Zuloa segurtasun-tresna gisa - 2, edo APT nola atzeman "beita bizian"

(Eskerrik asko Sergey G. Bresterri izenburuaren ideiagatik) Sebres)

Lankideok, artikulu honen helburua Deception teknologietan oinarritutako IDS irtenbide klase berri baten urtebeteko proba-eragiketaren esperientzia partekatzea da.

Aurkezpenaren koherentzia logikoa mantentzeko, uste dut premisetatik hastea beharrezkoa dela. Beraz, arazoa:

1. Eraso zuzenduak dira eraso mota arriskutsuena, mehatxu kopuru orokorrean haien zati txikia izan arren.
2. Perimetroa babesteko bermatutako bitarteko eraginkor bat (edo horrelako bitartekoen konplexu bat) ez da oraindik asmatu.
3. Eraso zuzenduak normalean hainbat etapatan gertatzen dira. Perimetro-haustea hasierako etapetako bat besterik ez da, eta (eta harriak bota diezazkidazue) ez dio kalte handirik eragiten "biktimari", noski, DEoS (Zerbitzuaren Suntsipena) eraso bat ez bada (ransomware, etab.). Benetako mina geroago hasten da, harrapatutako aktiboak erasoa aldatzeko eta gehiago garatzeko erabiltzen direnean, guk ohartu gabe.
4. Erasotzaileek azkenean beren helburuetara (aplikazio zerbitzariak, DBMS, datu biltegiak, gordailuak, azpiegitura kritikoen elementuak) iristen direnean benetako galerak jasaten hasten garenez, logikoa da informazioaren segurtasun zerbitzuaren zereginetako bat erasoak geldiaraztea gertakari tamalgarri hori gertatu aurretik. Baina zerbait geldiarazteko, lehenik horren berri izan behar duzu. Eta zenbat eta lehenago, orduan eta hobeto.
5. Horrenbestez, arriskuen kudeaketa arrakastatsua lortzeko (hau da, eraso zuzenduen kalteak arintzeko), ezinbestekoa da TTD (detekzio-denbora — intrusiotik erasoa aurkitu arteko denbora) minimoa bermatzen duten tresnak izatea. Industriaren eta eskualdearen arabera, batez besteko epea 99 egunekoa da AEBn, 106 egunekoa EMEAn eta 172 egunekoa APACn (M-Trends 2017, A View From the Front Lines, Mandiant).
6. Zer eskaintzen du merkatuak?
   • Sandboxak. Beste kontrol prebentibo bat, idealetik urrun. Sandboxak edo zerrenda zuriko irtenbideak detektatu eta saihesteko teknika eraginkor ugari daude. "Alde iluneko" mutilak oraindik urrats bat aurrerago daude hemen.
   • UEBA (portaera-profilak egiteko eta anomaliak detektatzeko sistemak) oso eraginkorrak izan litezke teorian. Baina, nire ustez, hori etorkizun urrunean izango da. Praktikan, oraindik oso garestia da, fidagarria ez dena, eta IT eta informazio-segurtasuneko azpiegitura oso heldua eta egonkorra behar du, portaera-analisirako datuak sortzeko beharrezko tresna guztiak dituena.
   • SIEM tresna ona da ikerketetarako, baina ez da gai ezer berri eta originalik garaiz detektatu eta bistaratu, korrelazio arauak funtsean sinadura berdinak direlako.

7. Ondorioz, honako hauek egiteko tresna baten beharra zegoen:
   • arrakastaz lan egin zuen dagoeneko kaltetutako perimetro batean,
   • eraso arrakastatsuak ia denbora errealean detektatu zituen, erabilitako tresnak eta ahultasunak edozein direla ere,
   • ez zen sinadura/arau/gidoi/politika/profilen eta beste gauza estatiko batzuen mende egon,
   • ez zuen datu kopuru handirik eta haien iturririk behar analisietarako,
   • erasoak ez lirateke "munduko onenen, patentatutako eta beraz itxitako matematikaren" lanaren ondoriozko arrisku-puntuazio mota gisa definitzen uzten, ikerketa gehigarria behar duena, baizik eta ia gertaera bitar gisa: "Bai, erasotzen ari gaituzte" edo "Ez, dena ondo dago".
   • unibertsala, eskalagarria eta edozein ingurune heterogeneotan ezartzeko bideragarria zen, erabilitako sare-topologia fisiko eta logikoa edozein dela ere.

