(kiitos Sergey G. Bresterille otsikkoideasta )
Hyvät kollegat, tämän artikkelin tarkoituksena on jakaa kokemuksia vuoden kestäneestä uuden Deception-teknologiaan perustuvien IDS-ratkaisujen luokan testitoiminnasta.
Jotta materiaalin esittämisen looginen johdonmukaisuus säilyisi, pidän tarpeellisena aloittaa lähtökohdista. Eli ongelma:
- Kohdistetut hyökkäykset ovat vaarallisin hyökkäystyyppi, vaikka niiden osuus uhkien kokonaismäärästä on pieni.
- Mitään taattua tehokasta kehän suojaamista (tai joukkoa sellaisia keinoja) ei ole vielä keksitty.
- Pääsääntöisesti kohdistetut hyökkäykset tapahtuvat useissa vaiheissa. Kehyksen ylittäminen on vain yksi alkuvaiheista, mikä (minua saa heitellä kivillä) ei aiheuta paljoa vahinkoa "uhrille", ellei se tietenkään ole DEoS (Destruction of service) -hyökkäys (salaajat jne. .). Todellinen "tuska" alkaa myöhemmin, kun kaapattua omaisuutta aletaan käyttää kääntymiseen ja "syvyyden" hyökkäyksen kehittämiseen, emmekä huomanneet tätä.
- Koska alamme kärsiä todellisia tappioita hyökkääjien vihdoin saavuttaessa hyökkäyksen kohteet (sovelluspalvelimet, DBMS, tietovarastot, arkistot, kriittiset infrastruktuurielementit), on loogista, että tietoturvapalvelun yksi tehtävistä on keskeyttää hyökkäykset ennen tämä surullinen tapahtuma. Mutta keskeyttääksesi jotain, sinun on ensin otettava siitä selvää. Ja mitä nopeammin, sen parempi.
- Näin ollen onnistuneen riskinhallinnan (eli kohdistettujen hyökkäysten aiheuttamien vahinkojen vähentämisen) kannalta on tärkeää, että käytettävissä on työkaluja, jotka tarjoavat minimin TTD:n (havaitsemisaika - aika tunkeutumisen hetkestä hyökkäyksen havaitsemiseen). Toimialasta ja alueesta riippuen tämä ajanjakso on keskimäärin 99 päivää Yhdysvalloissa, 106 päivää EMEA-alueella ja 172 päivää APAC-alueella (M-Trends 2017, A View From the Front Lines, Mandiant).
- Mitä markkinat tarjoavat?
- "hiekkalaatikot". Toinen ennaltaehkäisevä valvonta, joka on kaukana ihanteellisesta. On olemassa monia tehokkaita tekniikoita hiekkalaatikoiden havaitsemiseen ja ohittamiseen tai ratkaisujen lisäämiseen sallittujen luetteloon. "Pimeän puolen" kaverit ovat tässä vielä askeleen edellä.
- UEBA (järjestelmät käyttäytymisen profilointiin ja poikkeamien tunnistamiseen) - teoriassa voi olla erittäin tehokas. Mutta mielestäni tämä on joskus kaukaisessa tulevaisuudessa. Käytännössä tämä on edelleen erittäin kallista, epäluotettavaa ja vaatii erittäin kypsän ja vakaan IT- ja tietoturvainfrastruktuurin, jossa on jo kaikki työkalut, jotka tuottavat dataa käyttäytymisanalyysiin.
- SIEM on hyvä työkalu tutkimuksiin, mutta se ei pysty näkemään ja näyttämään uutta ja omaperäistä ajoissa, koska korrelaatiosäännöt ovat samat kuin allekirjoitukset.
- Tämän seurauksena tarvitaan työkalu, joka:
- työskennellyt menestyksekkäästi olosuhteissa, joissa kehä on jo vaarantunut,
- havaitsi onnistuneita hyökkäyksiä lähes reaaliajassa käytetyistä työkaluista ja haavoittuvuuksista riippumatta,
- ei riippunut allekirjoituksista/säännöistä/skripteistä/käytännöistä/profiileista ja muista staattisista asioista,
- ei vaatinut suuria tietomääriä ja niiden lähteitä analysointiin,
- antaisi hyökkäykset määritellä ei jonkinlaiseksi riskipisteyksiksi "maailman parhaan, patentoidun ja siksi suljetun matematiikan" työn tuloksena, mikä vaatii lisätutkimuksia, vaan käytännössä binääritapahtumana - "Kyllä, meitä hyökätään" tai "Ei, kaikki on kunnossa",
- oli universaali, tehokkaasti skaalautuva ja toteutettavissa missä tahansa heterogeenisessä ympäristössä käytetystä fyysisestä ja loogisesta verkkotopologiasta riippumatta.
