(aitäh Sergey G. Bresterile pealkirja idee eest
Head kolleegid, selle artikli eesmärk on jagada kogemusi uue klassi pettusetehnoloogiatel põhineva IDS-lahenduste aastapikkusest testtööst.
Materjali esituse loogilise sidususe säilitamiseks pean vajalikuks alustada ruumidest. Niisiis, probleem:
- Sihitud rünnakud on kõige ohtlikum ründeliik, hoolimata asjaolust, et nende osakaal ohtude koguarvus on väike.
- Ühtegi garanteeritud tõhusat perimeetri kaitsevahendit (või selliste vahendite komplekti) pole veel leiutatud.
- Reeglina toimuvad sihitud rünnakud mitmes etapis. Perimeetri ületamine on vaid üks algetappidest, mis (võite mind kividega loopida) "ohvrile" suurt kahju ei tekita, kui muidugi pole tegemist DEoS-i (teenuse hävitamise) rünnakuga (krüpteerijad vms. .). Tõeline “valu” algab hiljem, kui püütud varasid hakatakse kasutama “sügava” rünnaku pööramiseks ja arendamiseks ning me ei märganud seda.
- Kuna me hakkame kandma reaalseid kaotusi siis, kui ründajad jõuavad lõpuks rünnaku sihtmärkideni (rakendusserverid, DBMS-id, andmelaod, hoidlad, kriitilise infrastruktuuri elemendid), siis on loogiline, et infoturbeteenuse üheks ülesandeks on rünnakute katkestamine enne see kurb sündmus. Kuid selleks, et midagi katkestada, tuleb see kõigepealt selgeks teha. Ja mida varem, seda parem.
- Sellest tulenevalt on eduka riskijuhtimise (st sihitud rünnakute tekitatud kahju vähendamise) jaoks ülioluline omada tööriistu, mis tagavad minimaalse TTD (tuvastusaeg – aeg sissetungimise hetkest kuni rünnaku tuvastamise hetkeni). Olenevalt tööstusest ja piirkonnast on see periood USA-s keskmiselt 99 päeva, EMEA piirkonnas 106 päeva, APAC piirkonnas 172 päeva (M-Trends 2017, A View From the Front Lines, Mandiant).
- Mida turg pakub?
- "Liivakastid". Veel üks ennetav kontroll, mis pole kaugeltki ideaalne. Liivakastide tuvastamiseks ja neist mööda hiilimiseks või lahenduste valgesse nimekirja lisamiseks on palju tõhusaid tehnikaid. “Tumeda poole” poisid on siin ikka sammu võrra ees.
- UEBA (käitumise profileerimise ja kõrvalekallete tuvastamise süsteemid) – teoreetiliselt võib see olla väga tõhus. Aga minu arvates on see kunagi kauges tulevikus. Praktikas on see endiselt väga kallis, ebausaldusväärne ja nõuab väga küpset ja stabiilset IT- ja infoturbe infrastruktuuri, millel on juba olemas kõik tööriistad, mis hakkavad genereerima andmeid käitumise analüüsiks.
- SIEM on hea tööriist uurimisteks, kuid see ei suuda midagi uut ja originaalset õigel ajal näha ja näidata, sest korrelatsioonireeglid on samad, mis allkirjadel.
- Selle tulemusena on vaja tööriista, mis:
- edukalt töötanud juba ohustatud perimeetri tingimustes,
- tuvastanud edukad rünnakud peaaegu reaalajas, olenemata kasutatud tööriistadest ja haavatavustest,
- ei sõltunud allkirjadest/reeglitest/skriptidest/poliitikatest/profiilidest ja muudest staatilistest asjadest,
- ei nõudnud analüüsiks suuri andmemahtusid ja nende allikaid,
- võimaldaks rünnakuid defineerida mitte mingisuguse riskiskoorina, mis tuleneb “maailma parima, patenteeritud ja seega suletud matemaatika” tööst, mis nõuab täiendavat uurimist, vaid praktiliselt binaarse sündmusena – “Jah, meid rünnatakse" või "Ei, kõik on korras",
- oli universaalne, tõhusalt skaleeritav ja teostatav igas heterogeenses keskkonnas, sõltumata kasutatavast füüsilisest ja loogilisest võrgutopoloogiast.
