(mei tank oan Sergey G. Brester foar it titelidee )
Kollega's, it doel fan dit artikel is om de ûnderfining te dielen fan in jierlange testoperaasje fan in nije klasse fan IDS-oplossings basearre op Deception-technologyen.
Om de logyske gearhing fan de presintaasje fan it materiaal te behâlden, achtsje ik it nedich om te begjinnen mei de útgongspunten. Dus, it probleem:
- Rjochte oanfallen binne it gefaarlikste type oanfal, nettsjinsteande it feit dat har oandiel yn it totale oantal bedrigingen lyts is.
- Gjin garandearre effektive middels om de perimeter te beskermjen (of in set fan sokke middels) is noch útfûn.
- Yn 'e regel fynt doelgerichte oanfallen plak yn ferskate stadia. It oerwinnen fan 'e perimeter is mar ien fan' e earste fazen, dy't (jo kinne stiennen nei my goaie) net in protte skea oan 'e "slachtoffer" feroarsaket, útsein as it fansels in DEoS-oanfal (Destruction of Service) is (encryptors, ensfh. .). De echte "pine" begjint letter, doe't de fongen aktiva begjinne te brûkt wurde foar pivoting en ûntwikkeljen fan in "djipte" oanfal, en wy hawwe net opmurken dit.
- Om't wy echte ferliezen begjinne te lijen as oanfallers úteinlik de doelen fan 'e oanfal berikke (applikaasjeservers, DBMS, gegevenspakhuzen, repositories, krityske ynfrastruktuer-eleminten), is it logysk dat ien fan' e taken fan 'e ynformaasjefeiligenstsjinst is om oanfallen te ûnderbrekken foardat dit tryste barren. Mar om wat te ûnderbrekken, moatte jo it earst útfine. En hoe earder, hoe better.
- Dêrnjonken is it foar suksesfol risikobehear (dat is, it ferminderjen fan skea fan rjochte oanfallen) kritysk om ark te hawwen dy't in minimale TTD sille leverje (tiid om te detektearjen - de tiid fan it momint fan ynbraak oant it momint dat de oanfal wurdt ûntdutsen). Ofhinklik fan 'e yndustry en regio is dizze perioade gemiddeld 99 dagen yn' e FS, 106 dagen yn 'e EMEA-regio, 172 dagen yn' e APAC-regio (M-Trends 2017, A View From the Front Lines, Mandiant).
- Wat biedt de merk?
- "Sânbakken". In oare previntive kontrôle, dy't fier fan ideaal is. D'r binne in protte effektive techniken foar it opspoaren en omgean fan sânbakken as oplossingen foar whitelisting. De jonges fan de "tsjustere kant" binne hjir noch in stap foar.
- UEBA (systemen foar profilearjen fan gedrach en identifisearjen fan ôfwikingen) - yn teory, kin tige effektyf wêze. Mar, neffens my, is dit soms yn 'e fiere takomst. Yn 'e praktyk is dit noch heul djoer, ûnbetrouber en fereasket in heul folwoeksen en stabile IT- en ynformaasjefeiligensynfrastruktuer, dy't al alle ark hat dy't gegevens foar gedrachsanalyse generearje.
- SIEM is in goed ark foar ûndersiken, mar it is net yn steat om wat nijs en orizjineel op 'e tiid te sjen en sjen te litten, om't de korrelaasjeregels itselde binne as hantekeningen.
- As gefolch is d'r ferlet fan in ark dat soe:
- mei súkses wurke yn omstannichheden fan in al kompromittearre perimeter,
- ûntdutsen suksesfolle oanfallen yn hast echte tiid, nettsjinsteande de brûkte ark en kwetsberens,
- wie net ôfhinklik fan hantekeningen / regels / skripts / belied / profilen en oare statyske dingen,
- hie gjin grutte hoemannichten gegevens en harren boarnen nedich foar analyse,
- soe tastean oanfallen wurde definiearre net as in soarte fan risiko-score as gefolch fan it wurk fan "de bêste yn 'e wrâld, patintearre en dus sletten wiskunde", dat fereasket oanfoljend ûndersyk, mar praktysk as in binêre evenemint - "Ja, wy wurde oanfallen" of "Nee, alles is goed",
- wie universele, effisjint scalable en mooglik te fieren yn alle heterogene omjouwing, nettsjinsteande de fysike en logyske netwurk topology brûkt.
