από τη «σκοτεινή πλευρά» είναι ακόμα ένα βήμα μπροστά εδώ.
   • UEBA (συστήματα για τη δημιουργία προφίλ συμπεριφοράς και τον εντοπισμό αποκλίσεων) - θεωρητικά, μπορεί να είναι πολύ αποτελεσματικό. Αλλά, κατά τη γνώμη μου, αυτό είναι κάποια στιγμή στο μακρινό μέλλον. Στην πράξη, αυτό εξακολουθεί να είναι πολύ ακριβό, αναξιόπιστο και απαιτεί μια πολύ ώριμη και σταθερή υποδομή πληροφορικής και ασφάλειας πληροφοριών, η οποία διαθέτει ήδη όλα τα εργαλεία που θα παράγουν δεδομένα για ανάλυση συμπεριφοράς.
   • Το SIEM είναι ένα καλό εργαλείο για έρευνες, αλλά δεν μπορεί να δει και να δείξει κάτι νέο και πρωτότυπο εγκαίρως, επειδή οι κανόνες συσχέτισης είναι ίδιοι με τις υπογραφές.

7. Ως αποτέλεσμα, υπάρχει ανάγκη για ένα εργαλείο που θα:
   • εργάστηκε επιτυχώς σε συνθήκες ήδη παραβιασμένης περιμέτρου,
   • ανίχνευσε επιτυχημένες επιθέσεις σε σχεδόν πραγματικό χρόνο, ανεξάρτητα από τα εργαλεία και τα τρωτά σημεία που χρησιμοποιούνται,
   • δεν εξαρτιόταν από υπογραφές/κανόνες/σενάρια/πολιτικές/προφίλ και άλλα στατικά πράγματα,
   • δεν απαιτούσε μεγάλο όγκο δεδομένων και τις πηγές τους για ανάλυση,
   • θα επέτρεπε να οριστούν οι επιθέσεις όχι ως κάποιο είδος βαθμολόγησης κινδύνου ως αποτέλεσμα της δουλειάς των «καλύτερων στον κόσμο, κατοχυρωμένων με δίπλωμα ευρεσιτεχνίας και επομένως κλειστών μαθηματικών», που απαιτεί πρόσθετη έρευνα, αλλά πρακτικά ως δυαδικό γεγονός - «Ναι, μας επιτίθενται» ή «Όχι, όλα είναι εντάξει»,
   • ήταν καθολική, αποτελεσματικά επεκτάσιμη και εφικτό να εφαρμοστεί σε οποιοδήποτε ετερογενές περιβάλλον, ανεξάρτητα από τη φυσική και λογική τοπολογία δικτύου που χρησιμοποιήθηκε.

Οι λεγόμενες λύσεις εξαπάτησης διεκδικούν τώρα τον ρόλο ενός τέτοιου εργαλείου. Λύσεις δηλαδή βασισμένες στο παλιό καλό concept των honeypots, αλλά με τελείως διαφορετικό επίπεδο υλοποίησης. Αυτό το θέμα είναι σίγουρα σε άνοδο τώρα.

Σύμφωνα με τα αποτελέσματα Σύνοδος διαχείρισης Gartner Security & Risc 2017 Οι λύσεις εξαπάτησης περιλαμβάνονται στις TOP 3 στρατηγικές και εργαλεία που συνιστώνται να χρησιμοποιηθούν.

Σύμφωνα με την έκθεση Ετήσιο TAG Cybersecurity 2017 Η εξαπάτηση είναι μία από τις κύριες κατευθύνσεις ανάπτυξης των λύσεων IDS Intrusion Detection Systems.

Ένα ολόκληρο τμήμα του τελευταίου Αναφορά ασφάλειας πληροφορικής της Cisco, αφιερωμένο στο SCADA, βασίζεται σε δεδομένα από έναν από τους ηγέτες σε αυτήν την αγορά, την TrapX Security (Ισραήλ), η λύση της οποίας λειτουργεί στην περιοχή δοκιμών μας εδώ και ένα χρόνο.

