(eskerrik asko Sergey G. Brester-i izenburuaren ideiagatik )
Lankideok, artikulu honen helburua Deception teknologietan oinarritutako IDS soluzio klase berri baten urtebeteko proba-funtzionamenduaren esperientzia partekatzea da.
Materialaren aurkezpenaren koherentzia logikoari eusteko, premisetatik hastea beharrezkoa ikusten dut. Beraz, arazoa:
- Norakoak diren erasoak eraso motarik arriskutsuenak dira, mehatxuen kopuru osoan duten kuota txikia izan arren.
- Oraindik ez da asmatu perimetroa (edo bitarteko horien multzoa) babesteko modu eraginkor bermaturik.
- Oro har, eraso zuzenduak hainbat fasetan gertatzen dira. Perimetroa gainditzea hasierako etapetako bat baino ez da, eta horrek (harriak bota dizkidazu) ez dio kalte handirik eragiten βbiktimariβ, salbu, jakina, DEoS (zerbitzuaren suntsipena) erasoa (zifratzaileak, etab.) .). Benetako "mina" beranduago hasten da, harrapatutako ondasunak pibotatzeko eta "sakonera" eraso bat garatzeko erabiltzen hasten direnean, eta ez genuen honetaz ohartu.
- Erasotzaileak azkenean erasoaren helburuetara iristen direnean (aplikazio-zerbitzariak, DBMS, datu biltegiak, biltegiak, azpiegitura elementu kritikoak) benetako galerak jasaten hasten garenez, logikoa da informazioaren segurtasun zerbitzuaren zereginetako bat erasoak etetea baino lehen. gertaera triste hau. Baina zerbait eteteko, lehenik eta behin horren berri jakin behar duzu. Eta zenbat eta lehenago, hobe.
- Horren arabera, arriskuen kudeaketa arrakastatsua lortzeko (hau da, xede-erasoen kalteak murrizteko), ezinbestekoa da gutxieneko TTD (detektatzeko denbora - intrusioaren unetik erasoa detektatzen den unera arte) emango duten tresnak izatea. Industriaren eta eskualdearen arabera, aldi honek batez beste 99 egun ditu AEBetan, 106 egun EMEA eskualdean, 172 egun APAC eskualdean (M-Trends 2017, A View From the Front Lines, Mandiant).
- Zer eskaintzen du merkatuak?
- "Sandboxes". Prebentziozko beste kontrol bat, idealetik urrun dagoena. Teknika eraginkor asko daude sandbox edo zerrenda zuriko irtenbideak detektatzeko eta saihesteko. βAlde ilunekoβ mutilek oraindik pauso bat aurreratzen dute hemen.
- UEBA (portaera profilak egiteko eta desbideratzeak identifikatzeko sistemak) - teorian, oso eraginkorra izan daiteke. Baina, nire ustez, hau noizbait etorkizun urrunekoa da. Praktikan, hori oraindik oso garestia da, ez da fidagarria eta oso heldua eta egonkorra behar du informatika eta informazioaren segurtasuneko azpiegitura, dagoeneko jokabidearen analisirako datuak sortuko dituzten tresna guztiak dituena.
- SIEM tresna ona da ikerketak egiteko, baina ezin da zerbait berria eta originala garaiz ikusi eta erakusteko, korrelazio arauak sinaduraren berdinak direlako.
- Ondorioz, tresna baten beharra dago:
- arrakastaz lan egin du dagoeneko arriskuan dagoen perimetro baten baldintzetan,
- eraso arrakastatsuak ia denbora errealean detektatu ditu, erabilitako tresnak eta ahultasunak kontuan hartu gabe,
- ez zen sinadura/arau/gidoi/politika/profilen eta beste gauza estatiko batzuen araberakoa,
- ez zuen datu kopuru handirik eta haien iturriak aztertzeko behar,
- Erasoak "munduko onena, patentatua eta, beraz, matematika itxia"ren lanaren ondorioz, arrisku-puntuazio moduko bat bezala definitzea ahalbidetuko luke, ikerketa osagarria eskatzen duena, baina ia gertaera bitar gisa - "Bai, erasotzen gaituzteβ edo βEz, dena ondo dagoβ,
- unibertsala, modu eraginkorrean eskalagarria eta edozein ingurune heterogeneotan ezartzeko modukoa zen, erabilitako sare fisiko eta logikoko topologia edozein dela ere.
