سوراخ به عنوان یک ابزار امنیتی - 2، یا نحوه گرفتن APT "در طعمه زنده"

(با تشکر از Sergey G. Brester برای ایده عنوان sebres)

همکاران، هدف این مقاله به اشتراک گذاشتن تجربه یک عملیات آزمایشی یک ساله کلاس جدیدی از راه حل های IDS مبتنی بر فناوری های فریب است.

برای حفظ انسجام منطقی ارائه مطالب، لازم می دانم که از مقدمات شروع کنم. بنابراین، مشکل:

1. حملات هدفمند خطرناک ترین نوع حمله هستند، علیرغم اینکه سهم آنها در کل تهدیدها کم است.
2. هیچ وسیله موثر تضمین شده ای برای محافظت از محیط (یا مجموعه ای از این وسایل) هنوز اختراع نشده است.
3. به عنوان یک قاعده، حملات هدفمند در چند مرحله انجام می شود. غلبه بر محیط تنها یکی از مراحل اولیه است که (شما می توانید به سمت من سنگ پرتاب کنید) آسیب زیادی به "قربانی" وارد نمی کند، مگر اینکه حمله DEoS (تخریب سرویس) باشد (رمزگذارها و غیره). .). "درد" واقعی بعدا شروع می شود، زمانی که دارایی های ضبط شده برای چرخش و توسعه یک حمله "عمق" مورد استفاده قرار می گیرند، و ما متوجه این موضوع نشدیم.
4. از آنجایی که زمانی که مهاجمان در نهایت به اهداف حمله (سرورهای برنامه، DBMS، انبارهای داده، مخازن، عناصر زیرساخت حیاتی) می رسند، شروع به متحمل شدن ضررهای واقعی می کنیم، منطقی است که یکی از وظایف سرویس امنیت اطلاعات این باشد که حملات را قبل از حمله قطع کند. این اتفاق غم انگیز اما برای قطع کردن چیزی، ابتدا باید از آن مطلع شوید. و هر چه زودتر بهتر.
5. بر این اساس، برای مدیریت ریسک موفقیت آمیز (یعنی کاهش آسیب ناشی از حملات هدفمند)، داشتن ابزارهایی که حداقل TTD (زمان شناسایی - زمان از لحظه نفوذ تا لحظه شناسایی حمله) را فراهم می کند، بسیار مهم است. بسته به صنعت و منطقه، این دوره به طور متوسط ​​99 روز در ایالات متحده، 106 روز در منطقه EMEA، 172 روز در منطقه APAC است (M-Trends 2017, A View From the Front Lines, Mandiant).
6. بازار چه پیشنهادی می دهد؟
   • "جعبه های شنی". یک کنترل پیشگیرانه دیگر که دور از ایده آل است. تکنیک های موثر زیادی برای شناسایی و دور زدن جعبه های ماسه ای یا راه حل های لیست سفید وجود دارد. بچه های "سمت تاریک" هنوز اینجا یک قدم جلوتر هستند.
   • UEBA (سیستم هایی برای پروفایل رفتار و شناسایی انحرافات) - در تئوری، می تواند بسیار موثر باشد. اما، به نظر من، این زمانی در آینده ای دور است. در عمل، این هنوز بسیار گران، غیرقابل اعتماد است و به یک زیرساخت فناوری اطلاعات و امنیت اطلاعات بسیار بالغ و پایدار نیاز دارد، که در حال حاضر دارای تمام ابزارهایی است که داده ها را برای تجزیه و تحلیل رفتار تولید می کند.
   • SIEM ابزار خوبی برای بررسی است، اما قادر به دیدن و نشان دادن چیزهای جدید و اصلی به موقع نیست، زیرا قوانین همبستگی مانند امضا است.