Το TrapX Deception Grid σάς επιτρέπει να κοστολογείτε και να λειτουργείτε μαζικά κατανεμημένα IDS κεντρικά, χωρίς να αυξάνετε το φορτίο άδειας χρήσης και τις απαιτήσεις για πόρους υλικού. Στην πραγματικότητα, το TrapX είναι ένας κατασκευαστής που σας επιτρέπει να δημιουργήσετε από στοιχεία της υπάρχουσας υποδομής πληροφορικής έναν μεγάλο μηχανισμό ανίχνευσης επιθέσεων σε κλίμακα επιχείρησης, ένα είδος «συναγερμού» κατανεμημένου δικτύου.

Δομή Λύσης

Στο εργαστήριό μας μελετάμε και δοκιμάζουμε συνεχώς διάφορα νέα προϊόντα στον τομέα της ασφάλειας πληροφορικής. Επί του παρόντος, περίπου 50 διαφορετικοί εικονικοί διακομιστές αναπτύσσονται εδώ, συμπεριλαμβανομένων των στοιχείων TrapX Deception Grid.

Λοιπόν, από πάνω προς τα κάτω:

1. Το TSOC (TrapX Security Operation Console) είναι ο εγκέφαλος του συστήματος. Αυτή είναι η κεντρική κονσόλα διαχείρισης μέσω της οποίας πραγματοποιούνται οι ρυθμίσεις παραμέτρων, η ανάπτυξη της λύσης και όλες οι καθημερινές λειτουργίες. Δεδομένου ότι πρόκειται για υπηρεσία Ιστού, μπορεί να αναπτυχθεί οπουδήποτε - στην περίμετρο, στο cloud ή σε έναν πάροχο MSSP.
2. Το TrapX Appliance (TSA) είναι ένας εικονικός διακομιστής στον οποίο συνδέουμε, χρησιμοποιώντας τη θύρα κορμού, εκείνα τα υποδίκτυα που θέλουμε να καλύψουμε με παρακολούθηση. Επίσης, όλοι οι αισθητήρες δικτύου μας «ζουν» εδώ.

   Το εργαστήριό μας έχει αναπτυχθεί ένα TSA (mwsapp1), αλλά στην πραγματικότητα μπορεί να υπάρχουν πολλά. Αυτό μπορεί να είναι απαραίτητο σε μεγάλα δίκτυα όπου δεν υπάρχει συνδεσιμότητα L2 μεταξύ τμημάτων (ένα τυπικό παράδειγμα είναι "Εταιρείες και θυγατρικές" ή "Κεντρικά γραφεία και υποκαταστήματα τράπεζας") ή εάν το δίκτυο έχει μεμονωμένα τμήματα, για παράδειγμα, αυτοματοποιημένα συστήματα ελέγχου διεργασιών. Σε κάθε τέτοιο κλάδο/τμήμα, μπορείτε να αναπτύξετε το δικό σας TSA και να το συνδέσετε σε ένα ενιαίο TSOC, όπου όλες οι πληροφορίες θα υποβάλλονται σε κεντρική επεξεργασία. Αυτή η αρχιτεκτονική σάς επιτρέπει να δημιουργήσετε κατανεμημένα συστήματα παρακολούθησης χωρίς την ανάγκη ριζικής αναδιάρθρωσης του δικτύου ή διακοπής της υπάρχουσας τμηματοποίησης.

   Επίσης, μπορούμε να υποβάλουμε αντίγραφο της εξερχόμενης κίνησης στην TSA μέσω TAP/SPAN. Εάν εντοπίσουμε συνδέσεις με γνωστά botnet, διακομιστές εντολών και ελέγχου ή περιόδους λειτουργίας TOR, θα λάβουμε επίσης το αποτέλεσμα στην κονσόλα. Ο αισθητήρας νοημοσύνης δικτύου (NIS) είναι υπεύθυνος για αυτό. Στο περιβάλλον μας, αυτή η λειτουργία εφαρμόζεται στο τείχος προστασίας, επομένως δεν τη χρησιμοποιήσαμε εδώ.

