Toll mar inneal sàbhailteachd - 2, no mar a ghlacas tu APT “le biathadh beò”

(taing do Sergey G. Brester airson a 'bheachd tiotal sebair)

A cho-obraichean, is e adhbhar an artaigil seo eòlas a chuir air obair deuchainn fad bliadhna de chlas ùr de fhuasglaidhean IDS stèidhichte air teicneòlasan meallta.

Gus co-leanailteachd loidsigeach taisbeanadh an stuth a chumail, tha mi den bheachd gu bheil e riatanach tòiseachadh leis an togalach. Mar sin, an duilgheadas:

1. Is e ionnsaighean cuimsichte an seòrsa ionnsaigh as cunnartaiche, a dh’ aindeoin gu bheil an roinn aca anns an àireamh iomlan de chunnartan beag.
2. Cha deach dòighean èifeachdach cinnteach airson an iomall a dhìon (no seata de dhòighean mar sin) a chruthachadh fhathast.
3. Mar riaghailt, bidh ionnsaighean cuimsichte a ‘tachairt ann an grunn ìrean. Chan eil ann a bhith a’ faighinn thairis air an iomall ach aon de na h-ìrean tùsail, nach dèan (faodaidh tu clachan a thilgeil orm) mòran milleadh a dhèanamh air an “neach-fulang”, mura h-eil, gu dearbh, na ionnsaigh DEoS (sgrios seirbheis) (crioptairean, msaa). .). Bidh am fìor “phian” a’ tòiseachadh nas fhaide air adhart, nuair a thòisicheas a’ mhaoin a chaidh a ghlacadh a chleachdadh airson ionnsaigh “doimhneachd” a spìonadh agus a leasachadh, agus cha do mhothaich sinn seo.
4. Leis gu bheil sinn a ’tòiseachadh a’ fulang fìor chall nuair a ruigeas luchd-ionnsaigh targaidean an ionnsaigh mu dheireadh (frithealaichean tagraidh, DBMS, taighean-bathair dàta, stòran, eileamaidean bun-structair èiginneach), tha e loidsigeach gur e aon de ghnìomhan na seirbheis tèarainteachd fiosrachaidh casg a chuir air ionnsaighean ro-làimh. an tachartas duilich seo. Ach gus casg a chuir air rudeigin, feumaidh tu an-toiseach faighinn a-mach mu dheidhinn. Agus na bu tràithe, na b 'fheàrr.
5. A rèir sin, airson riaghladh cunnairt soirbheachail (is e sin, lughdachadh milleadh bho ionnsaighean cuimsichte), tha e deatamach innealan a bhith agad a bheir seachad TTD as ìsle (ùine airson lorg - an ùine bhon mhionaid a thèid an ionnsaigh a thoirt a-steach chun mhionaid a lorgar an ionnsaigh). A rèir a ’ghnìomhachais agus na sgìre, tha an ùine seo gu cuibheasach 99 latha anns na SA, 106 latha ann an roinn EMEA, 172 latha ann an roinn APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
6. Dè tha a 'mhargaidh a' tabhann?
   • "Bogsaichean gainmhich". Smachd casg eile, a tha fada bho bhith air leth freagarrach. Tha mòran dhòighean èifeachdach ann airson bogsaichean gainmhich no fuasglaidhean geal-liosta a lorg agus a sheachnadh. Tha na balaich bhon “taobh dhorcha” fhathast aon cheum air adhart an seo.
   • Faodaidh UEBA (siostaman airson cunntas a thoirt air giùlan agus comharrachadh claonaidhean) - ann an teòiridh, a bhith gu math èifeachdach. Ach, nam bheachd-sa, tha seo uaireigin san àm ri teachd fad às. Ann an cleachdadh, tha seo fhathast gu math daor, neo-earbsach agus tha feum air bun-structar IT agus tèarainteachd fiosrachaidh gu math aibidh agus seasmhach, aig a bheil na h-innealan mar-thà a ghineas dàta airson mion-sgrùdadh giùlain.
   • Tha SIEM na inneal math airson sgrùdaidhean, ach chan urrainn dha rudeigin ùr is tùsail fhaicinn agus a thaisbeanadh ann an deagh àm, leis gu bheil na riaghailtean co-dhàimh co-ionann ri ainmean-sgrìobhte.

