(Mahalo iā Sergey G. Brester no ka manaʻo poʻo
E nā hoa hana, ʻo ke kumu o kēia ʻatikala e kaʻana like i ka ʻike o kahi hana hoʻāʻo hoʻokahi makahiki o kahi papa hou o nā hoʻonā IDS e pili ana i nā ʻenehana hoʻopunipuni.
I mea e hoʻomau ai i ka pili pono o ka hōʻike ʻana i nā mea, manaʻo wau he pono e hoʻomaka me ka hale. No laila, ka pilikia:
- ʻO nā hoʻouka kaua ʻia ʻo ia ke ʻano o ka hoʻouka kaua ʻana, ʻoiai ʻo ka liʻiliʻi o kā lākou ʻāpana i ka nui o nā mea hoʻoweliweli.
- ʻAʻole i hoʻokumu ʻia kahi ala kūpono e pale ai i ka perimeter (a i ʻole kahi ʻano o ia ʻano).
- E like me ke kānāwai, hoʻouka ʻia nā hoʻouka kaua i kekahi mau pae. ʻO ka lanakila ʻana i ka perimeter kahi wale nō o nā pae mua, ʻo ia (hiki iā ʻoe ke hoʻolei i nā pōhaku iaʻu) ʻaʻole e hōʻeha nui i ka "pōʻino", ke ʻole, ʻoiaʻiʻo, he hoʻouka kaua DEoS (Destruction of service) (encryptors, etc. .). Hoʻomaka ka "ʻeha" maoli ma hope, i ka wā e hoʻomaka ai nā waiwai i hopu ʻia no ka pivoting a me ka hoʻomohala ʻana i kahi hoʻouka "hohonu", ʻaʻole mākou i ʻike i kēia.
- Mai ka hoʻomaka ʻana e ʻeha maoli i ka wā i hōʻea ai ka poʻe hoʻouka i nā pahuhopu o ka hoʻouka ʻana (nā kikowaena noi, DBMS, nā hale kūʻai ʻikepili, nā waihona, nā ʻenehana koʻikoʻi koʻikoʻi), he mea kūpono kekahi o nā hana o ka lawelawe palekana ʻike e hoʻopau i nā hoʻouka kaua ma mua. keia hanana kaumaha. Akā, no ka hoʻopau ʻana i kekahi mea, pono ʻoe e ʻike mua e pili ana iā ia. A ʻo ka wikiwiki, ʻoi aku ka maikaʻi.
- No laila, no ka holomua o ka hoʻokele pilikia (ʻo ia hoʻi, e hōʻemi ana i nā pōʻino mai nā hoʻouka kaua ʻia), he mea koʻikoʻi ka loaʻa ʻana o nā mea hana e hāʻawi i kahi TTD liʻiliʻi (manawa e ʻike ai - ka manawa mai ka manawa o ke komo ʻana a hiki i ka manawa i ʻike ʻia ai ka hoʻouka ʻana). Ma muli o ka ʻoihana a me ka ʻāina, ʻo kēia manawa he 99 mau lā ma US, 106 mau lā ma ka ʻāina EMEA, 172 mau lā ma ka ʻāina APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
- He aha ka mea e hāʻawi aku ai ka mākeke?
- "Nā pahu one". ʻO kahi mana pale ʻē aʻe, kahi mamao loa mai ka maikaʻi. Nui nā ʻano hana maikaʻi no ka ʻike ʻana a me ke kaʻe ʻana i nā pahu one a i ʻole nā mea hoʻonā keʻokeʻo. ʻO ka poʻe mai ka "ʻaoʻao pōuliuli" ke hele nei i mua o kēia.
- UEBA (nā ʻōnaehana no ka hoʻopili ʻana i ke ʻano a me ka ʻike ʻana i nā deviations) - ma ke kumumanaʻo, hiki ke hana maikaʻi loa. Akā, i koʻu manaʻo, aia kēia i ka wā e hiki mai ana. I ka hoʻomaʻamaʻa ʻana, ʻoi loa ka pipiʻi, hilinaʻi ʻole a koi i kahi IT makua a paʻa loa a me ka ʻikepili palekana ʻike, aia nā mea hana a pau e hoʻohua ai i ka ʻikepili no ka nānā ʻana.
- He mea hana maikaʻi ʻo SIEM no ka hoʻokolokolo ʻana, akā ʻaʻole hiki iā ia ke ʻike a hōʻike i kahi mea hou a me ke kumu i ka manawa kūpono, no ka mea, ua like nā lula hoʻoponopono me nā pūlima.