Niin kutsutut petosratkaisut kilpailevat nyt tällaisen työkalun roolista. Eli ratkaisuja, jotka perustuvat vanhaan hyvään hunajaruukkukonseptiin, mutta täysin eri toteutustasolla. Tämä aihe on nyt selvästi nousussa.
Tulosten perusteella Petosratkaisut sisältyvät TOP 3 -strategiaan ja -työkaluun, joita suositellaan käytettäväksi.
Raportin mukaan Deception on yksi IDS Intrusion Detection Systems) -ratkaisujen kehittämisen pääsuunnista.
Kokonainen osa jälkimmäisestä SCADAlle omistettu versio perustuu tietoihin yhdeltä markkinoiden johtajista, TrapX Securitylta (Israel), jonka ratkaisu on toiminut testialueellamme vuoden ajan.
TrapX Deception Gridin avulla voit maksaa ja käyttää massiivisesti hajautettua IDS:ää keskitetysti lisäämättä lisensointikuormaa ja laitteistoresurssien vaatimuksia. Itse asiassa TrapX on rakentaja, jonka avulla voit luoda olemassa olevan IT-infrastruktuurin elementeistä yhden suuren mekanismin koko yrityksen laajuisten hyökkäysten havaitsemiseksi, eräänlaisen hajautetun verkon "hälytyksen".
Ratkaisun rakenne
Laboratoriossamme tutkimme ja testaamme jatkuvasti erilaisia IT-turvallisuuden alan uusia tuotteita. Tällä hetkellä täällä on käytössä noin 50 erilaista virtuaalipalvelinta, mukaan lukien TrapX Deception Grid -komponentit.
Eli ylhäältä alas:
- TSOC (TrapX Security Operation Console) on järjestelmän aivot. Tämä on keskitetty hallintakonsoli, jonka kautta konfigurointi, ratkaisun käyttöönotto ja kaikki päivittäiset toiminnot suoritetaan. Koska tämä on verkkopalvelu, se voidaan ottaa käyttöön missä tahansa - alueella, pilvessä tai MSSP-palveluntarjoajalta.
- TrapX Appliance (TSA) on virtuaalinen palvelin, johon yhdistämme runkoportin avulla ne aliverkot, jotka haluamme peittää valvonnalla. Lisäksi kaikki verkkotunnistimemme "elävät" täällä.
Laboratoriossamme on käytössä yksi TSA (mwsapp1), mutta todellisuudessa niitä voi olla useita. Tämä voi olla tarpeen suurissa verkoissa, joissa segmenttien välillä ei ole L2-yhteyttä (tyypillinen esimerkki on "Holding ja tytäryhtiöt" tai "Pankin pääkonttori ja konttorit") tai jos verkossa on erillisiä segmenttejä, esimerkiksi automatisoidut prosessinohjausjärjestelmät. Jokaisessa tällaisessa haarassa/segmentissä voit ottaa käyttöön oman TSA:n ja yhdistää sen yhteen TSOC:hen, jossa kaikki tiedot käsitellään keskitetysti. Tämän arkkitehtuurin avulla voit rakentaa hajautettuja valvontajärjestelmiä ilman, että verkkoa tarvitsee muuttaa radikaalisti tai häiritä olemassa olevaa segmentointia.
Voimme myös lähettää kopion lähtevästä liikenteestä TSA:lle TAP/SPAN:n kautta. Jos havaitsemme yhteyksiä tunnettuihin botnet-verkkoihin, komento- ja ohjauspalvelimiin tai TOR-istuntoihin, saamme tuloksen myös konsoliin. Network Intelligence Sensor (NIS) vastaa tästä. Ympäristössämme tämä toiminto on toteutettu palomuurilla, joten emme käyttäneet sitä täällä.
- Application Traps (Full OS) – perinteiset hunajapotit, jotka perustuvat Windows-palvelimiin. Niitä ei tarvita monia, koska näiden palvelimien päätarkoitus on tarjota IT-palveluita seuraavalle anturikerrokselle tai havaita hyökkäykset Windows-ympäristössä mahdollisesti käytettäviin yrityssovelluksiin. Meillä on yksi tällainen palvelin asennettuna laboratorioimme (FOS01)
- Emuloidut ansat ovat ratkaisun pääkomponentti, jonka avulla voimme luoda yhden virtuaalikoneen avulla erittäin tiheän "miinakentän" hyökkääjille ja kyllästää yritysverkkoa, kaikki sen vlanit, antureillamme. Hyökkääjä näkee tällaisen anturin tai haamuisännän todellisena Windows-tietokoneena tai -palvelimena, Linux-palvelimena tai muuna laitteena, jonka päätämme näyttää hänelle.