7. Mar thoradh air an sin, tha feum air inneal a bhiodh:
   • ag obair gu soirbheachail ann an suidheachaidhean a tha ann an cunnart mar-thà,
   • lorg ionnsaighean soirbheachail faisg air fìor-ùine, ge bith dè na h-innealan agus na so-leòntachd a chaidh a chleachdadh,
   • cha robh e an urra ri ainmean-sgrìobhte / riaghailtean / sgriobtaichean / poileasaidhean / pròifilean agus rudan statach eile,
   • nach robh feum air mòran dàta agus na stòran aca airson mion-sgrùdadh,
   • leigeadh le ionnsaighean a bhith air am mìneachadh chan ann mar sheòrsa de sgòradh cunnairt mar thoradh air obair “an fheadhainn as fheàrr san t-saoghal, matamataigeach le peutant agus mar sin dùinte”, a dh’ fheumas sgrùdadh a bharrachd, ach gu practaigeach mar thachartas binary - “Tha, thathas a’ toirt ionnsaigh oirnn” no “Chan eil, tha a h-uile dad ceart gu leòr”,
   • bha e uile-choitcheann, scalable gu h-èifeachdach agus comasach a bhuileachadh ann an àrainneachd ioma-ghnèitheach sam bith, ge bith dè an topology lìonra fiosaigeach agus loidsigeach a chaidh a chleachdadh.

Tha fuasglaidhean meallta ris an canar a-nis a’ strì airson àite inneal mar sin. Is e sin, fuasglaidhean stèidhichte air an t-seann bhun-bheachd math de phoitean meala, ach le ìre buileachaidh gu tur eadar-dhealaichte. Tha an cuspair seo gu cinnteach a’ sìor fhàs a-nis.

A rèir nan toraidhean Co-labhairt riaghlaidh Tèarainteachd & Risc Gartner 2017 Tha fuasglaidhean meallta air an toirt a-steach do ro-innleachdan agus innealan TOP 3 a thathas a’ moladh a chleachdadh.

A rèir na h-aithisg TAG Cybersecurity Bliadhnail 2017 Is e mealladh aon de na prìomh stiùiridhean airson leasachadh fhuasglaidhean IDS Intrusion Detection Systems).

Earrann slàn den fheadhainn mu dheireadh Aithisg Cisco State of IT Security, coisrigte do SCADA, stèidhichte air dàta bho aon de na stiùirichean sa mhargaidh seo, TrapX Security (Israel), agus tha am fuasgladh air a bhith ag obair san raon deuchainn againn airson bliadhna.

Leigidh TrapX Deception Grid leat cosgais agus obrachadh IDS air a chuairteachadh gu mòr sa mheadhan, gun a bhith ag àrdachadh an luchd ceadachd agus riatanasan airson goireasan bathar-cruaidh. Gu dearbh, tha TrapX na neach-togail a leigeas leat cruthachadh bho eileamaidean den bhun-structar IT a th ’ann mar-thà aon inneal mòr airson ionnsaighean a lorg air sgèile air feadh na h-iomairt, seòrsa de“ inneal-rabhaidh ”lìonra sgaoilte.

Structar Fuasglaidh

Anns an obair-lann againn bidh sinn an-còmhnaidh a’ sgrùdadh agus a’ dèanamh deuchainn air grunn thoraidhean ùra ann an raon tèarainteachd IT. An-dràsta, tha timcheall air 50 seirbheisiche brìgheil eadar-dhealaichte air an cleachdadh an seo, a’ toirt a-steach co-phàirtean TrapX Deception Grid.

Mar sin, bho mhullach gu bonn:

1. Is e TSOC (TrapX Security Operation Console) eanchainn an t-siostaim. Is e seo an consol riaghlaidh meadhanach tro bheilear a’ dèanamh rèiteachadh, cleachdadh an fhuasglaidh agus a h-uile obair làitheil. Leis gur e seirbheis lìn a tha seo, faodar a chleachdadh an àite sam bith - air an iomall, san sgòth no aig solaraiche MSSP.
2. Is e frithealaiche brìgheil a th’ ann an TrapX Appliance (TSA) anns am bi sinn a’ ceangal, a’ cleachdadh a’ phrìomh phort, na subnets sin a tha sinn airson a chòmhdach le sgrùdadh. Cuideachd, tha na mothachairean lìonra againn uile “beò” an seo.