3. Application Traps (Full OS) – παραδοσιακά honeypots βασισμένα σε διακομιστές Windows. Δεν χρειάζεστε πολλά από αυτά, καθώς ο κύριος σκοπός αυτών των διακομιστών είναι να παρέχουν υπηρεσίες πληροφορικής στο επόμενο επίπεδο αισθητήρων ή να ανιχνεύουν επιθέσεις σε επιχειρηματικές εφαρμογές που ενδέχεται να αναπτυχθούν σε περιβάλλον Windows. Έχουμε έναν τέτοιο διακομιστή εγκατεστημένο στο εργαστήριό μας (FOS01)

   

4. Οι εξομοιωμένες παγίδες είναι το κύριο συστατικό της λύσης, που μας επιτρέπει, χρησιμοποιώντας μια ενιαία εικονική μηχανή, να δημιουργήσουμε ένα πολύ πυκνό «ναρκοπέδιο» για τους επιτιθέμενους και να κορεστούμε το εταιρικό δίκτυο, όλα τα vlans, με τους αισθητήρες μας. Ο εισβολέας βλέπει έναν τέτοιο αισθητήρα, ή έναν υπολογιστή-φάντασμα, ως πραγματικό υπολογιστή ή διακομιστή Windows, διακομιστή Linux ή άλλη συσκευή που αποφασίζουμε να του δείξουμε.

   
   
   Για το καλό της επιχείρησης και για χάρη της περιέργειας, αναπτύξαμε "ένα ζευγάρι από κάθε πλάσμα" - υπολογιστές Windows και διακομιστές διαφόρων εκδόσεων, διακομιστές Linux, ένα ΑΤΜ με ενσωματωμένα Windows, SWIFT Web Access, έναν εκτυπωτή δικτύου, μια Cisco διακόπτη, μια κάμερα IP Axis, ένα MacBook, μια συσκευή PLC και ακόμη και μια έξυπνη λάμπα. Υπάρχουν 13 οικοδεσπότες συνολικά. Γενικά, ο πωλητής συνιστά την ανάπτυξη τέτοιων αισθητήρων σε ποσότητα τουλάχιστον 10% του αριθμού των πραγματικών κεντρικών υπολογιστών. Η επάνω γραμμή είναι ο διαθέσιμος χώρος διευθύνσεων.

   Ένα πολύ σημαντικό σημείο είναι ότι κάθε τέτοιος κεντρικός υπολογιστής δεν είναι μια πλήρης εικονική μηχανή που απαιτεί πόρους και άδειες. Αυτό είναι ένα δόλωμα, εξομοίωση, μία διαδικασία στο TSA, η οποία έχει ένα σύνολο παραμέτρων και μια διεύθυνση IP. Επομένως, με τη βοήθεια έστω και ενός TSA, μπορούμε να κορεστούμε το δίκτυο με εκατοντάδες τέτοιους οικοδεσπότες φαντασμάτων, οι οποίοι θα λειτουργούν ως αισθητήρες στο σύστημα συναγερμού. Είναι αυτή η τεχνολογία που καθιστά δυνατή την οικονομική κλίμακα της ιδέας του honeypot σε οποιαδήποτε μεγάλη διανεμημένη επιχείρηση.

   Από την πλευρά ενός εισβολέα, αυτοί οι οικοδεσπότες είναι ελκυστικοί επειδή περιέχουν ευπάθειες και φαίνεται να είναι σχετικά εύκολοι στόχοι. Ο εισβολέας βλέπει υπηρεσίες σε αυτούς τους κεντρικούς υπολογιστές και μπορεί να αλληλεπιδράσει μαζί τους και να τους επιτεθεί χρησιμοποιώντας τυπικά εργαλεία και πρωτόκολλα (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, κ.λπ.). Αλλά είναι αδύνατο να χρησιμοποιήσετε αυτούς τους κεντρικούς υπολογιστές για να αναπτύξετε μια επίθεση ή να εκτελέσετε τον δικό σας κώδικα.

5. Ο συνδυασμός αυτών των δύο τεχνολογιών (FullOS και εξομοιωμένες παγίδες) μας επιτρέπει να επιτύχουμε υψηλή στατιστική πιθανότητα ένας εισβολέας αργά ή γρήγορα να συναντήσει κάποιο στοιχείο του δικτύου σηματοδοσίας μας. Πώς μπορούμε όμως να βεβαιωθούμε ότι αυτή η πιθανότητα είναι κοντά στο 100%;