Nüüd konkureerivad nn petmislahendused sellise vahendi rolli eest. Ehk siis vanal heal meepottide kontseptsioonil põhinevaid lahendusi, kuid hoopis teistsuguse teostustasemega. See teema on praegu kindlasti tõusuteel.
Vastavalt tulemustele
Aruande kohaselt
Terve jagu viimast
TrapX Deception Grid võimaldab teil kulutada ja kasutada massiliselt hajutatud IDS-i tsentraalselt, suurendamata litsentsimiskoormust ja nõudeid riistvararessurssidele. Tegelikult on TrapX konstruktor, mis võimaldab teil luua olemasoleva IT-infrastruktuuri elementidest ühe suure mehhanismi kogu ettevõtte mastaabis rünnakute tuvastamiseks, omamoodi hajutatud võrgu "häire".
Lahenduse struktuur
Oma laboris uurime ja katsetame pidevalt erinevaid IT-turbe valdkonna uusi tooteid. Praegu on siin juurutatud umbes 50 erinevat virtuaalserverit, sealhulgas TrapX Deception Gridi komponendid.
Niisiis, ülalt alla:
- TSOC (TrapX Security Operation Console) on süsteemi aju. See on keskne halduskonsool, mille kaudu toimub konfigureerimine, lahenduse juurutamine ja kõik igapäevased toimingud. Kuna tegemist on veebiteenusega, saab seda juurutada kõikjal – perimeetris, pilves või MSSP pakkuja juures.
- TrapX Appliance (TSA) on virtuaalserver, millega ühendame magistraalpordi abil need alamvõrgud, mida tahame jälgida. Samuti "elavad" siin tegelikult kõik meie võrguandurid.
Meie laboris on kasutusele võetud üks TSA (mwsapp1), kuid tegelikult võib neid olla palju. See võib olla vajalik suurtes võrkudes, kus segmentide vahel puudub L2 ühenduvus (tüüpiline näide on "Holding ja tütarettevõtted" või "Panga peakontor ja filiaalid") või kui võrgus on eraldatud segmendid, näiteks automatiseeritud protsessijuhtimissüsteemid. Igas sellises harus/segmendis saate juurutada oma TSA ja ühendada selle ühe TSOC-ga, kus kogu teavet töödeldakse tsentraalselt. See arhitektuur võimaldab teil luua hajutatud jälgimissüsteeme, ilma et oleks vaja võrku radikaalselt ümber struktureerida või olemasolevat segmenteerimist katkestada.
Samuti saame edastada TSA-le väljuva liikluse koopia TAP/SPANi kaudu. Kui tuvastame ühendused teadaolevate botnettide, käsu- ja juhtimisserveritega või TOR-i seanssidega, saame tulemuse ka konsooli. Selle eest vastutab Network Intelligence Sensor (NIS). Meie keskkonnas on see funktsioon rakendatud tulemüürile, seega me seda siin ei kasutanud.
- Application Traps (täielik OS) – traditsioonilised Windowsi serveritel põhinevad meepotid. Te ei vaja neid palju, kuna nende serverite peamine eesmärk on pakkuda IT-teenuseid järgmisele andurite kihile või tuvastada rünnakuid ärirakendustele, mida võidakse juurutada Windowsi keskkonnas. Meie laborisse on installitud üks selline server (FOS01)
- Emuleeritud püünised on lahenduse põhikomponent, mis võimaldab meil ühe virtuaalse masina abil luua ründajatele väga tiheda "miinivälja" ja küllastada ettevõtte võrku ja kõik selle vlanid meie anduritega. Ründaja näeb sellist sensorit ehk fantoomhosti tõelise Windowsi arvuti või serverina, Linuxi serverina või muu seadmena, mida otsustame talle näidata.