   Tha aon TSA air a chleachdadh san obair-lann againn (mwsapp1), ach ann an da-rìribh dh’ fhaodadh mòran a bhith ann. Dh’ fhaodadh seo a bhith riatanach ann an lìonraidhean mòra far nach eil ceangal L2 eadar earrannan (is e eisimpleir àbhaisteach “Holding and subsidies” no “Prìomh oifis banca agus meuran”) no ma tha earrannan iomallach aig an lìonra, mar eisimpleir, siostaman smachd pròiseas fèin-ghluasadach. Anns gach meur/sgaradh den leithid, faodaidh tu an TSA agad fhèin a chleachdadh agus a cheangal ri aon TSOC, far am bi a h-uile fiosrachadh air a phròiseasadh sa mheadhan. Leigidh an ailtireachd seo leat siostaman sgrùdaidh sgaoilte a thogail gun fheum air an lìonra ath-structaradh gu mòr no dragh a chuir air an sgaradh a th’ ann mar-thà.

   Cuideachd, is urrainn dhuinn leth-bhreac de thrafaig a-mach a chuir gu TSA tro TAP/SPAN. Ma lorgas sinn ceanglaichean le botnets aithnichte, frithealaichean àithne is smachd, no seiseanan TOR, gheibh sinn an toradh anns a’ chonsail cuideachd. Tha uallach air Network Intelligence Sensor (NIS) airson seo. Anns an àrainneachd againn, tha an gnìomh seo air a chuir an gnìomh air a ’bhalla-teine, agus mar sin cha do chleachd sinn e an seo.

3. Ribeachan Iarrtais (siostam-obrachaidh slàn) – poitean meala traidiseanta stèidhichte air Windows-frithealaichean. Chan eil feum air mòran, oir is e prìomh adhbhar nan frithealaichean seo seirbheisean IT a thoirt don ath shreath de luchd-mothachaidh no ionnsaighean a lorg air aplacaidean gnìomhachais a dh’ fhaodadh a bhith air an cleachdadh ann an Windows-Diciadain. Tha frithealaiche den t-seòrsa seo againn (FOS01) air a stàladh san obair-lann againn.

   

4. ’S e ribe atharrais prìomh phàirt an fhuasglaidh, a’ leigeil leinn raon-mèinn gu math dùmhail a chruthachadh airson luchd-ionnsaigh le bhith a’ cleachdadh aon inneal brìgheil agus lìonra na companaidh, a’ gabhail a-steach a h-uile VLAN, a lìonadh leis na mothachairean againn. Bidh an neach-ionnsaigh a’ faicinn mothachair mar sin, no aoigh taibhse, mar fhìor fhear. Windows PC no frithealaiche, Linux frithealaiche no inneal eile a cho-dhùnas sinn a shealltainn.

   
   
   Air sgàth gnìomhachais agus fiosrachd, chuir sinn “paidhir de gach creutair” an sàs - Windows PCan agus frithealaichean de dhiofar dhreachan, Linux-frithealaichean, ATM c Windows leabaithe, SWIFT Web Access, clò-bhualadair lìonra, suidse Cisco, camara IP Axis, MacBook, inneal PLC, agus eadhon bulb solais snasail. Sin 13 aoighean san iomlan. San fharsaingeachd, tha an neach-reic a’ moladh mothachairean mar sin a chleachdadh co-dhiù 10% den àireamh iomlan de aoighean fhèin. Is e an crìoch as àirde an t-àite seòlaidh a tha ri fhaighinn.

   Is e puing glè chudromach nach e inneal brìgheil làn-chuimseach a th’ anns gach aoigh mar sin a dh ’fheumas goireasan agus ceadan. Is e seo decoy, emulation, aon phròiseas air an TSA, aig a bheil seata de pharamadairean agus seòladh IP. Mar sin, le cuideachadh bho eadhon aon TSA, is urrainn dhuinn an lìonra a shàthadh leis na ceudan de luchd-aoigheachd mar sin, a bhios ag obair mar luchd-mothachaidh san t-siostam rabhaidh. Is e an teicneòlas seo a tha ga dhèanamh comasach sgèile a dhèanamh gu h-èifeachdach air bun-bheachd na meala thairis air iomairt mhòr sgaoilte sam bith.