Saneamde misliedingsoplossingen stride no om de rol fan sa'n ark. Dat is, oplossings basearre op it goede âlde konsept fan honeypots, mar mei in folslein oar nivo fan ymplemintaasje. Dit ûnderwerp is no definityf yn opkomst.
Neffens de resultaten Deception-oplossingen binne opnommen yn 'e TOP 3-strategyen en ark dy't wurde oanrikkemandearre om te brûken.
Neffens it rapport Deception is ien fan 'e wichtichste rjochtingen fan ûntwikkeling fan IDS Intrusion Detection Systems) oplossingen.
In hiele seksje fan dat lêste , wijd oan SCADA, is basearre op gegevens fan ien fan 'e lieders op dizze merk, TrapX Security (Israel), wêrfan de oplossing in jier yn ús testgebiet wurket.
TrapX Deception Grid kinne jo kosten en operearje massaal ferspraat IDS sintraal, sûnder tanimmende de lisinsje lading en easken foar hardware middels. Yn feite is TrapX in konstruktor wêrmei jo út eleminten fan 'e besteande IT-ynfrastruktuer ien grut meganisme kinne oanmeitsje foar it opspoaren fan oanfallen op in bedriuwsbrede skaal, in soarte fan ferspraat netwurk "alarm".
Solution Struktuer
Yn ús laboratoarium studearje en testen wy konstant ferskate nije produkten op it mêd fan IT-feiligens. Op it stuit wurde hjir sa'n 50 ferskillende firtuele servers ynset, ynklusyf TrapX Deception Grid-komponinten.
Dus, fan boppen nei ûnderen:
- TSOC (TrapX Security Operation Console) is it brein fan it systeem. Dit is de sintrale behearkonsole wêrmei konfiguraasje, ynset fan 'e oplossing en alle deistige operaasjes wurde útfierd. Sûnt dit in webtsjinst is, kin it oeral ynset wurde - op 'e perimeter, yn' e wolk of by in MSSP-provider.
- TrapX Appliance (TSA) is in firtuele server wêryn wy ferbine, mei help fan de trunk haven, dy subnets dy't wy wolle dekke mei monitoring. Ek al ús netwurksensors "libje" hjir eins.
Us laboratoarium hat ien TSA ynset (mwsapp1), mar yn werklikheid kinne d'r in protte wêze. Dit kin nedich wêze yn grutte netwurken dêr't der gjin L2 ferbining tusken segminten (in typysk foarbyld is "Holding en dochterûndernimmingen" of "Bank haadkantoar en filialen") of as it netwurk hat isolearre segminten, Bygelyks, automatisearre proses kontrôle systemen. Yn elke sa'n branch / segment kinne jo jo eigen TSA ynsette en ferbine mei ien TSOC, wêr't alle ynformaasje sintraal ferwurke wurde. Dizze arsjitektuer lit jo ferdielde tafersjochsystemen bouwe sûnder de needsaak om it netwurk radikale te strukturearjen of besteande segmintaasje te fersteuren.
Wy kinne ek in kopy fan útgeande ferkear yntsjinje oan TSA fia TAP / SPAN. As wy ferbinings ûntdekke mei bekende botnets, kommando- en kontrôleservers, of TOR-sesjes, krije wy ek it resultaat yn 'e konsole. Network Intelligence Sensor (NIS) is ferantwurdlik foar dit. Yn ús omjouwing is dizze funksjonaliteit ymplementearre op 'e firewall, dus wy hawwe it hjir net brûkt.
- Application Traps (Folsleine OS) - tradisjonele huningpotten basearre op Windows-tsjinners. Jo hawwe net in protte fan har nedich, om't it haaddoel fan dizze servers is om IT-tsjinsten te leverjen oan 'e folgjende laach sensoren of oanfallen op bedriuwsapplikaasjes te detektearjen dy't kinne wurde ynset yn in Windows-omjouwing. Wy hawwe sa'n tsjinner ynstalleare yn ús laboratoarium (FOS01)
- Emulearre traps binne de wichtichste komponint fan 'e oplossing, wêrtroch't wy, mei ien inkelde firtuele masine, in heul dichte "mynfjild" meitsje kinne foar oanfallers en it bedriuwsnetwurk, al har vlans, mei ús sensoren verzadigje. De oanfaller sjocht sa'n sensor, as fantoomhost, as in echte Windows PC of tsjinner, Linux-tsjinner of in oar apparaat dat wy beslute om him sjen te litten.