   Στη μάχη μπαίνουν τα λεγόμενα Deception tokens. Χάρη σε αυτά, μπορούμε να συμπεριλάβουμε όλους τους υπάρχοντες υπολογιστές και διακομιστές της επιχείρησης στα κατανεμημένα IDS μας. Τα διακριτικά τοποθετούνται στους πραγματικούς υπολογιστές των χρηστών. Είναι σημαντικό να κατανοήσουμε ότι τα διακριτικά δεν είναι πράκτορες που καταναλώνουν πόρους και μπορούν να προκαλέσουν συγκρούσεις. Τα διακριτικά είναι στοιχεία παθητικής πληροφόρησης, ένα είδος «ψωμιού» για την επιτιθέμενη πλευρά που την οδηγεί σε μια παγίδα. Για παράδειγμα, αντιστοιχισμένες μονάδες δίσκου δικτύου, σελιδοδείκτες σε ψεύτικους διαχειριστές ιστού στο πρόγραμμα περιήγησης και αποθηκευμένοι κωδικοί πρόσβασης για αυτούς, αποθηκευμένες συνεδρίες ssh/rdp/winscp, παγίδες μας με σχόλια σε αρχεία κεντρικών υπολογιστών, κωδικοί πρόσβασης αποθηκευμένοι στη μνήμη, διαπιστευτήρια ανύπαρκτων χρηστών, γραφείο αρχεία, το άνοιγμα που θα ενεργοποιήσει το σύστημα και πολλά άλλα. Έτσι, τοποθετούμε τον εισβολέα σε ένα παραμορφωμένο περιβάλλον, κορεσμένο με διανύσματα επίθεσης που στην πραγματικότητα δεν αποτελούν απειλή για εμάς, αλλά μάλλον το αντίθετο. Και δεν έχει τρόπο να προσδιορίσει πού είναι αληθείς οι πληροφορίες και πού ψευδείς. Έτσι, όχι μόνο διασφαλίζουμε τον γρήγορο εντοπισμό μιας επίθεσης, αλλά και επιβραδύνουμε σημαντικά την πρόοδό της.

Ένα παράδειγμα δημιουργίας παγίδας δικτύου και ρύθμισης διακριτικών. Φιλική διεπαφή και χωρίς χειροκίνητη επεξεργασία ρυθμίσεων, σεναρίων κ.λπ.

Στο περιβάλλον μας, διαμορφώσαμε και τοποθετήσαμε έναν αριθμό τέτοιων διακριτικών στο FOS01 με Windows Server 2012R2 και σε δοκιμαστικό υπολογιστή με Windows 7. Το RDP εκτελείται σε αυτά τα μηχανήματα και τα "κρεμάμε" περιοδικά στο DMZ, όπου ορισμένοι αισθητήρες μας (εξομοιωμένες παγίδες) εμφανίζονται επίσης. Έτσι, έχουμε μια συνεχή ροή περιστατικών, όπως είναι φυσικό.

Λοιπόν, εδώ είναι μερικά γρήγορα στατιστικά για τη χρονιά:

56 – καταγράφηκαν περιστατικά,
2 – Εντοπίστηκαν κεντρικοί υπολογιστές πηγής επίθεσης.

Διαδραστικός χάρτης επίθεσης με δυνατότητα κλικ

Ταυτόχρονα, η λύση δεν δημιουργεί κάποιο είδος mega-log ή τροφοδοσίας συμβάντων, το οποίο χρειάζεται πολύ χρόνο για να κατανοηθεί. Αντίθετα, η ίδια η λύση ταξινομεί τα συμβάντα με βάση τους τύπους τους και επιτρέπει στην ομάδα ασφάλειας πληροφοριών να επικεντρωθεί κυρίως στα πιο επικίνδυνα - όταν ο εισβολέας προσπαθεί να αυξήσει τις συνεδρίες ελέγχου (αλληλεπίδραση) ή όταν εμφανίζονται δυαδικά ωφέλιμα φορτία (μόλυνση) στην επισκεψιμότητά μας.

Όλες οι πληροφορίες σχετικά με εκδηλώσεις είναι ευανάγνωστες και παρουσιάζονται, κατά τη γνώμη μου, σε μια εύκολα κατανοητή μορφή ακόμη και για έναν χρήστη με βασικές γνώσεις στον τομέα της ασφάλειας πληροφοριών.

Τα περισσότερα από τα καταγεγραμμένα περιστατικά είναι απόπειρες σάρωσης των κεντρικών υπολογιστών μας ή μεμονωμένες συνδέσεις.

