(na gode wa Sergey G. Brester don ra'ayin take )
Abokan aiki, makasudin wannan labarin shine don raba ƙwarewar aikin gwaji na tsawon shekara na sabon nau'in mafita na IDS dangane da fasahar yaudara.
Don kiyaye daidaituwar ma'ana na gabatar da kayan, Ina la'akari da cewa ya zama dole a fara da wuraren. Don haka, matsalar:
- Hare-haren da aka yi niyya shi ne nau'in harin da ya fi hatsari, duk da cewa kason da suke da shi a yawan barazanar ya yi kadan.
- Har yanzu ba a ƙirƙira ingantacciyar hanyar ingantacciyar hanyar kare kewaye (ko saitin irin waɗannan hanyoyin) ba tukuna.
- A matsayinka na mai mulki, ana kai hare-hare a matakai da dama. Cin nasara da kewaye shine kawai ɗaya daga cikin matakan farko, wanda (zaku iya jefar da ni) ba ya haifar da mummunar lalacewa ga "wanda aka azabtar", sai dai idan, ba shakka, shi ne harin DEoS (Lalacewar sabis) (encryptors, da dai sauransu). .). Ainihin "ciwo" yana farawa daga baya, lokacin da aka fara amfani da kadarorin da aka kama don yin amfani da su don haɓakawa da haɓaka harin "zurfin", kuma ba mu lura da wannan ba.
- Tun da mun fara fuskantar hasarar gaske lokacin da maharan ƙarshe suka kai ga harin (sabar aikace-aikacen, DBMS, ɗakunan ajiya na bayanai, ma'ajin ajiya, mahimman abubuwan more rayuwa), yana da ma'ana cewa ɗayan ayyukan sabis ɗin tsaro na bayanai shine katse hare-hare kafin wannan lamari mai ban tausayi. Amma don katse wani abu, dole ne ka fara gano shi. Kuma da wuri, mafi kyau.
- Saboda haka, don samun nasarar gudanar da haɗari (wato, rage lalacewa daga hare-haren da aka yi niyya), yana da mahimmanci a sami kayan aikin da za su samar da mafi ƙarancin TTD (lokacin ganowa - daga lokacin kutse zuwa lokacin da aka gano harin). Dangane da masana'antu da yanki, wannan lokacin yana daidaita kwanakin 99 a cikin Amurka, kwanaki 106 a cikin yankin EMEA, kwanaki 172 a cikin yankin APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
- Menene kasuwa ke bayarwa?
- "Sandboxes". Wani kulawar rigakafi, wanda yayi nisa daga manufa. Akwai ingantattun dabaru da yawa don ganowa da ƙetare akwatunan yashi ko mafita masu ba da izini. Mutanen daga "bangaren duhu" har yanzu mataki daya ne gaba a nan.
- UEBA (tsari don nuna hali da kuma gano sabawa) - a ka'idar, na iya zama tasiri sosai. Amma, a ganina, wannan wani lokaci ne a nan gaba mai nisa. A aikace, wannan har yanzu yana da tsada sosai, ba abin dogaro ba kuma yana buƙatar balagagge da kwanciyar hankali IT da kayan aikin tsaro na bayanai, wanda tuni yana da duk kayan aikin da za su samar da bayanai don nazarin halaye.
- SIEM kayan aiki ne mai kyau don bincike, amma ba zai iya gani da nuna wani sabon abu da asali a cikin lokaci ba, saboda ka'idodin haɗin gwiwa daidai suke da sa hannu.
- A sakamakon haka, akwai buƙatar kayan aiki wanda zai:
- yayi nasarar yin aiki a cikin yanayin kewayen da aka riga aka daidaita,
- an gano munanan hare-hare a kusa da ainihin lokaci, ba tare da la'akari da kayan aiki da raunin da aka yi amfani da su ba,
- bai dogara da sa hannu / dokoki / rubuce-rubuce / manufofi / bayanan martaba da sauran abubuwa masu mahimmanci ba,
- ba ya buƙatar ɗimbin bayanai da tushen su don bincike,
- zai ba da damar a bayyana hare-haren ba a matsayin wani nau'i na haɗari ba sakamakon aikin "mafi kyawun duniya, wanda aka ba da izini don haka rufe lissafi", wanda ke buƙatar ƙarin bincike, amma a zahiri a matsayin taron binaryar - "Ee, ana kai mana hari" ko "A'a, komai yayi daidai",
- ya kasance na duniya baki ɗaya, ingantaccen sikeli kuma mai yuwuwar aiwatarwa a kowane yanayi daban-daban, ba tare da la'akari da yanayin hanyar sadarwa ta zahiri da ma'ana da aka yi amfani da ita ba.