Liiketoiminnan hyväksi ja uteliaisuuden vuoksi otimme käyttöön "parin jokaista olentoa" - Windows-tietokoneita ja eri versioita palvelimia, Linux-palvelimia, pankkiautomaattia, jossa Windows on upotettu, SWIFT Web Accessin, verkkotulostimen, Ciscon. kytkimen, Axis IP -kameran, MacBookin, PLC -laitteen ja jopa älylampun. Isäntiä on yhteensä 13. Yleensä myyjä suosittelee tällaisten antureiden käyttöönottoa vähintään 10 % todellisten isäntien määrästä. Yläpalkki on käytettävissä oleva osoitetila.Erittäin tärkeä asia on, että jokainen tällainen isäntä ei ole täysimittainen virtuaalikone, joka vaatii resursseja ja lisenssejä. Tämä on houkutus, emulointi, yksi prosessi TSA:ssa, jolla on joukko parametreja ja IP-osoite. Siksi jopa yhden TSA:n avulla voimme kyllästää verkon sadoilla tällaisilla haamuisännillä, jotka toimivat antureina hälytysjärjestelmässä. Juuri tämä tekniikka mahdollistaa hunajapottikonseptin kustannustehokkaan skaalauksen kaikissa suurissa hajautetuissa yrityksissä.
Hyökkääjän näkökulmasta nämä isännät ovat houkuttelevia, koska ne sisältävät haavoittuvuuksia ja näyttävät olevan suhteellisen helppoja kohteita. Hyökkääjä näkee palvelut näillä isännillä ja voi olla vuorovaikutuksessa niiden kanssa ja hyökätä niihin käyttämällä vakiotyökaluja ja protokollia (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus jne.). Mutta on mahdotonta käyttää näitä isäntiä hyökkäyksen kehittämiseen tai oman koodin suorittamiseen.
- Näiden kahden tekniikan (FullOS ja emuloidut ansoja) yhdistelmä mahdollistaa suuren tilastollisen todennäköisyyden, että hyökkääjä törmää ennemmin tai myöhemmin johonkin signalointiverkkomme elementtiin. Mutta kuinka voimme varmistaa, että tämä todennäköisyys on lähellä 100 %?
Niin kutsutut petosmerkit tulevat taisteluun. Niiden ansiosta voimme sisällyttää kaikki yrityksen olemassa olevat tietokoneet ja palvelimet hajautettuun IDS:ään. Tokenit sijoitetaan käyttäjien oikeille tietokoneille. On tärkeää ymmärtää, että rahakkeet eivät ole resursseja kuluttavia ja konflikteja aiheuttavia agentteja. Tokenit ovat passiivisia informaatioelementtejä, eräänlaisia "korppujauhoja" hyökkäävälle puolelle, jotka johtavat sen ansaan. Esimerkiksi kartoitetut verkkoasemat, kirjanmerkit selaimen väärennetyille web-järjestelmänvalvojille ja niille tallennetut salasanat, tallennetut ssh/rdp/winscp-istunnot, ansat, joissa on kommentteja hosts-tiedostoissa, muistiin tallennetut salasanat, olemattomien käyttäjien tunnistetiedot, toimisto tiedostot, avaaminen, joka käynnistää järjestelmän, ja paljon muuta. Siten asetamme hyökkääjän vääristyneeseen ympäristöön, joka on täynnä hyökkäysvektoreita, jotka eivät itse asiassa aiheuta uhkaa meille, vaan pikemminkin päinvastoin. Eikä hänellä ole mitään keinoa määrittää, missä tieto on totta ja missä väärää. Näin ollen emme vain varmista hyökkäyksen nopeaa havaitsemista, vaan myös hidastamme merkittävästi sen etenemistä.
Esimerkki verkkotrapin luomisesta ja tunnuksien asettamisesta. Ystävällinen käyttöliittymä, ei manuaalista asetusten, skriptien jne. muokkaamista.