Ή απόπειρες βίας εξαναγκασμού κωδικών πρόσβασης για RDP

Υπήρχαν όμως και πιο ενδιαφέρουσες περιπτώσεις, ειδικά όταν οι εισβολείς «κατάφεραν» να μαντέψουν τον κωδικό πρόσβασης για το RDP και να αποκτήσουν πρόσβαση στο τοπικό δίκτυο.

Ένας εισβολέας επιχειρεί να εκτελέσει κώδικα χρησιμοποιώντας psexec.

Ο εισβολέας βρήκε μια αποθηκευμένη συνεδρία, η οποία τον οδήγησε σε μια παγίδα με τη μορφή διακομιστή Linux. Αμέσως μετά τη σύνδεση, με ένα προπαρασκευασμένο σύνολο εντολών, επιχείρησε να καταστρέψει όλα τα αρχεία καταγραφής και τις αντίστοιχες μεταβλητές συστήματος.

Ένας εισβολέας επιχειρεί να πραγματοποιήσει ένεση SQL σε ένα honeypot που μιμείται την SWIFT Web Access.

Εκτός από τέτοιες «φυσικές» επιθέσεις, πραγματοποιήσαμε επίσης μια σειρά από δικές μας δοκιμές. Ένα από τα πιο αποκαλυπτικά είναι η δοκιμή του χρόνου ανίχνευσης ενός τύπου worm δικτύου σε ένα δίκτυο. Για να το κάνουμε αυτό χρησιμοποιήσαμε ένα εργαλείο από το GuardiCore που ονομάζεται Μαϊμού μόλυνσης. Αυτό είναι ένα σκουλήκι δικτύου που μπορεί να παραβιάσει τα Windows και το Linux, αλλά χωρίς κανένα «ωφέλιμο φορτίο».
Αναπτύξαμε ένα τοπικό κέντρο εντολών, ξεκινήσαμε την πρώτη παρουσία του τύπου worm σε ένα από τα μηχανήματα και λάβαμε την πρώτη ειδοποίηση στην κονσόλα TrapX σε λιγότερο από ενάμιση λεπτό. TTD 90 δευτερόλεπτα έναντι 106 ημερών κατά μέσο όρο...

Χάρη στην ικανότητα ενσωμάτωσης με άλλες κατηγορίες λύσεων, μπορούμε να προχωρήσουμε από τον γρήγορο εντοπισμό απειλών στην αυτόματη απόκριση σε αυτές.

Για παράδειγμα, η ενσωμάτωση με συστήματα NAC (Network Access Control) ή με το CarbonBlack θα σας επιτρέψει να αποσυνδέετε αυτόματα παραβιασμένους υπολογιστές από το δίκτυο.

Η ενσωμάτωση με sandboxes επιτρέπει στα αρχεία που εμπλέκονται σε μια επίθεση να υποβάλλονται αυτόματα για ανάλυση.

Ενσωμάτωση McAfee

Η λύση έχει επίσης το δικό της ενσωματωμένο σύστημα συσχέτισης συμβάντων.

Όμως δεν μείναμε ικανοποιημένοι με τις δυνατότητές του, οπότε το ενσωματώσαμε στο HP ArcSight.

Το ενσωματωμένο σύστημα έκδοσης εισιτηρίων βοηθά ολόκληρο τον κόσμο να αντιμετωπίσει τις απειλές που έχουν εντοπιστεί.

Δεδομένου ότι η λύση αναπτύχθηκε «από την αρχή» για τις ανάγκες των κυβερνητικών φορέων και ενός μεγάλου εταιρικού τμήματος, εφαρμόζει φυσικά ένα μοντέλο πρόσβασης βάσει ρόλων, ενσωμάτωση με AD, ένα αναπτυγμένο σύστημα αναφορών και ενεργοποιήσεων (ειδοποιήσεις συμβάντων), ενορχήστρωση για μεγάλες δομές εκμετάλλευσης ή παρόχους MSSP.

Αντί ενός βιογραφικού σημειώματος

Αν υπάρχει ένα τέτοιο σύστημα παρακολούθησης, που μεταφορικά μιλώντας μας καλύπτει την πλάτη, τότε με τον συμβιβασμό της περιμέτρου όλα μόλις αρχίζουν. Το πιο σημαντικό είναι ότι υπάρχει πραγματική ευκαιρία αντιμετώπισης περιστατικών ασφάλειας πληροφοριών και όχι αντιμετώπισης των συνεπειών τους.

Πηγή: www.habr.com