Ustezko engainu-irtenbideek tresna horren rola lortzeko lehian ari dira gaur egun. Hauek ezti-ontzi kontzeptu zaharrean oinarritutako irtenbideak dira, baina inplementazio-maila guztiz desberdina dute. Gai hau goraka doa, zalantzarik gabe.

Emaitzen arabera Gartner Segurtasun eta Arriskuen Kudeaketa gailurra 2017 Engainu-irtenbideak erabiltzeko gomendatzen diren 3 estrategia eta tresna nagusien artean daude.

Txostenaren arabera TAG Zibersegurtasun Urtekaria 2017 Engainua IDS Intrusio Detekzio Sistemen irtenbideen garapen-arlo nagusietako bat da.

Azkeneko atal oso bat Ciscoren IT Segurtasunaren Egoerari buruzko Txostena, SCADAri eskainia, merkatuko liderretako baten datuetan oinarritzen da, TrapX Security-rena (Israel), zeinaren irtenbidea urtebetez gure proba-eremuan funtzionatzen ari den.

TrapX Deception Grid-ek IDS sistema masiboki banatuak zentralizatuta instalatzea eta erabiltzea ahalbidetzen dizu, lizentzia-kostuak edo hardware-eskakizunak handitu gabe. Funtsean, TrapX eraikuntza-kit bat da, zure IT azpiegituraren elementuetatik abiatuta enpresa osoko erasoak detektatzeko mekanismo bakarra sortzeko aukera ematen dizuna, sare banatuko "alarma" moduko bat.

Soluzioen egitura

Gure laborategian, etengabe aztertzen eta probatzen ditugu IT segurtasun teknologia berri ugari. Gaur egun, 50 zerbitzari birtual inguru ditugu zabalduta, TrapX Deception Grid osagaiak barne.

Beraz, goitik behera:

1. TSOC (TrapX Security Operation Console) sistemaren garuna da. Konfiguraziorako, hedapenerako eta eguneroko eragiketetarako erabiltzen den kudeaketa-kontsola zentrala da. Web zerbitzu bat denez, edonon heda daiteke: lokalean, hodeian edo MSSP batekin.
2. TrapX Appliance (TSA) zerbitzari birtual bat da, eta bertara konektatzen ditugu monitorizatu nahi ditugun azpisareak trunk ataka baten bidez. Gure sareko sentsore guztiak ere bertan daude, funtsean.

   Gure laborategiak TSA bat (mwsapp1) zabaltzen du, baina errealitatean asko egon daitezke. Hori beharrezkoa izan daiteke segmentuen artean L2 konexiorik ez dagoen sare handietan (adibidez, "Holding eta Filialak" edo "Bankuko Egoitza Nagusia eta Sukurtsalak" dira) edo sareak segmentu isolatuak baditu, hala nola prozesuen kontrol sistema automatizatu bat (APCS). Sukurtsal/segmentu bakoitzak bere TSA zabal dezake eta TSOC bakar batera konekta dezake, non informazio guztia zentralizatuki prozesatuko den. Arkitektura honek banatutako monitorizazio sistemak eraikitzea ahalbidetzen du, sarearen eraberritze handirik edo segmentazioa eten beharrik gabe.

   Irteerako trafikoaren kopia bat ere bidal diezaiokegu TSAri TAP/SPAN bidez. Botnet ezagunetara, komando- eta kontrol-zerbitzarietara edo Tor saioetara konexioak detektatzen badira, emaitzak kontsolan ere jasoko ditugu. Sare Inteligentzia Sentsoreak (NIS) kudeatzen du hau. Gure ingurunean, funtzionalitate hau suebakian inplementatuta dago, beraz, ez dugu hemen erabili.

3. Aplikazioen tranpak (OS osoa) – honeypot tradizionalak oinarritzat hartuta Windows-zerbitzariak. Ez dira asko behar, zerbitzari hauen helburu nagusia sentsoreen hurrengo geruzari IT zerbitzuak ematea edo negozio-aplikazioetan zabaldu daitezkeen erasoak detektatzea baita. Windows-Asteazkena. Horrelako zerbitzari bat (FOS01) dugu instalatuta gure laborategian.