- ʻO ka hopena, pono kahi mea hana e:
- Ua hana maikaʻi ʻia i nā kūlana o kahi perimeter i hoʻohālikelike ʻia,
- ʻike i nā hoʻouka kūleʻa i ka manawa maoli, me ka nānā ʻole i nā mea hana a me nā nāwaliwali i hoʻohana ʻia,
- ʻaʻole i hilinaʻi i nā pūlima / kānāwai / palapala / kulekele / profile a me nā mea ʻē aʻe,
- ʻaʻole i koi i ka nui o ka ʻikepili a me kā lākou mau kumu no ka nānā ʻana,
- e ʻae i ka hoʻouka ʻana e wehewehe ʻia ʻaʻole ma ke ʻano he ʻano o ka helu ʻana ma muli o ka hana a "ka mea maikaʻi loa o ka honua, patent a no laila ua pani ʻia ka makemakika", e koi ana i ka hoʻokolokolo hou, akā ma ke ʻano he hanana binary - "ʻAe, ke hoʻouka ʻia nei mākou" a i ʻole "ʻAʻole, ua maikaʻi nā mea āpau",
- he ākea, hiki ke hoʻonui ʻia a hiki ke hoʻokō ʻia i loko o nā ʻano like ʻole, me ka nānā ʻole i ka topology pūnaewele kino a me ka loiloi i hoʻohana ʻia.
ʻO nā mea i kapa ʻia ʻo nā hoʻonā hoʻopunipuni i kēia manawa e hakakā nei no ke kuleana o ia mea paahana. ʻO ia, nā hoʻonā e pili ana i ka manaʻo kahiko maikaʻi o nā honeypots, akā me kahi pae ʻokoʻa loa o ka hoʻokō. Ke piʻi nei kēia kumuhana i kēia manawa.
Wahi a nā hopena
Wahi a ka hōʻike
ʻO kahi ʻāpana holoʻokoʻa o ka hope
ʻAe ʻo TrapX Deception Grid iā ʻoe e uku a hana i ka IDS i puʻunaue nui ʻia ma ke kikowaena, me ka ʻole o ka hoʻonui ʻana i ka ukana laikini a me nā koi no nā kumuwaiwai lako. ʻO ka ʻoiaʻiʻo, ʻo TrapX kahi mea hana e hiki ai iā ʻoe ke hana mai nā mea o ka ʻenehana IT i kēia manawa i hoʻokahi mīkini nui no ka ʻike ʻana i nā hoʻouka ʻana ma kahi ʻoihana ākea ākea, kahi ʻano o ka pūnaewele hoʻolaha "alarm."
Hoʻolālā Hoʻonā
I loko o kā mākou hale hana ke aʻo mau nei mākou a hoʻāʻo i nā huahana hou i ke kahua o ka palekana IT. I kēia manawa, ma kahi o 50 mau kikowaena virtual ʻē aʻe i kau ʻia ma aneʻi, me nā ʻāpana TrapX Deception Grid.
No laila, mai luna a lalo:
- ʻO TSOC (TrapX Security Operation Console) ka lolo o ka ʻōnaehana. ʻO kēia ka console hoʻokele kikowaena e hoʻokō ʻia ai ka hoʻonohonoho ʻana, ka hoʻolaha ʻana o ka hopena a me nā hana āpau i kēlā me kēia lā. No ka mea he lawelawe pūnaewele kēia, hiki ke kau ʻia ma nā wahi āpau - ma ka perimeter, ma ke ao a i ʻole ma kahi mea hoʻolako MSSP.
- ʻO TrapX Appliance (TSA) kahi kikowaena kikowaena a mākou e hoʻopili ai, me ka hoʻohana ʻana i ke awa pahu, kēlā mau subnets a mākou e makemake ai e uhi me ka nānā ʻana. Eia kekahi, ʻo kā mākou mea ʻike pūnaewele āpau "ola" ma aneʻi.