7. در نتیجه، نیاز به ابزاری وجود دارد که:
   • با موفقیت در شرایط محیطی که قبلاً در معرض خطر قرار گرفته بود کار کرد،
   • بدون در نظر گرفتن ابزارها و آسیب پذیری های مورد استفاده، حملات موفقیت آمیز را تقریباً در زمان واقعی شناسایی کرد.
   • به امضاها/قوانین/اسکریپت ها/خط مشی ها/پروفایل ها و سایر چیزهای ثابت وابسته نبود،
   • به حجم زیادی از داده ها و منابع آنها برای تجزیه و تحلیل نیاز نداشت،
   • این امکان را فراهم می کند که حملات نه به عنوان نوعی امتیاز دهی به ریسک در نتیجه کار "بهترین ریاضیات جهان، ثبت اختراع و در نتیجه ریاضیات بسته"، که نیاز به بررسی بیشتر دارد، بلکه عملاً به عنوان یک رویداد باینری تعریف شوند - "بله، به ما حمله می شود» یا «نه، همه چیز خوب است»،
   • جهانی، مقیاس پذیر و قابل اجرا در هر محیط ناهمگن، صرف نظر از توپولوژی شبکه فیزیکی و منطقی مورد استفاده، قابل اجرا بود.

راه حل های به اصطلاح فریب اکنون برای نقش چنین ابزاری رقابت می کنند. یعنی راه حل هایی مبتنی بر مفهوم خوب قدیمی هانی پات ها، اما با سطح اجرایی کاملا متفاوت. این موضوع در حال حاضر قطعا در حال افزایش است.

با توجه به نتایج اجلاس مدیریت امنیت و ریسک گارتنر 2017 راه حل های فریب در 3 استراتژی و ابزار TOP گنجانده شده است که استفاده از آنها توصیه می شود.

بر اساس این گزارش TAG سالانه امنیت سایبری 2017 فریب یکی از مسیرهای اصلی توسعه راه حل های IDS Intrusion Detection Systems است.

یک بخش کامل از دومی گزارش امنیت فناوری اطلاعات سیسکو، اختصاص داده شده به SCADA، بر اساس داده های یکی از رهبران این بازار، TrapX Security (اسرائیل) است که راه حل آن برای یک سال در منطقه آزمایشی ما کار می کند.

TrapX Deception Grid به شما این امکان را می دهد که IDS های توزیع شده انبوه را به صورت متمرکز هزینه کنید و بدون افزایش بار مجوز و الزامات منابع سخت افزاری، کار کنید. در واقع، TrapX سازنده‌ای است که به شما امکان می‌دهد از عناصر زیرساخت فناوری اطلاعات موجود، یک مکانیسم بزرگ برای شناسایی حملات در مقیاس سازمانی ایجاد کنید، نوعی زنگ شبکه توزیع‌شده.

ساختار راه حل

در آزمایشگاه خود ما به طور مداوم محصولات جدید مختلف در زمینه امنیت فناوری اطلاعات را مطالعه و آزمایش می کنیم. در حال حاضر، حدود 50 سرور مجازی مختلف، از جمله اجزای TrapX Deception Grid، در اینجا مستقر هستند.

بنابراین، از بالا به پایین:

1. TSOC (کنسول عملیات امنیتی TrapX) مغز سیستم است. این کنسول مدیریت مرکزی است که از طریق آن پیکربندی، استقرار راه حل و تمام عملیات روزانه انجام می شود. از آنجایی که این یک وب سرویس است، می‌توان آن را در هر مکانی مستقر کرد - در محیط، در ابر یا در یک ارائه‌دهنده MSSP.
2. TrapX Appliance (TSA) یک سرور مجازی است که ما با استفاده از پورت ترانک، زیرشبکه هایی را که می خواهیم با مانیتورینگ پوشش دهیم، به آن متصل می کنیم. همچنین، تمام حسگرهای شبکه ما در واقع در اینجا "زندگی می کنند".