Iruzurra deritzon irtenbideak gaur egun tresna horren papera lortzeko lehian ari dira. Hau da, honeypot-en kontzeptu zahar onean oinarritutako irtenbideak, baina ezarpen-maila guztiz ezberdina dutenak. Gai hau, zalantzarik gabe, gorantz doa orain.
Emaitzen arabera Engainu irtenbideak erabiltzeko gomendatzen diren 3 estrategia eta tresnetan sartzen dira.
Txostenaren arabera Deception IDS Intrusion Detection Systems) irtenbideen garapenaren ildo nagusietako bat da.
Azken honen atal oso bat , SCADAri eskainia, merkatu honetako liderretako baten datuetan oinarritzen da, TrapX Security (Israel), zeinaren irtenbideak urtebete daramagu gure proba eremuan lanean.
TrapX Deception Grid-ek modu masiboan banatutako IDS zentralki kostatu eta funtzionatzeko aukera ematen du, hardware-baliabideen lizentzia-karga eta eskakizunak handitu gabe. Izan ere, TrapX lehendik dagoen IT azpiegiturako elementuetatik enpresa mailan erasoak detektatzeko mekanismo handi bat sortzeko aukera ematen duen eraikitzailea da, sare banatutako "alarma" moduko bat.
Soluzio Egitura
Gure laborategian etengabe ikertzen eta probatzen ditugu hainbat produktu berri IT segurtasunaren alorrean. Gaur egun, 50 zerbitzari birtual inguru zabaltzen dira hemen, TrapX Deception Grid osagaiak barne.
Beraz, goitik behera:
- TSOC (TrapX Security Operation Console) sistemaren garuna da. Kudeaketa kontsola zentrala da, zeinaren bidez konfigurazioa, irtenbidearen hedapena eta eguneroko eragiketa guztiak egiten dira. Web-zerbitzu bat denez, edonon heda daiteke: perimetroan, hodeian edo MSSP hornitzaile batean.
- TrapX Appliance (TSA) zerbitzari birtual bat da eta bertan konektatzen ditugu, enbor ataka erabiliz, monitorizazioarekin estali nahi ditugun azpisareak. Gainera, gure sareko sentsore guztiak benetan hemen "bizi" dira.
Gure laborategiak TSA bat du zabalduta (mwsapp1), baina errealitatean asko egon litezke. Hau beharrezkoa izan daiteke segmentuen arteko L2 konektibitaterik ez dagoen sare handietan (adibide tipikoa "Holding and filials" edo "Bankuaren egoitza nagusia eta sukurtsalak") edo sareak segmentu isolatuak baditu, adibidez, prozesuen kontrol automatizatuko sistemak. Halako adar/segmentu bakoitzean, zure TSA inplementatu dezakezu eta TSOC bakar batera konekta dezakezu, non informazio guztia zentralki prozesatuko den. Arkitektura honek monitorizazio sistema banatuak eraikitzeko aukera ematen du, sarea errotik berregituratu edo lehendik dagoen segmentazioa eten beharrik gabe.
Gainera, irteerako trafikoaren kopia bat bidali diezaiokegu TSAri TAP/SPAN bidez. Botnet, komando eta kontrol zerbitzari edo TOR saio ezagunekin konexioak detektatzen baditugu, kontsolan ere jasoko dugu emaitza. Network Intelligence Sensor (NIS) da horren arduraduna. Gure ingurunean, funtzionalitate hau suebakian inplementatzen da, beraz, ez dugu hemen erabili.
- Aplikazioen tranpak (OS osoa) - Windows zerbitzarietan oinarritutako honeypot tradizionalak. Ez duzu horietako asko behar, zerbitzari hauen helburu nagusia hurrengo sentsore-geruzari IT zerbitzuak eskaintzea edo Windows ingurunean inplementa daitezkeen negozio-aplikazioen aurkako erasoak detektatzea baita. Horrelako zerbitzari bat dugu gure laborategian instalatuta (FOS01)
- Emulatutako tranpak dira soluzioaren osagai nagusia, eta horri esker, makina birtual bakarra erabiliz, erasotzaileentzako oso "meatze-eremu" trinkoa sortu eta enpresa-sarea, bere vlan guztiak, gure sentsoreekin saturatu dezakegu. Erasotzaileak halako sentsore edo ostalari fantasma bat ikusten du berari erakustea erabakitzen dugun Windows PC edo zerbitzari, Linux zerbitzari edo beste gailu gisa.