   Bho shealladh neach-ionnsaigh, tha na h-aoighean sin tarraingeach leis gu bheil so-leòntachd annta agus tha coltas gu bheil iad nan targaidean gu math furasta. Bidh an neach-ionnsaigh a’ faicinn seirbheisean air na h-aoighean sin agus faodaidh iad eadar-obrachadh leotha agus ionnsaigh a thoirt orra le bhith a’ cleachdadh innealan agus protocolaidhean àbhaisteach (smb / wmi/ssh/telnet/web/dnp/bonjour/Modbus, msaa). Ach tha e do-dhèanta na h-aoighean sin a chleachdadh gus ionnsaigh a leasachadh no do chòd fhèin a ruith.

5. Tha an cothlamadh den dà theicneòlas seo (FullOS agus ribeachan emulated) a’ toirt cothrom dhuinn coltachd staitistigeil àrd a choileanadh gun coinnich neach-ionnsaigh nas luaithe no nas fhaide air adhart ri eileamaid air choreigin den lìonra chomharran againn. Ach ciamar a nì sinn cinnteach gu bheil an coltachd seo faisg air 100%?

   Bidh na comharran meallta ris an canar a’ dol a-steach don bhlàr. Taing dhaibh, is urrainn dhuinn a h-uile PC agus frithealaiche a th’ aig an iomairt a thoirt a-steach don IDS sgaoilte againn. Tha comharran air an cur air fìor PCan luchd-cleachdaidh. Tha e cudromach tuigsinn nach e riochdairean a th’ ann an tokens a bhios ag ithe ghoireasan agus a dh’ fhaodadh còmhstri adhbhrachadh. Tha comharran nan eileamaidean fiosrachaidh fulangach, seòrsa de “bhriosgaid arain” airson an taobh ionnsaigh a bheir a-steach do ribe e. Mar eisimpleir, dràibhean lìonra mapaichte, comharran leabhraichean gu rianairean lìn meallta sa bhrobhsair agus faclan-faire a shàbhaladh dhaibh, seiseanan ssh/rdp/winscp air an sàbhaladh, na ribeachan againn le beachdan ann am faidhlichean aoigheachd, faclan-faire air an sàbhaladh mar chuimhneachan, teisteanasan luchd-cleachdaidh nach eil ann, oifis faidhlichean, fosgladh a bhrosnaicheas an siostam, agus mòran a bharrachd. Mar sin, bidh sinn a’ cur an neach-ionnsaigh ann an àrainneachd shaobhadh, làn de vectaran ionnsaigh nach eil nan cunnart dhuinn, ach a chaochladh. Agus chan eil dòigh aige faighinn a-mach càite a bheil am fiosrachadh fìor agus càite a bheil e meallta. Mar sin, bidh sinn chan ann a-mhàin a’ dèanamh cinnteach gun lorgar ionnsaigh gu sgiobalta, ach bidh sinn cuideachd a’ slaodadh sìos an adhartais aige gu mòr.

Eisimpleir de bhith a’ cruthachadh ribe lìonra agus a’ stèidheachadh tokens. Eadar-aghaidh càirdeil agus gun deasachadh làimhe de configs, sgriobtaichean, msaa.

Anns an àrainneachd againne, tha sinn air grunn chomharran mar sin a rèiteachadh agus a chleachdadh air FOS01 fo smachd Windows Server 2012R2 agus PC deuchainn fo Windows 7. Bidh na h-innealan seo a’ ruith RDP, agus bidh sinn gan “crochadh” bho àm gu àm anns an DMZ, far a bheil grunn de na mothachairean againn (ribeachan aithriste) cuideachd. San dòigh seo, bidh sinn a’ faighinn sruth cunbhalach de thachartasan, mar gum biodh, gu nàdarrach.

Mar sin, seo cuid de staitistig sgiobalta airson na bliadhna:

56 - tachartasan air an clàradh,
2 - lorg luchd-aoigheachd stòr ionnsaigh.

Mapa ionnsaigh eadar-ghnìomhach, a ghabhas cliogadh

Aig an aon àm, chan eil am fuasgladh a ’gineadh seòrsa de mega-log no biadhadh tachartais, a bheir ùine mhòr airson a thuigsinn. An àite sin, bidh am fuasgladh fhèin a’ seòrsachadh thachartasan a rèir an seòrsa agus a’ leigeil leis an sgioba tèarainteachd fiosrachaidh fòcas a chuir gu sònraichte air an fheadhainn as cunnartaiche - nuair a dh’ fheuchas an neach-ionnsaigh ri seiseanan smachd àrdachadh (eadar-obrachadh) no nuair a nochdas luchdan pàighidh binary (galar) anns an trafaic againn.