   

4. Tranpa simulatuak dira irtenbidearen osagai nagusia, erasotzaileentzako minen eremu oso trinkoa sortzeko aukera ematen digute makina birtual bakarra erabiliz, eta enpresako sarea, VLAN guztiak barne, gure sentsoreekin saturatzeko. Erasotzaileak sentsore hori, edo mamu-ostalari bat, benetako sentsore gisa ikusten du. Windows PC edo zerbitzaria, Linux zerbitzaria edo erakusteko erabakitzen dugun beste gailu bat.

   
   
   Negozio eta jakin-minaren mesedetan, "izaki bakoitzeko bikote bana" zabaldu genuen - Windows Bertsio ezberdinetako ordenagailuak eta zerbitzariak, Linux-zerbitzariak, kutxazain automatikoak Windows txertatuta, SWIFT Web Access, sareko inprimagailu bat, Cisco switch bat, Axis IP kamera bat, MacBook bat, PLC gailu bat eta baita bonbilla adimendun bat ere. Guztira 13 host dira. Oro har, saltzaileak gomendatzen du sentsore horiek gutxienez host guztien % 10ean ezartzea. Goiko muga eskuragarri dagoen helbide-espazioa da.

   Garrantzitsuena da host horietako bakoitza ez dela baliabideak eta lizentziak behar dituen makina birtual oso bat. "Txantxa" bat da, emulazio bat: TSA bakoitzeko prozesu bakarra parametro multzo batekin eta IP helbide batekin. Beraz, TSA bakarra erabiliz, sarea ehunka host fantasmaz bete dezakegu, alarma sisteman sentsore gisa jardungo dutenak. Teknologia honek ezti-pot kontzeptua edozein enpresa banatu handitan eskalatzea ahalbidetzen du kostu-eraginkortasunez.

   Host hauek erasotzaile baten ikuspuntutik erakargarriak dira, ahultasunak dituztelako eta helburu nahiko errazak direla dirudielako. Erasotzaile batek host hauetako zerbitzuak ikus ditzake eta haiekin elkarreragin dezake, tresna eta protokolo estandarrak erabiliz erasotuz (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, etab.). Hala ere, host hauek erabiltzea eraso bat garatzeko edo beren kodea exekutatzeko ezinezkoa da.

5. Bi teknologia hauen konbinazioak (FullOS eta emulatutako ezti-pot-ak) erasotzaile batek gure seinaleztapen-sareko elementuren bat aurkitzeko probabilitate estatistiko handia lortzea ahalbidetzen digu. Baina nola ziurtatu dezakegu probabilitate hori %100etik gertu dagoela?

   Engainu-tokenak sartzen dira jokoan. Enpresako ordenagailu eta zerbitzari guztiak gure IDS banatuan sartzeko aukera ematen digute. Tokenak erabiltzaile errealen ordenagailuetan jartzen dira. Garrantzitsua da ulertzea tokenak ez direla baliabideak kontsumitzen dituzten eta gatazkak sor ditzaketen agenteak. Tokenak informazio-elementu pasiboak dira, erasotzailearentzat "ogi-apur" moduko bat, tranpa batera eramaten dutenak. Adibidez, mapatutako sare-unitateak, arakatzailean web administrazio-panel faltsuen laster-markak eta haientzat gordetako pasahitzak, gordetako ssh/rdp/winscp saioek, hosts fitxategietan iruzkinak dituzten gure eztei-pot-ak, memorian gordetako pasahitzak, existitzen ez diren erabiltzaileen kredentzialak, irekitzean sistema aktibatuko duten bulegoko fitxategiak eta askoz gehiago. Horrela, erasotzailea ingurune distortsionatu batean kokatzen dugu, guretzat mehatxurik ez diren eraso-bektorez beteta, baizik eta kontrakoa. Eta ez du inolako modurik informazioa erreala edo faltsua den zehazteko. Horrela, ez dugu erasoaren detekzio azkarra bermatzen bakarrik, baita bere aurrerapena nabarmen moteltzen ere.

Sareko tranpa bat sortu eta tokenak konfiguratzeko adibide bat. Erabiltzaileentzako interfazea erraza da eta ez da konfigurazioen, script-en eta abarren eskuzko ediziorik behar.

Gure ingurunean, hainbat token konfiguratu eta zabaldu ditugu FOS01-en, honen kontrolpean: Windows Server 2012R2 eta proba-ordenagailu bat azpian Windows 7. Makina hauek RDP exekutatzen dute, eta aldian-aldian DMZn "zintzilikatzen" ditugu, non gure sentsore batzuk (tranpa emulatuak) ere dauden. Horrela, gertakarien etengabeko jarioa jasotzen dugu, nolabait esateko, naturalki.