Ettevõtluse huvides ja uudishimu huvides võtsime kasutusele "igast olendist paari" - Windowsi arvutid ja erinevate versioonide serverid, Linuxi serverid, sisseehitatud Windowsiga sularahaautomaadid, SWIFT Web Access, võrguprinter, Cisco lüliti, Axis IP kaamera, MacBook, PLC -seade ja isegi nutikas pirn. Kokku on 13 võõrustajat. Üldiselt soovitab müüja selliseid andureid juurutada koguses, mis moodustab vähemalt 10% tegelike hostide arvust. Ülemine riba näitab saadaolevat aadressiruumi.Väga oluline on see, et iga selline host ei ole täisväärtuslik virtuaalne masin, mis nõuab ressursse ja litsentse. See on peibutus, emulatsioon, üks protsess TSA-s, millel on parameetrite komplekt ja IP-aadress. Seetõttu saame kasvõi ühe TSA abil võrgu küllastada sadade selliste fantoomhostidega, mis töötavad häiresüsteemis anduritena. Just see tehnoloogia võimaldab kuluefektiivselt skaleerida meepoti kontseptsiooni kõigis suurtes hajutatud ettevõtetes.
Ründaja seisukohalt on need hostid atraktiivsed, kuna sisaldavad haavatavusi ja tunduvad olevat suhteliselt lihtsad sihtmärgid. Ründaja näeb nendel hostidel teenuseid ja saab nendega suhelda ja neid rünnata, kasutades standardseid tööriistu ja protokolle (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus jne). Kuid neid hoste on võimatu kasutada rünnaku arendamiseks või oma koodi käivitamiseks.
- Nende kahe tehnoloogia (FullOS ja emuleeritud lõksud) kombinatsioon võimaldab meil saavutada suure statistilise tõenäosuse, et ründaja varem või hiljem puutub kokku mõne meie signaalimisvõrgu elemendiga. Kuidas aga veenduda, et see tõenäosus on 100% lähedal?
Lahingusse astuvad niinimetatud Pettuse märgid. Tänu neile saame oma hajutatud IDS-i kaasata kõik ettevõtte olemasolevad arvutid ja serverid. Tokenid paigutatakse kasutajate pärisarvutitesse. Oluline on mõista, et märgid ei ole agendid, mis tarbivad ressursse ja võivad põhjustada konflikte. Märgid on passiivsed teabeelemendid, omamoodi "leivapuru" ründava poole jaoks, mis viivad selle lõksu. Näiteks kaardistatud võrgukettad, võltsitud veebiadministraatorite järjehoidjad brauseris ja nende jaoks salvestatud paroolid, salvestatud ssh/rdp/winscp seansid, meie püünised kommentaaridega hostifailides, mällu salvestatud paroolid, olematute kasutajate mandaadid, kontor failid, mille avamine käivitab süsteemi ja palju muud. Seega asetame ründaja moonutatud keskkonda, mis on küllastunud ründevektoritest, mis meile tegelikult ohtu ei kujuta, vaid pigem vastupidi. Ja tal pole mingit võimalust kindlaks teha, kus teave on tõene ja kus vale. Seega me mitte ainult ei taga rünnaku kiiret avastamist, vaid aeglustame oluliselt ka selle kulgu.
Võrgulõksu loomise ja žetoonide seadistamise näide. Sõbralik liides ja konfiguratsioonide, skriptide jms käsitsi redigeerimine puudub.