Abubuwan da ake kira mafita na yaudara yanzu suna fafatawa don rawar irin wannan kayan aiki. Wato, mafita dangane da kyakkyawar tsohuwar ra'ayi na saƙar zuma, amma tare da matakin aiwatarwa daban-daban. Tabbas wannan batu yana karuwa yanzu.
A cewar sakamakon Hanyoyin yaudara sun haɗa a cikin dabarun TOP 3 da kayan aikin da aka ba da shawarar yin amfani da su.
A cewar rahoton Yaudara ɗaya daga cikin manyan kwatance na ci gaban IDS Intrusion Detection Systems) mafita.
Dukan sashe na karshen , sadaukar da SCADA, dogara ne a kan bayanai daga daya daga cikin shugabannin a cikin wannan kasuwa, TrapX Tsaro (Isra'ila), da bayani da aka aiki a cikin gwajin yankin har shekara guda.
TrapX Deception Grid yana ba ku damar farashi da sarrafa IDS da aka rarraba a tsakiya, ba tare da ƙara nauyin lasisi da buƙatun kayan masarufi ba. A zahiri, TrapX maginin ne wanda ke ba ku damar ƙirƙira daga abubuwan abubuwan abubuwan da ke akwai na IT babbar hanyar gano hare-hare a kan sikelin kasuwanci, nau'in “ƙarararrawa” cibiyar sadarwa da aka rarraba.
Tsarin Magani
A cikin dakin gwaje-gwajenmu koyaushe muna yin nazari da gwada sabbin samfura daban-daban a fagen tsaro na IT. A halin yanzu, kusan sabobin 50 daban-daban ana tura su anan, gami da abubuwan haɗin TrapX Deception Grid.
Don haka, daga sama zuwa kasa:
- TSOC (TrapX Tsaro Operation Console) shine kwakwalwar tsarin. Wannan shine babban na'ura wasan bidiyo na gudanarwa ta inda ake aiwatar da tsari, tura mafita da duk ayyukan yau da kullun. Tun da wannan sabis ɗin gidan yanar gizo ne, ana iya tura shi ko'ina - akan kewaye, a cikin gajimare ko a mai bada MSSP.
- TrapX Appliance (TSA) shine uwar garken kama-da-wane wanda muke haɗawa, ta amfani da tashar tashar jirgin ruwa, waɗancan ƙananan hanyoyin da muke son rufewa tare da saka idanu. Hakanan, duk firikwensin hanyar sadarwar mu a zahiri suna "rayuwa" anan.
Lab ɗin mu yana da TSA guda ɗaya da aka tura (mwsapp1), amma a zahiri ana iya samun da yawa. Wannan na iya zama dole a cikin manyan cibiyoyin sadarwa inda babu haɗin L2 tsakanin ɓangarori (misali na yau da kullun shine "Holding and subsidiaries" ko "Babban ofishi da rassa") ko kuma idan cibiyar sadarwa tana da keɓantacce sassa, misali, tsarin sarrafa tsari mai sarrafa kansa. A cikin kowane irin wannan reshe/bangare, zaku iya tura TSA ɗin ku kuma ku haɗa shi zuwa TSOC guda ɗaya, inda za'a sarrafa duk bayanan a tsakiya. Wannan gine-ginen yana ba ku damar gina tsarin sa ido da aka rarraba ba tare da buƙatar sake fasalin hanyar sadarwa ba ko kuma rushe yanki na yanzu.
Hakanan, zamu iya ƙaddamar da kwafin zirga-zirgar ababen hawa zuwa TSA ta hanyar TAP/SPAN. Idan muka gano haɗin kai tare da sanannun botnets, umarni da sabar sarrafawa, ko zaman TOR, za mu kuma sami sakamakon a cikin na'ura mai kwakwalwa. Sensor Intelligence Sensor (NIS) ne ke da alhakin wannan. A cikin mahallin mu, ana aiwatar da wannan aikin akan Tacewar zaɓi, don haka ba mu yi amfani da shi a nan ba.
- Tarko na Aikace-aikacen (Cikakken OS) – wuraren saƙar zuma na gargajiya bisa sabobin Windows. Ba kwa buƙatar da yawa daga cikinsu, tun da babban manufar waɗannan sabar shine samar da sabis na IT zuwa na'urori masu auna firikwensin na gaba ko gano hare-hare kan aikace-aikacen kasuwanci waɗanda za a iya tura su cikin yanayin Windows. Muna da irin wannan uwar garken da aka shigar a cikin dakin gwaje-gwajenmu (FOS01)
- Tarkon da aka kwaikwayi sune babban bangaren maganin, wanda ke ba mu damar, ta amfani da na'ura mai kama-da-wane guda ɗaya, don ƙirƙirar "filin nakiyoyi" mai yawa ga maharan da kuma cika cibiyar sadarwar masana'antar, duk vlans, tare da firikwensin mu. Maharin yana ganin irin wannan firikwensin, ko mai masaukin baki, a matsayin ainihin Windows PC ko uwar garken, uwar garken Linux ko wata na'ura da muka yanke shawarar nuna masa.