Negozioaren onerako eta jakin-minaren mesedetan, "izaki bakoitzeko pare bat" zabaldu genuen: Windows ordenagailuak eta hainbat bertsiotako zerbitzariak, Linux zerbitzariak, Windows txertatutako kutxazain automatikoa, SWIFT Web Access, sareko inprimagailu bat, Cisco bat. etengailua, Axis IP kamera, MacBook bat, PLC gailua eta baita bonbilla adimenduna ere. 13 ostalari daude guztira. Oro har, saltzaileak gomendatzen du sentsore horiek zabaltzea ostalari errealen % 10eko gutxienez. Goiko barra eskuragarri dagoen helbide-espazioa da.Oso puntu garrantzitsu bat da horrelako ostalari bakoitza ez dela baliabideak eta lizentziak behar dituen makina birtual oso bat. Hau TSAren decoy, emulazioa, prozesu bat da, parametro multzo bat eta IP helbide bat dituena. Hori dela eta, TSA baten laguntzarekin ere, sarea saturatu dezakegu ehunka ostalari fantasma horiek, alarma sisteman sentsore gisa funtzionatuko dutenak. Teknologia honek honeypot kontzeptua modu eraginkorrean eskalatzea ahalbidetzen du banatutako edozein enpresa handitan.
Erasotzaile baten ikuspuntutik, ostalari hauek erakargarriak dira ahultasunak dituztelako eta helburu nahiko errazak direlako. Erasotzaileak ostalari horietan zerbitzuak ikusten ditu eta haiekin elkarreragin dezake eta tresna eta protokolo estandarrak erabiliz (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, etab.). Baina ezinezkoa da ostalari hauek erabiltzea eraso bat garatzeko edo zure kodea exekutatzeko.
- Bi teknologia hauen konbinazioak (FullOS eta tranpak emulatuak) aukera ematen digu erasotzaile batek lehenago edo beranduago gure seinaleztapen-sareko elementuren batekin topo egiteko probabilitate estatistiko handia lortzeko. Baina nola ziurtatu probabilitate hori %100etik gertu dagoela?
Deception tokens izenekoak borrokan sartzen dira. Horiei esker, lehendik dauden ordenagailu eta zerbitzari guztiak gure IDS banatuetan sar ditzakegu. Tokenak erabiltzaileen benetako ordenagailuetan jartzen dira. Garrantzitsua da ulertzea tokenak ez direla baliabideak kontsumitzen dituzten eta gatazkak sor ditzaketen eragileak. Tokenak informazio-elementu pasiboak dira, erasotzaileentzako "ogi birrindu" moduko bat, tranpa batera eramaten dutenak. Adibidez, sareko unitateen mapak, nabigatzailean web administratzaile faltsuentzako laster-markak eta haien pasahitzak gordetakoak, gordetako ssh/rdp/winscp saioak, gure tranpak ostalari fitxategietan iruzkinekin, memorian gordetako pasahitzak, existitzen ez diren erabiltzaileen kredentzialak, bulegoa. fitxategiak, sistema abiaraziko duen irekitzea eta askoz gehiago. Horrela, erasotzailea ingurune distortsionatu batean kokatzen dugu, benetan mehatxurik sortzen ez diguten eraso-bektoreez saturatuta, kontrakoa baizik. Eta ez du informazioa egia eta non faltsua den zehazteko modurik. Horrela, eraso baten detekzio azkarra bermatzeaz gain, bere aurrerapena nabarmen moteltzen dugu.
Sare-tranpa bat sortzeko eta tokenak konfiguratzeko adibide bat. Interfaze atsegina eta konfigurazioen, scripten, etab. eskuz editatu gabe.
Gure ingurunean, Windows Server 01R2012 exekutatzen duen FOS2-en eta Windows 7 exekutatzen duen probako PC batean konfiguratu eta jarri ditugu halako token batzuk. RDP makina hauetan exekutatzen ari da eta aldian-aldian "zintzilikatzen" ditugu DMZn, non gure sentsore batzuk. (imitatutako tranpak) ere bistaratzen dira. Beraz, etengabeko gertakarien jarioa lortzen dugu, modu naturalean nolabait esateko.