Meie keskkonnas konfigureerisime ja paigutasime FOS01-le, kus töötab Windows Server 2012R2, ja testarvutisse, kus töötab Windows 7. RDP töötab nendes masinates ja me "riputame" need perioodiliselt DMZ-sse, kus on mitu meie andurit. (emuleeritud püünised) kuvatakse ka. Nii et me saame pidevalt nii-öelda juhtumeid.
Niisiis, siin on kiire aasta statistika:
56 208 – registreeritud vahejuhtumid,
2 – tuvastati rünnakuallika hostid.
Interaktiivne klõpsatav rünnakukaart
Samas ei genereeri lahendus mingit megalogi või sündmustevoogu, mille mõistmine võtab kaua aega. Selle asemel liigitab lahendus ise sündmused nende tüüpide järgi ja võimaldab infoturbe meeskonnal keskenduda eelkõige kõige ohtlikumatele – siis, kui ründaja püüab tõsta kontrollseansse (interaktsioon) või kui meie liiklusesse ilmuvad binaarsed kasulikud koormused (infektsioon).
Kogu info sündmuste kohta on loetav ja esitatud minu hinnangul lihtsalt arusaadaval kujul ka infoturbe valdkonna algteadmistega kasutajale.
Enamik salvestatud juhtumeid on meie hostide või üksikute ühenduste skannimise katsed.
Või katsed RDP jaoks paroole jõhkralt sundida
Kuid oli ka huvitavamaid juhtumeid, eriti kui ründajatel "suutus" ära arvata RDP parool ja pääseda ligi kohalikule võrgule.
Ründaja proovib käivitada koodi psexeci abil.
Ründaja leidis salvestatud seansi, mis viis ta Linuxi serveri näol lõksu. Kohe pärast ühenduse loomist üritas see ühe eelnevalt ettevalmistatud käskude komplektiga hävitada kõik logifailid ja vastavad süsteemimuutujad.
Ründaja üritab sisestada SQL-i meepotti, mis imiteerib SWIFT Web Accessi.
Lisaks sellistele "loomulikele" rünnakutele viisime läbi ka mitmeid oma katseid. Üks paljastavamaid on võrguussi tuvastamise aja testimine võrgus. Selleks kasutasime GuardiCore'i tööriista nimega
Võtsime kasutusele kohaliku juhtimiskeskuse, käivitasime ühes masinas ussi esimese eksemplari ja saime TrapX-i konsoolis esimese hoiatuse vähem kui pooleteise minutiga. TTD keskmiselt 90 sekundit versus 106 päeva...
Tänu võimalusele integreeruda teiste lahendusklassidega, saame liikuda ohtude kiirelt tuvastamiselt neile automaatsele reageerimisele.
Näiteks integreerimine NAC (Network Access Control) süsteemidega või CarbonBlackiga võimaldab teil ohustatud arvutid automaatselt võrgust lahti ühendada.
Integreerimine liivakastidega võimaldab rünnakuga seotud faile automaatselt analüüsimiseks esitada.
McAfee integreerimine
Lahendusel on ka oma sisseehitatud sündmuste korrelatsioonisüsteem.
Kuid me ei olnud selle võimalustega rahul, nii et integreerisime selle HP ArcSightiga.
Sisseehitatud piletimüügisüsteem aitab kogu maailmal avastatud ohtudega toime tulla.
Kuna lahendus töötati "algusest peale" välja valitsusasutuste ja suure ettevõtte segmendi vajadustele, rakendab see loomulikult rollipõhist juurdepääsumudelit, integratsiooni AD-ga, väljatöötatud aruannete ja käivitajate (sündmuste hoiatuste) süsteemi, orkestratsiooni suured valdusstruktuurid või MSSP pakkujad.
Jätkuse asemel
Kui on selline jälgimissüsteem, mis piltlikult öeldes katab meie selja, siis perimeetri kompromissiga kõik alles algab. Kõige tähtsam on see, et oleks reaalne võimalus tegeleda infoturbeintsidentidega, mitte tegeleda nende tagajärgedega.
Allikas: www.habr.com