Don amfanin kasuwancin da kuma son sani, mun tura “biyu na kowace halitta” - Windows PCs da sabobin iri daban-daban, sabar Linux, ATM mai shigar da Windows, SWIFT Web Access, firinta na cibiyar sadarwa, Cisco. canza, kyamarar IP na Axis, MacBook, PLC - na'urar har ma da kwan fitila mai kaifin baki. Akwai runduna 13 gabaɗaya. Gabaɗaya, mai siyarwa yana ba da shawarar tura irin waɗannan na'urori masu auna firikwensin a cikin adadin akalla 10% na adadin runduna na gaske. Babban mashaya shine sararin adireshin samuwa.Abu mai mahimmanci shine kowane irin wannan mai masaukin baki ba cikakken injin kama-da-wane bane wanda ke buƙatar albarkatu da lasisi. Wannan yaudara ce, kwaikwayi, tsari ɗaya akan TSA, wanda ke da saitin sigogi da adireshin IP. Saboda haka, tare da taimakon ko da daya TSA, za mu iya saturate cibiyar sadarwa tare da daruruwan irin fatalwa runduna, wanda zai yi aiki a matsayin firikwensin a cikin ƙararrawa tsarin. Wannan fasaha ce ta ba da damar yin ƙima da ƙima cikin farashi mai inganci a cikin ma'auni na tukunyar zuma a kowane babban kamfani da aka rarraba.
Daga maharin maharin, waɗannan rundunonin suna da kyau saboda suna ɗauke da lahani kuma suna kama da hari mai sauƙi. Maharin yana ganin ayyuka akan waɗannan runduna kuma yana iya hulɗa tare da su kuma ya kai musu hari ta amfani da daidaitattun kayan aiki da ka'idoji (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, da sauransu). Amma ba shi yiwuwa a yi amfani da waɗannan runduna don haɓaka hari ko gudanar da lambar ku.
- Haɗin waɗannan fasahohin guda biyu (FullOS da tarko masu kwaikwaya) suna ba mu damar cimma babban yuwuwar ƙididdiga cewa maharin nan da nan ko ba dade ko ba dade ba zai ci karo da wani abu na hanyar sadarwar siginar mu. Amma ta yaya za mu iya tabbatar da cewa wannan yuwuwar yana kusa da 100%?
Alamomin yaudara da ake kira suna shiga yaƙin. Godiya gare su, za mu iya haɗa duk kwamfutocin da ke wanzuwa da sabar kamfanin a cikin IDS ɗinmu da aka rarraba. Ana sanya alamun akan kwamfutocin masu amfani na gaske. Yana da mahimmanci a fahimci cewa alamun ba wakilai ba ne waɗanda ke cinye albarkatu kuma suna iya haifar da rikice-rikice. Alamu abubuwa ne masu fa'ida, wani nau'in "gurasa" ga gefen kai hari wanda ke kai shi cikin tarko. Misali, abubuwan tafiyar da hanyar sadarwa ta taswira, alamun shafi zuwa admins na yanar gizo na karya a cikin mai bincike da kuma adana kalmomin shiga gare su, adana zaman ssh/rdp/winscp, tarkunan mu tare da sharhi a cikin fayilolin runduna, kalmomin shiga da aka adana a ƙwaƙwalwar ajiya, takaddun shaidar masu amfani da ba su wanzu, ofis. fayiloli, buɗewa wanda zai haifar da tsarin, da ƙari mai yawa. Don haka, muna sanya maharin a cikin gurbatattun yanayi, cike da abubuwan da ba su yi mana barazana ba, amma akasin haka. Kuma ba shi da hanyar da zai iya tantance inda bayanin yake da kuma inda yake karya. Don haka, ba wai kawai muna tabbatar da gano harin da sauri ba, har ma da rage saurin ci gabansa.
Misali na ƙirƙirar tarkon cibiyar sadarwa da kafa alamu. Ƙaƙwalwar abokantaka kuma babu gyaran hannu na saiti, rubutun, da sauransu.
A cikin mahallin mu, mun saita da kuma sanya adadin irin waɗannan alamu akan FOS01 da ke gudana Windows Server 2012R2 da PC na gwaji da ke gudana Windows 7. RDP yana gudana akan waɗannan na'urori kuma muna rataye su lokaci-lokaci a cikin DMZ, inda yawancin firikwensin mu. ( tarkon kwaikwaya ) kuma ana nunawa. Don haka muna samun kullun abubuwan da suka faru, a zahiri don magana.