   آزمایشگاه ما یک TSA مستقر دارد (mwsapp1)، اما در واقعیت ممکن است تعداد زیادی وجود داشته باشد. این ممکن است در شبکه‌های بزرگ که اتصال L2 بین بخش‌ها وجود ندارد (یک مثال معمولی «هلدینگ و شرکت‌های تابعه» یا «دفتر مرکزی و شعب بانک») یا اگر شبکه دارای بخش‌های مجزا است، برای مثال، سیستم‌های کنترل فرآیند خودکار، ضروری باشد. در هر شاخه/بخشی از این قبیل، می توانید TSA خود را مستقر کرده و آن را به یک TSOC متصل کنید، جایی که تمام اطلاعات به صورت مرکزی پردازش می شوند. این معماری به شما اجازه می دهد تا سیستم های نظارتی توزیع شده را بدون نیاز به بازسازی اساسی شبکه یا اختلال در بخش بندی موجود ایجاد کنید.

   همچنین، می‌توانیم یک نسخه از ترافیک خروجی را از طریق TAP/SPAN به TSA ارسال کنیم. اگر اتصالات با بات نت های شناخته شده، سرورهای فرمان و کنترل یا جلسات TOR را شناسایی کنیم، نتیجه را نیز در کنسول دریافت خواهیم کرد. حسگر هوشمند شبکه (NIS) مسئول این کار است. در محیط ما، این قابلیت بر روی فایروال پیاده سازی شده است، بنابراین ما در اینجا از آن استفاده نکردیم.

3. تله های برنامه (سیستم عامل کامل) - هانی پات های سنتی مبتنی بر سرورهای ویندوز. شما به بسیاری از آنها نیاز ندارید، زیرا هدف اصلی این سرورها ارائه خدمات فناوری اطلاعات به لایه بعدی حسگرها یا شناسایی حملات به برنامه های تجاری است که ممکن است در یک محیط ویندوز مستقر شوند. ما یکی از این سرورها را در آزمایشگاه خود نصب کرده ایم (FOS01)

   

4. تله‌های شبیه‌سازی‌شده جزء اصلی راه‌حل هستند که به ما اجازه می‌دهند با استفاده از یک ماشین مجازی واحد، یک «میدان مین» بسیار متراکم برای مهاجمان ایجاد کنیم و شبکه سازمانی، تمام vlan‌های آن را با حسگرهای خود اشباع کنیم. مهاجم چنین حسگر یا میزبان فانتوم را به عنوان یک رایانه یا سرور واقعی ویندوز، سرور لینوکس یا دستگاه دیگری می بیند که ما تصمیم داریم به او نشان دهیم.

   
   
   برای کسب و کار و به خاطر کنجکاوی، "یک جفت از هر موجود" را به کار بردیم - رایانه های شخصی ویندوز و سرورهای نسخه های مختلف، سرورهای لینوکس، یک دستگاه خودپرداز با ویندوز تعبیه شده، دسترسی به وب SWIFT، یک چاپگر شبکه، یک سیسکو سوئیچ، یک دوربین IP Axis، یک مک بوک، یک دستگاه PLC و حتی یک لامپ هوشمند. در مجموع 13 میزبان وجود دارد. به طور کلی، فروشنده توصیه می کند که چنین حسگرهایی را در مقدار حداقل 10٪ از تعداد میزبان های واقعی استفاده کنید. نوار بالایی فضای آدرس موجود است.

   یک نکته بسیار مهم این است که هر میزبانی از این دست یک ماشین مجازی کامل نیست که نیاز به منابع و مجوز داشته باشد. این یک فریب، شبیه سازی، یک فرآیند در TSA است که دارای مجموعه ای از پارامترها و یک آدرس IP است. بنابراین، با کمک حتی یک TSA، می‌توانیم شبکه را با صدها میزبان فانتوم که به عنوان حسگر در سیستم هشدار کار می‌کنند، اشباع کنیم. این فناوری است که امکان مقیاس بندی مقرون به صرفه مفهوم honeypot را در هر شرکت بزرگ توزیع شده فراهم می کند.