Ympäristössämme määritimme ja sijoitimme useita tällaisia tunnuksia FOS01:een, jossa on Windows Server 2012R2, ja testitietokoneeseen, jossa on Windows 7. RDP on käynnissä näissä koneissa, ja "ripustamme" ne ajoittain DMZ:hen, jossa monet anturimme (emuloidut ansat) näytetään myös. Saamme siis jatkuvan virran tapauksia, luonnollisesti niin sanotusti.
Tässä siis pikaisia tilastoja vuodelta:
56 208 – tapauksia kirjattu,
2 912 – hyökkäyslähdeisännät havaittu.
Interaktiivinen, napsautettava hyökkäyskartta
Samaan aikaan ratkaisu ei synnytä jonkinlaista megaloki- tai tapahtumasyötettä, jonka ymmärtäminen kestää kauan. Sen sijaan itse ratkaisu luokittelee tapahtumat tyypeittäin ja antaa tietoturvatiimille mahdollisuuden keskittyä ensisijaisesti vaarallisimpiin – kun hyökkääjä yrittää nostaa ohjausistuntoja (vuorovaikutus) tai kun liikenteessämme ilmaantuu binäärisiä hyötykuormia (infektio).
Kaikki tieto tapahtumista on luettavissa ja esitetty mielestäni helposti ymmärrettävässä muodossa myös tietoturva-alan perustiedot omaavalle käyttäjälle.
Suurin osa tallennetuista tapauksista on yrityksiä tarkistaa isäntimme tai yksittäiset yhteydet.
Tai yrittää pakottaa RDP:n salasanoja
Mutta oli myös mielenkiintoisempia tapauksia, varsinkin kun hyökkääjät "onnistuivat" arvaamaan RDP:n salasanan ja pääsemään paikalliseen verkkoon.
Hyökkääjä yrittää suorittaa koodia psexecin avulla.
Hyökkääjä löysi tallennetun istunnon, joka johti hänet ansaan Linux-palvelimen muodossa. Välittömästi yhteyden muodostamisen jälkeen se yritti tuhota kaikki lokitiedostot ja vastaavat järjestelmämuuttujat yhdellä esivalmistetulla komentosarjalla.
Hyökkääjä yrittää tehdä SQL-injektion SWIFT Web Accessia jäljittelevälle hunajapotille.
Tällaisten "luonnollisten" hyökkäysten lisäksi teimme myös useita omia testejämme. Yksi paljastavimmista on verkkomadon havaitsemisajan testaus verkossa. Tätä varten käytimme GuardiCoren työkalua nimeltä . Tämä on verkkomato, joka voi kaapata Windowsin ja Linuxin, mutta ilman "hyötykuormaa".
Otimme käyttöön paikallisen komentokeskuksen, käynnistimme madon ensimmäisen esiintymän yhdessä koneista ja saimme ensimmäisen hälytyksen TrapX-konsoliin alle puolessatoista minuutissa. TTD 90 sekuntia verrattuna 106 päivään keskimäärin...
Muihin ratkaisuluokkiin integroitavuuden ansiosta voimme siirtyä pelkästä uhkien nopeasta havaitsemisesta niihin automaattiseen vastaamiseen.
Esimerkiksi integrointi NAC-järjestelmiin (Network Access Control) tai CarbonBlackin kanssa mahdollistaa vaarantuneiden tietokoneiden automaattisen kytkemisen irti verkosta.
Hiekkalaatikoiden integrointi mahdollistaa hyökkäykseen liittyvien tiedostojen automaattisen lähettämisen analysoitavaksi.
McAfee-integraatio
Ratkaisussa on myös oma sisäänrakennettu tapahtumakorrelaatiojärjestelmä.
Emme kuitenkaan olleet tyytyväisiä sen ominaisuuksiin, joten integroimme sen HP ArcSightiin.
Sisäänrakennettu lippujärjestelmä auttaa koko maailmaa selviytymään havaituista uhista.
Koska ratkaisu on kehitetty "alusta alkaen" valtion virastojen ja suuren yrityssegmentin tarpeisiin, se luonnollisesti toteuttaa roolipohjaisen pääsymallin, integroinnin AD:n kanssa, kehitetyn raporttien ja triggerien (tapahtumahälytykset) järjestelmän, organisoinnin suuria holdingrakenteita tai MSSP-tarjoajia.
Palautuksen sijaan
Jos on olemassa sellainen valvontajärjestelmä, joka kuvaannollisesti sanottuna peittää selkämme, niin kehän kompromissilla kaikki on vasta alussa. Tärkeintä on, että on todellinen mahdollisuus käsitellä tietoturvaloukkauksia, ei käsitellä niiden seurauksia.
Lähde: will.com