Beraz, hona hemen urteko estatistika azkar batzuk:
56 - erregistratutako gorabeherak,
2 - eraso-iturburuko ostalariak detektatu dira.
Eraso-mapa interaktiboa eta klikagarria
Aldi berean, irtenbideak ez du nolabaiteko mega-erregistrorik edo gertaeren jariorik sortzen, eta horrek denbora luzea hartzen du ulertzeko. Horren ordez, irtenbideak berak motaren arabera sailkatzen ditu gertaerak eta informazioaren segurtasun-taldeari arriskutsuenetan arreta jartzea ahalbidetzen dio batez ere: erasotzailea kontrol saioak (interakzioa) sortzen saiatzen denean edo gure trafikoan karga bitarrak (infekzioa) agertzen direnean.
Gertaeren inguruko informazio guztia irakurgarria eta aurkezten da, nire ustez, informazio-segurtasunaren arloan oinarrizko ezagutzak dituen erabiltzaile batentzat ere ulerterraza den forma batean.
Grabatutako gorabehera gehienak gure ostalariak edo konexio bakarrak eskaneatzeko saiakerak dira.
Edo RDPrako indar gordinaren pasahitzak egiten saiatzen da
Baina kasu interesgarriagoak ere egon ziren, batez ere erasotzaileek RDPren pasahitza asmatzea eta sare lokalera sarbidea lortzen zutenean.
Erasotzaile batek kodea exekutatzen saiatzen da psexec erabiliz.
Erasotzaileak gordetako saio bat aurkitu zuen, eta horrek tranpa batean sartu zuen Linux zerbitzari baten moduan. Konektatu eta berehala, aurrez prestatutako komando multzo batekin, erregistro-fitxategi guztiak eta dagozkien sistema-aldagaiak suntsitzen saiatu zen.
Erasotzaile bat SWIFT Web Access imitatzen duen honeypot batean SQL injekzioa egiten saiatzen da.
Horrelako eraso βnaturalezβ gain, gure proba batzuk ere egin genituen. Erakusgarrienetako bat sareko harraren detekzio-denbora probatzea da sare batean. Horretarako GuardiCore izeneko tresna bat erabili dugu . Windows eta Linux bahitu ditzakeen sareko harra da, baina inolako "karga"rik gabe.
Tokiko komando zentro bat zabaldu genuen, makinetako batean zizarearen lehen instantzia abiarazi genuen eta TrapX kontsolan lehen alerta jaso genuen minutu eta erdi baino gutxiagoan. TTD 90 segundo eta 106 egun batez beste...
Beste irtenbide-klase batzuekin integratzeko gaitasunari esker, mehatxuak azkar hautematetik automatikoki erantzutera pasa gaitezke.
Adibidez, NAC (Network Access Control) sistemekin edo CarbonBlackrekin integratzeak saretik automatikoki deskonektatzeko aukera emango dizu arriskuan dauden ordenagailuak.
Sandbox-ekin integratzeak eraso batean parte hartzen duten fitxategiak automatikoki bidaltzeko aukera ematen du aztertzera.
McAfee integrazioa
Irtenbideak bere gertaeren korrelazio sistema ere badu.
Baina ez ginen pozik bere gaitasunekin, beraz, HP ArcSight-ekin integratu genuen.
Txarteltze-sistema integratuak mundu osoari laguntzen dio hautemandako mehatxuei aurre egiten.
Irtenbidea "hasieratik" gobernu-agentzien eta korporazio-segmentu handi baten beharretarako garatu zenez, roletan oinarritutako sarbide-eredu bat inplementatzen du, ADrekin integratzea, txostenen eta abiarazleen sistema garatua (gertaera-alertak), orkestrazioa. holding-egitura handiak edo MSSP hornitzaileak.
Curriculumaren ordez
Horrelako monitorizazio-sistemarik badago, zeina, figuran bezala, bizkarra estaltzen duena, perimetroaren konpromisoarekin dena hasi besterik ez da egiten. Garrantzitsuena da informazio-segurtasuneko gertakariei aurre egiteko aukera erreala dagoela, eta ez haien ondorioei aurre egiteko.
Iturria: www.habr.com