   از دیدگاه مهاجمان، این میزبان ها جذاب هستند زیرا دارای آسیب پذیری هستند و به نظر می رسد اهداف نسبتا آسانی باشند. مهاجم سرویس های این هاست ها را می بیند و می تواند با آنها تعامل داشته باشد و با استفاده از ابزارها و پروتکل های استاندارد (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus و غیره) به آنها حمله کند. اما استفاده از این هاست ها برای توسعه حمله یا اجرای کد خود غیرممکن است.

5. ترکیب این دو فناوری (FullOS و تله‌های شبیه‌سازی‌شده) به ما امکان می‌دهد به احتمال آماری بالایی دست یابیم که مهاجم دیر یا زود با برخی از عناصر شبکه سیگنالینگ ما روبرو می‌شود. اما چگونه می توان مطمئن شد که این احتمال نزدیک به 100٪ است؟

   به اصطلاح توکن های فریب وارد نبرد می شوند. با تشکر از آنها، ما می توانیم تمام رایانه های شخصی و سرورهای موجود شرکت را در IDS توزیع شده خود قرار دهیم. توکن ها روی رایانه های شخصی واقعی کاربران قرار می گیرند. درک این نکته مهم است که توکن ها عواملی نیستند که منابع را مصرف می کنند و می توانند باعث درگیری شوند. توکن ها عناصر اطلاعاتی منفعل هستند، نوعی "خرده نان" برای طرف مهاجم که آن را به دام می کشاند. به عنوان مثال، درایوهای شبکه نقشه‌برداری شده، نشانک‌ها برای مدیران وب جعلی در مرورگر و رمزهای عبور ذخیره شده برای آنها، جلسات ذخیره‌شده ssh/rdp/winscp، تله‌های ما با نظرات در فایل‌های میزبان، رمزهای عبور ذخیره شده در حافظه، اعتبارنامه‌های کاربران ناموجود، دفتر فایل‌هایی که باز می‌شوند و سیستم را فعال می‌کنند و موارد دیگر. بنابراین، ما مهاجم را در یک محیط تحریف شده، اشباع شده از بردارهای حمله قرار می دهیم که در واقع تهدیدی برای ما نیستند، بلکه برعکس هستند. و او هیچ راهی برای تعیین اینکه کجا اطلاعات درست و کجا نادرست است ندارد. بنابراین، ما نه تنها از تشخیص سریع یک حمله اطمینان می‌دهیم، بلکه پیشرفت آن را به میزان قابل توجهی کاهش می‌دهیم.

نمونه ای از ایجاد تله شبکه و راه اندازی توکن ها. رابط کاربری دوستانه و بدون ویرایش دستی تنظیمات، اسکریپت ها و غیره.

در محیط خود، تعدادی از این توکن‌ها را روی FOS01 با ویندوز سرور 2012R2 و یک رایانه آزمایشی با ویندوز 7 پیکربندی و قرار دادیم. RDP روی این ماشین‌ها در حال اجرا است و ما به صورت دوره‌ای آن‌ها را در DMZ، جایی که تعدادی از سنسورهایمان در آنجا آویزان می‌کنیم. (تله های شبیه سازی شده) نیز نمایش داده می شوند. بنابراین، به طور طبیعی، جریان دائمی از حوادث را دریافت می کنیم.

بنابراین، در اینجا چند آمار سریع برای سال وجود دارد:

56 - حوادث ثبت شده،
2 – میزبان منبع حمله شناسایی شد.

نقشه حمله تعاملی و قابل کلیک

در عین حال، راه حل نوعی مگا لاگ یا فید رویداد ایجاد نمی کند که درک آن زمان زیادی طول می کشد. در عوض، خود راه‌حل رویدادها را بر اساس انواعشان طبقه‌بندی می‌کند و به تیم امنیت اطلاعات اجازه می‌دهد تا در درجه اول روی خطرناک‌ترین موارد تمرکز کنند - زمانی که مهاجم سعی می‌کند جلسات کنترل را افزایش دهد (تعامل) یا زمانی که بارهای باینری (عفونت) در ترافیک ما ظاهر می‌شود.