Don haka, ga wasu ƙididdiga masu sauri na shekara:
56 - abubuwan da suka faru da aka rubuta,
2 - An gano runduna tushen harin.
Ma'amala, taswirar harin da za a iya dannawa
A lokaci guda, maganin ba ya haifar da wani nau'in mega-log ko ciyarwar taron, wanda ke ɗaukar lokaci mai tsawo don fahimta. Madadin haka, maganin da kansa yana rarraba abubuwan da suka faru ta nau'ikan su kuma yana ba da damar ƙungiyar tsaro ta bayanai su mai da hankali da farko akan mafi haɗari - lokacin da maharin yayi ƙoƙari ya ɗaga zaman sarrafawa (ma'amala) ko lokacin da biyan kuɗi na binary (kamuwa da cuta) ya bayyana a cikin zirga-zirgar mu.
Dukkan bayanai game da abubuwan da suka faru ana iya karanta su kuma an gabatar da su, a ganina, cikin sauƙin fahimta har ma ga mai amfani da ilimin asali a fagen tsaro na bayanai.
Yawancin abubuwan da suka faru da aka yi rikodi yunƙuri ne na bincikar ma'aikatan mu ko haɗin kai guda ɗaya.
Ko yunƙurin ɓata ƙarfin kalmomin shiga don RDP
Amma akwai kuma lokuta masu ban sha'awa, musamman lokacin da maharan suka "sarrafa" don tantance kalmar sirri don RDP kuma su sami damar shiga cibiyar sadarwar gida.
Wani maharin yana ƙoƙarin aiwatar da lamba ta amfani da psexec.
Maharin ya samo wani zaman da aka ajiye, wanda ya kai shi cikin tarko ta hanyar sabar Linux. Nan da nan bayan haɗawa, tare da tsari guda ɗaya na umarni da aka riga aka shirya, yayi ƙoƙarin lalata duk fayilolin log da masu canjin tsarin daidai.
Wani maharin yayi ƙoƙarin yin alluran SQL akan tukunyar zuma mai kwaikwayi SWIFT Web Access.
Baya ga irin wadannan hare-haren "na halitta", mun kuma gudanar da gwaje-gwajen namu da yawa. Ɗaya daga cikin mafi bayyanawa shine gwada lokacin gano tsutsa na cibiyar sadarwa akan hanyar sadarwa. Don yin wannan mun yi amfani da kayan aiki daga GuardiCore da ake kira . Wannan tsutsa ce ta hanyar sadarwa wacce za ta iya sace Windows da Linux, amma ba tare da wani “loading ba”.
Mun tura cibiyar umarni na gida, mun ƙaddamar da misalin farko na tsutsa a ɗayan injinan, kuma mun karɓi faɗakarwa ta farko a cikin na'urar wasan bidiyo na TrapX a cikin ƙasa da minti ɗaya da rabi. TTD 90 seconds a kan kwanaki 106 akan matsakaici ...
Godiya ga ikon haɗawa tare da sauran nau'ikan mafita, za mu iya matsawa daga gano barazanar da sauri zuwa amsa su ta atomatik.
Misali, hadewa tare da tsarin NAC (Network Access Control) ko tare da CarbonBlack zai ba ka damar cire haɗin PC ɗin da aka daidaita ta atomatik daga hanyar sadarwar.
Haɗin kai tare da akwatunan yashi yana ba da damar fayilolin da ke cikin harin da za a ƙaddamar da su ta atomatik don bincike.
Haɗin McAfee
Har ila yau, maganin yana da nasa tsarin haɗin gwiwar taron.
Amma ba mu gamsu da iyawar sa ba, don haka mun haɗa shi da HP ArcSight.
Tsarin tikitin da aka gina a ciki yana taimaka wa duk duniya jure barazanar da aka gano.
Tun lokacin da aka samar da mafita "daga farko" don bukatun hukumomin gwamnati da kuma babban ɓangaren kamfanoni, ta hanyar dabi'a yana aiwatar da tsarin samun damar yin amfani da shi, haɗin kai tare da AD, tsarin ci gaba na rahotanni da abubuwan da ke haifar da (fadarwar taron), ƙungiyar mawaƙa don manyan tsare-tsare ko masu samar da MSSP.
Maimakon ci gaba
Idan akwai irin wannan tsarin kulawa, wanda, a ma'ana, ya rufe mu baya, sa'an nan tare da daidaitawa na kewayen duk abin da ke farawa kawai. Abu mafi mahimmanci shi ne cewa akwai dama ta gaske don magance abubuwan da suka faru na tsaro na bayanai, ba don magance sakamakonsu ba.
source: www.habr.com