Foar it goede fan it bedriuw en om 'e nijsgjirrigens hawwe wy "in pear fan elk skepsel" ynset - Windows PC's en servers fan ferskate ferzjes, Linux-tsjinners, in pinautomaat mei ynbêde Windows, SWIFT Web Access, in netwurkprinter, in Cisco switch, in Axis IP-kamera, in MacBook, PLC -apparaat en sels in tûke gloeilampe. D'r binne yn totaal 13 hosts. Yn 't algemien advisearret de ferkeaper sokke sensoren yn te setten yn in bedrach fan op syn minst 10% fan it oantal echte hosts. De boppeste balke is de beskikbere adresromte.In heul wichtich punt is dat elke sa'n host gjin folsleine firtuele masine is dy't boarnen en lisinsjes fereasket. Dit is in decoy, emulaasje, ien proses op de TSA, dat hat in set fan parameters en in IP-adres. Dêrom, mei de help fan sels ien TSA, kinne wy sêdzje it netwurk mei hûnderten fan sokke phantom hosts, dy't sil wurkje as sensoren yn it alaarm systeem. It is dizze technology dy't it mooglik makket om it honeypot-konsept op kosten-effektyf skaal te skaaljen oer elke grutte ferdielde ûndernimming.
Fanút it eachpunt fan in oanfaller binne dizze hosts oantreklik om't se kwetsberens befetsje en relatyf maklike doelen lykje te wêzen. De oanfaller sjocht tsjinsten op dizze hosts en kin mei har ynteraksje en oanfalle mei standert ark en protokollen (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, ensfh.). Mar it is ûnmooglik om dizze hosts te brûken om in oanfal te ûntwikkeljen of jo eigen koade út te fieren.
- De kombinaasje fan dizze twa technologyen (FullOS en emulated traps) lit ús in hege statistyske kâns berikke dat in oanfaller ier of letter wat elemint fan ús sinjaalnetwurk tsjinkomt. Mar hoe kinne wy derfoar soargje dat dizze kâns tichtby 100% is?
De saneamde Deception tokens geane de slach yn. Mei tank oan harren kinne wy alle besteande PC's en servers fan 'e ûndernimming opnimme yn ús ferspraat IDS. Tokens wurde pleatst op echte PC's fan brûkers. It is wichtich om te begripen dat tokens gjin aginten binne dy't boarnen konsumearje en konflikten kinne feroarsaakje. Tokens binne passive ynformaasje eleminten, in soarte fan "breadcrumbs" foar de oanfallende kant dy't liede it yn in trap. Bygelyks yn kaart brocht netwurkdriven, blêdwizers foar falske webadmins yn 'e browser en bewarre wachtwurden foar har, bewarre ssh/rdp/winscp-sesjes, ús traps mei opmerkings yn hostbestannen, wachtwurden opslein yn it ûnthâld, bewiisbrieven fan net-besteande brûkers, kantoar bestannen, iepening dy't it systeem sil trigger, en folle mear. Sa, wy pleatse de oanfaller yn in ferfoarme omjouwing, verzadigd mei oanfal vectoren dy't net eins in bedriging foar ús, mar earder it tsjinoerstelde. En hy hat gjin manier om te bepalen wêr't de ynformaasje wier is en wêr't it falsk is. Sa soargje wy net allinich foar rappe detectie fan in oanfal, mar fertrage ek syn foarútgong signifikant.
In foarbyld fan it meitsjen fan in netwurkfal en it ynstellen fan tokens. Freonlike ynterface en gjin hânmjittich bewurkjen fan konfiguraasjes, skripts, ensfh.
Yn ús omjouwing hawwe wy in oantal sokke tokens konfigureare en pleatst op FOS01 mei Windows Server 2012R2 en in test PC mei Windows 7. RDP rint op dizze masines en wy "hingje" se periodyk yn 'e DMZ, wêr't in oantal fan ús sensoren (emulearre trapen) wurde ek werjûn. Sa krije wy in konstante stream fan ynsidinten, fansels, sa te sizzen.