تمام اطلاعات مربوط به رویدادها، به نظر من، حتی برای یک کاربر با دانش اولیه در زمینه امنیت اطلاعات، قابل خواندن و به شکلی قابل درک است.

اکثر حوادث ثبت شده تلاش برای اسکن میزبان یا اتصالات منفرد است.

یا تلاش هایی برای اعمال گذرواژه های اجباری برای RDP

اما موارد جالب تری نیز وجود داشت، به خصوص زمانی که مهاجمان موفق شدند رمز عبور RDP را حدس بزنند و به شبکه محلی دسترسی پیدا کنند.

یک مهاجم سعی می کند کد را با استفاده از psexec اجرا کند.

مهاجم یک جلسه ذخیره شده پیدا کرد که او را به دامی در قالب یک سرور لینوکس کشاند. بلافاصله پس از اتصال، با یک مجموعه از دستورات از پیش آماده شده، سعی در از بین بردن تمامی فایل های گزارش و متغیرهای سیستم مربوطه داشت.

یک مهاجم تلاش می کند تا تزریق SQL را روی یک هانی پات انجام دهد که از دسترسی به وب SWIFT تقلید می کند.

علاوه بر چنین حملات «طبیعی»، ما تعدادی آزمایش خود را نیز انجام دادیم. یکی از آشکارترین آنها، آزمایش زمان تشخیص یک کرم شبکه در یک شبکه است. برای این کار از ابزاری از GuardiCore به نام استفاده کردیم میمون عفونی. این یک کرم شبکه است که می تواند ویندوز و لینوکس را هک کند، اما بدون هیچ "بارگذاری".
ما یک مرکز فرماندهی محلی مستقر کردیم، اولین نمونه کرم را روی یکی از ماشین ها راه اندازی کردیم و اولین هشدار را در کنسول TrapX در کمتر از یک دقیقه و نیم دریافت کردیم. TTD 90 ثانیه در مقابل 106 روز به طور متوسط ​​...

به لطف توانایی ادغام با کلاس‌های دیگر راه‌حل‌ها، می‌توانیم از تشخیص سریع تهدیدها به پاسخ خودکار به آنها حرکت کنیم.

به عنوان مثال، ادغام با سیستم های NAC (کنترل دسترسی به شبکه) یا با CarbonBlack به شما این امکان را می دهد که رایانه های شخصی در معرض خطر را به طور خودکار از شبکه جدا کنید.

ادغام با جعبه های شنی اجازه می دهد تا فایل های درگیر در یک حمله به طور خودکار برای تجزیه و تحلیل ارسال شوند.

ادغام مک آفی

راه حل همچنین دارای سیستم همبستگی رویداد داخلی خود است.

اما ما از قابلیت های آن راضی نبودیم، بنابراین آن را با HP ArcSight ادغام کردیم.

سیستم فروش بلیط داخلی به تمام جهان کمک می کند تا با تهدیدات شناسایی شده مقابله کنند.

از آنجایی که راه حل «از ابتدا» برای نیازهای سازمان های دولتی و یک بخش بزرگ شرکتی توسعه یافته است، به طور طبیعی یک مدل دسترسی مبتنی بر نقش، ادغام با AD، یک سیستم توسعه یافته از گزارش ها و محرک ها (هشدارهای رویداد)، هماهنگ سازی برای سازه های هلدینگ بزرگ یا ارائه دهندگان MSSP.

به جای رزومه

اگر چنین سیستم نظارتی وجود داشته باشد که به معنای واقعی کلمه پشت ما را بپوشاند، پس با سازش محیط همه چیز تازه شروع شده است. مهمترین چیز این است که فرصت واقعی برای مقابله با حوادث امنیت اطلاعات وجود دارد و نه مقابله با پیامدهای آنها.

منبع: www.habr.com