Tha a h-uile fiosrachadh mu thachartasan ri leughadh agus air a thaisbeanadh, nam bheachd-sa, ann an cruth a tha furasta a thuigsinn eadhon airson neach-cleachdaidh le eòlas bunaiteach ann an raon tèarainteachd fiosrachaidh.

Tha a’ mhòr-chuid de na tachartasan clàraichte mar oidhirpean gus ar luchd-aoigheachd no ceanglaichean singilte a sganadh.

No a’ feuchainn ri faclan-faire brùideil airson RDP

Ach bha cùisean nas inntinniche ann cuideachd, gu h-àraidh nuair a bha luchd-ionnsaigh “a’ riaghladh” gus am facal-faire airson RDP a thomhas agus faighinn chun lìonra ionadail.

Bidh neach-ionnsaigh a’ feuchainn ri còd a chuir an gnìomh a’ cleachdadh psexec.

Lorg an t-ionnsaighear seisean a chaidh a shàbhaladh a thug e gu ribe ann an cruth Linux-frithealaiche. Dìreach às dèidh ceangal, le bhith a’ cleachdadh aon sheata de dh’òrdughan ro-ullaichte, dh’fheuch e ri na faidhlichean loga agus na caochladairean siostaim co-fhreagarrach uile a sgrios.

Bidh neach-ionnsaigh a’ feuchainn ri in-stealladh SQL a dhèanamh air poit meala a nì atharrais air SWIFT Web Access.

A bharrachd air na h-ionnsaighean “nàdarra” sin, rinn sinn cuideachd grunn de na deuchainnean againn fhèin. Is e aon den fheadhainn as nochdte a bhith a’ dèanamh deuchainn air an ùine lorgaidh cnuimh lìonra air lìonra. Airson seo a dhèanamh chleachd sinn inneal bho GuardiCore ris an canar Muncaidh gabhaltachIs e seo cnuimh lìonra as urrainn glacadh Windows и Linux, ach às aonais luchd “feumail” sam bith.
Chuir sinn a-steach ionad stiùiridh ionadail, chuir sinn air bhog a’ chiad eisimpleir den bhoiteag air aon de na h-innealan, agus fhuair sinn a’ chiad rabhadh ann an consol TrapX ann an nas lugha na mionaid gu leth. TTD 90 diog an aghaidh 106 latha gu cuibheasach ...

Taing don chomas a bhith ag amalachadh le clasaichean eile de fhuasglaidhean, is urrainn dhuinn gluasad bho bhith dìreach a’ lorg bagairtean gu sgiobalta gu bhith a’ freagairt gu fèin-ghluasadach riutha.

Mar eisimpleir, leigidh aonachadh le siostaman NAC (Smachd Ruigsinneachd Lìonra) no le CarbonBlack leat PCan a tha ann an cunnart a dhì-cheangal bhon lìonra gu fèin-ghluasadach.

Tha amalachadh le bogsaichean gainmhich a’ ceadachadh faidhlichean a tha an sàs ann an ionnsaigh a chuir a-steach gu fèin-ghluasadach airson mion-sgrùdadh.

Amalachadh McAfee

Tha an siostam co-dhàimh tachartais fhèin aig an fhuasgladh cuideachd.

Ach cha robh sinn riaraichte leis na comasan aige, agus mar sin dh’ aonaich sinn e le HP ArcSight.

Bidh an siostam tiogaidean togte a’ cuideachadh an t-saoghail gu lèir gus dèiligeadh ri bagairtean a chaidh an lorg.

Leis gun deach am fuasgladh a leasachadh “bhon fhìor thoiseach” airson feumalachdan bhuidhnean riaghaltais agus roinn chorporra mòr, bidh e gu nàdarrach a’ cur an gnìomh modal ruigsinneachd stèidhichte air àite, amalachadh le AD, siostam leasaichte de aithisgean agus brosnachaidhean (rabhaidhean tachartais), orchestration airson structaran seilbh mòr no solaraichean MSSP.

An àite tilleadh

Ma tha siostam sgrùdaidh mar sin ann, a tha, gu fìrinneach, a’ còmhdach ar druim, an uairsin le co-rèiteachadh an iomaill tha a h-uile dad dìreach a’ tòiseachadh. Is e an rud as cudromaiche gu bheil fìor chothrom ann dèiligeadh ri tachartasan tèarainteachd fiosrachaidh, agus gun a bhith a’ dèiligeadh ris na builean aca.

Source: www.habr.com