Dat, hjir binne wat rappe statistiken foar it jier:
56 - ynsidinten opnommen,
2 - oanfallen boarne hosts ûntdutsen.
Ynteraktive, klikbere oanfalkaart
Tagelyk genereart de oplossing gjin soarte fan mega-log- of evenemintfeed, dy't lang duorret om te begripen. Ynstee dêrfan klassifisearret de oplossing sels eveneminten troch har soarten en lit it ynformaasjebefeiligingsteam yn 't foarste plak rjochtsje op 'e gefaarlikste - as de oanfaller besiket kontrôle-sesjes te ferheegjen (ynteraksje) of as binêre payloads (ynfeksje) yn ús ferkear ferskine.
Alle ynformaasje oer eveneminten is lêsber en presintearre, nei myn miening, yn in maklik te begripen foarm sels foar in brûker mei basiskennis op it mêd fan ynformaasjefeiligens.
De measte fan 'e opnommen ynsidinten binne besykjen om ús hosts of inkele ferbiningen te scannen.
Of besiket wachtwurden te brute force foar RDP
Mar d'r wiene ek mear nijsgjirrige gefallen, foaral doe't oanfallers "mei slagge" it wachtwurd foar RDP te rieden en tagong te krijen ta it lokale netwurk.
In oanfaller besiket koade út te fieren mei psexec.
De oanfaller fûn in bewarre sesje, dy't him yn in trap yn 'e foarm fan in Linux-tsjinner liede. Fuort nei it ferbinen, mei ien foarôf tare set fan kommando's, besocht it alle logtriemmen en oerienkommende systeemfariabelen te ferneatigjen.
In oanfaller besiket SQL-ynjeksje út te fieren op in honeypot dy't SWIFT Web Access neimakket.
Neist sokke "natuerlike" oanfallen hawwe wy ek in oantal fan ús eigen tests útfierd. Ien fan 'e meast iepenbiere is it testen fan de deteksjetiid fan in netwurkwjirm op in netwurk. Om dit te dwaan brûkten wy in ark fan GuardiCore neamd . Dit is in netwurkwjirm dy't Windows en Linux kin kape, mar sûnder "sinjaal".
Wy ynset in pleatslik kommando sintrum, lansearre de earste eksimplaar fan de wjirm op ien fan de masines, en krigen de earste warskôging yn de TrapX konsole yn minder dan in minút en in heal. TTD 90 sekonden tsjin 106 dagen gemiddeld ...
Mei tank oan de mooglikheid om te yntegrearjen mei oare klassen fan oplossingen, kinne wy oergean fan gewoan fluch detectearjen fan bedrigingen nei automatysk reagearje op har.
Bygelyks, yntegraasje mei NAC (Network Access Control) systemen of mei CarbonBlack sil tastean jo automatysk loskeppele kompromittearre PCs út it netwurk.
Yntegraasje mei sânbakken kinne triemmen belutsen by in oanfal automatysk wurde yntsjinne foar analyse.
McAfee yntegraasje
De oplossing hat ek in eigen ynboude evenemintkorrelaasjesysteem.
Mar wy wiene net tefreden mei syn mooglikheden, dus wy yntegrearre it mei HP ArcSight.
It ynboude kaartsjesysteem helpt de heule wrâld om te gean mei ûntdutsen bedrigingen.
Sûnt de oplossing waard ûntwikkele "fan it begjin ôf" foar de behoeften fan oerheidsynstânsjes en in grut bedriuwssegment, it ymplemintearret fansels in rol-basearre tagong model, yntegraasje mei AD, in ûntwikkele systeem fan rapporten en triggers (evenemint alerts), orkestraasje foar grutte holding struktueren of MSSP providers.
Yn plak fan in resume
As der sa'n tafersjochsysteem is, dat, figuerlik sprutsen, ús rêch bedekt, dan mei it kompromis fan 'e perimeter is alles gewoan begon. It wichtichste is dat der in echte kâns is om te gean mei ynsidinten fan ynformaasjefeiligens, en net om te gean mei har gefolgen.
Boarne: www.habr.com