Beraz, hona hemen urteko estatistika labur batzuk:

56.208 gertakari erregistratu dira,
2.912 – eraso-iturri ostalariak detektatu dira.

Eraso mapa interaktiboa eta klikagarria

Gainera, irtenbideak ez du mega-erregistro edo gertaeren jariorik sortzen, sailkatzeko ahalegin handia eskatzen duena. Horren ordez, gertaerak automatikoki sailkatzen ditu motaren arabera eta segurtasun-taldeari arriskutsuenetan zentratzea ahalbidetzen dio lehenik: erasotzaile batek kontrol-saioak abiarazten saiatzen denean (elkarreraginak) edo karga bitarrak gure trafikoan agertzen direnean (infekzioak).

Gertaeren informazio guztia irakurgarria da eta, nire ustez, erraz ulertzeko formatuan aurkezten da, informazioaren segurtasunari buruzko oinarrizko ezagutzak dituen erabiltzaile batentzat ere.

Erregistratutako gorabehera gehienak gure ostalariak edo banakako konexioak eskaneatzeko saiakerak dira.

Edo RDPrako pasahitzak indarrez erabiltzen saiatzen da

Baina kasu interesgarriagoak ere izan ziren, batez ere erasotzaileek RDP pasahitza indarrez erabiltzea eta tokiko sarera sartzea "lortu" zutenean.

Erasotzaile batek psexec erabiliz kodea exekutatzen saiatzen da.

Erasotzaileak gordetako saio bat aurkitu zuen, eta horrek tranpa batean sartu zuen: Linux-zerbitzaria. Konektatu bezain laster, aurrez prestatutako komando multzo bakarra erabiliz, erregistro-fitxategi guztiak eta dagokien sistema-aldagaiak suntsitzen saiatu zen.

Erasotzaile batek SWIFT Web Access imitatzen duen honeypot batean SQL injekzio bat egiten saiatzen da.

"Eraso natural" hauetaz gain, hainbat proba ere egin genituen. Argigarrienetako bat sareko har bat detektatzeko behar zen denbora probatzea izan zen. Horretarako, GuardiCore-ren tresna bat erabili genuen, izenekoa: Infekzioa MonkeyHau harrapatzeko gai den sare-harra da Windows и Linux, baina inolako karga “erabilgarririk” gabe.
Tokiko aginte-zentro bat zabaldu genuen, zizarearen lehen instantzia abiarazi genuen makinetako batean, eta lehen alerta jaso genuen TrapX kontsolan minutu eta erdi baino gutxiagoan. TTD 90 segundokoa izan zen, 106 eguneko batez bestekoaren aldean...

Bestelako irtenbide klaseekin integratzeko gaitasunari esker, mehatxuen detekzio azkarratik horiei erantzun automatikora igaro gaitezke.

Adibidez, NAC (Network Access Control) sistemekin edo CarbonBlack-ekin integratzeak ordenagailuak automatikoki saretik deskonektatzea ahalbidetuko du.

Sandbox integrazioak eraso batean parte hartzen duten fitxategiak automatikoki aztertzeko bidaltzea ahalbidetzen du.

McAfee integrazioa

Irtenbideak bere gertaeren korrelazio sistema propioa ere badu.

Baina ez geunden pozik bere gaitasunekin, beraz, HP ArcSight-ekin integratu genuen.

Txartelen sistema integratu batek talde osoari detektatutako mehatxuei aurre egiten laguntzen dio.

Irtenbidea gobernu-agentzien eta korporazio-segmentu handien beharretarako hutsetik garatu zenez, naturalki barne hartzen ditu roletan oinarritutako sarbide-eredua, AD integrazioa, txostenak egiteko eta abiarazteko sistema sofistikatua (gertaeren alertak) eta egitura handientzako edo MSSP hornitzaileentzako orkestrazioa.

Curriculumaren ordez

Horrelako monitorizazio-sistema bat badugu, eta horrek, esan nahi den bezala, bizkarrak estaltzen dizkigu, orduan perimetroaren konpromisoa hasiera besterik ez da. Garrantzitsuena, informazioaren segurtasun-intzidenteei aurre egiteko benetako aukera ematen digu, haien ondorioei aurre egin beharrean.

Iturria: www.habr.com