Hoʻokahi TSA i kau ʻia i kā mākou lab (mwsapp1), akā i ka ʻoiaʻiʻo he nui paha. Pono paha kēia i nā pūnaewele nui kahi i loaʻa ʻole ai ka L2 i waena o nā ʻāpana (kahi laʻana maʻamau ʻo "Holding and subsidiaries" a i ʻole "Bank head office a me nā lālā") a i ʻole inā ua hoʻokaʻawale ka pūnaewele i nā ʻāpana, no ka laʻana, nā ʻōnaehana kaʻina hana automated. Ma kēlā me kēia lālā, hiki iā ʻoe ke kau i kāu TSA ponoʻī a hoʻohui iā ia i kahi TSOC hoʻokahi, kahi e hoʻoponopono ʻia ai nā ʻike āpau. Hāʻawi kēia hoʻolālā iā ʻoe e kūkulu i nā ʻōnaehana mākaʻikaʻi puʻupuʻu me ka ʻole o ka pono e hoʻoponopono hou i ka pūnaewele a i ʻole e hoʻopau i ka ʻāpana i loaʻa.
Eia kekahi, hiki iā mākou ke hoʻouna i kope o ka hele ʻana i waho iā TSA ma o TAP/SPAN. Inā ʻike mākou i nā pilina me nā botnets i ʻike ʻia, nā kikowaena kauoha a me ka mālama ʻana, a i ʻole nā kaulana TOR, e loaʻa pū iā mākou ka hopena ma ka console. ʻO ka Pūnaehana Pūnaewele Pūnaewele (NIS) ke kuleana no kēia. I ko mākou kaiapuni, ua hoʻokō ʻia kēia hana ma ka pā ahi, no laila ʻaʻole mākou i hoʻohana ma aneʻi.
- Nā Pahele Hoʻohana (Full OS) - nā honeypots maʻamau e pili ana i nā kikowaena Windows. ʻAʻole pono ʻoe i ka nui o lākou, no ka mea, ʻo ke kumu nui o kēia mau kikowaena ʻo ia ka hāʻawi ʻana i nā lawelawe IT i ka papa aʻe o nā mea ʻike a ʻike paha i nā hoʻouka ʻana i nā noi ʻoihana e hoʻolālā ʻia i kahi kaiapuni Windows. Loaʻa iā mākou hoʻokahi kikowaena i hoʻokomo ʻia i kā mākou hale hana (FOS01)
- ʻO nā pahele i hoʻohālikelike ʻia ka mea nui o ka hopena, e hiki ai iā mākou, me ka hoʻohana ʻana i hoʻokahi mīkini virtual hoʻokahi, e hana i kahi "minefield" paʻa loa no nā mea hoʻouka a hoʻopiha i ka ʻoihana ʻoihana, kāna mau vlans a pau, me kā mākou sensor. ʻIke ka mea hoʻouka i kahi sensor, a i ʻole host phantom, ma ke ʻano he Windows PC maoli a i ʻole server, Linux server a i ʻole nā mea hana ʻē aʻe a mākou e hoʻoholo ai e hōʻike iā ia.
No ka maikaʻi o ka ʻoihana a no ka makemake o ka ʻimi, ua kau mākou i "ʻelua o kēlā me kēia mea" - Windows PC a me nā kikowaena o nā ʻano like ʻole, nā kikowaena Linux, kahi ATM me Windows i hoʻokomo ʻia, SWIFT Web Access, kahi paʻi pūnaewele, kahi Cisco hoʻololi, he Axis IP pahupaʻiwikiō, he MacBook, PLC -mea hana a hiki i ke kukui kukui akamai. He 13 ka nui o ka poe hookipa. Ma keʻano laulā, ʻōlelo ka mea kūʻai aku i ka lawe ʻana i ia mau mea ʻike i ka nui o ka liʻiliʻi o 10% o ka helu o nā pūʻali maoli. ʻO ka pā luna ka wahi helu wahi i loaʻa.ʻO kahi mea koʻikoʻi ʻo kēlā me kēia mea hoʻokipa ʻaʻole ia he mīkini virtual piha piha e pono ai nā kumuwaiwai a me nā laikini. He mea hoʻopunipuni kēia, emulation, hoʻokahi kaʻina hana ma ka TSA, aia kahi hoʻonohonoho o nā ʻāpana a me kahi helu IP. No laila, me ke kōkua o hoʻokahi TSA, hiki iā mākou ke hoʻopiha i ka pūnaewele me nā haneli o ia mau pūʻali phantom, e hana ma ke ʻano he sensor i ka ʻōnaehana alarm. ʻO kēia ʻenehana ka mea e hiki ai ke hoʻonui i ke kumu kūʻai i ka manaʻo honeypot ma kēlā me kēia ʻoihana puʻunaue nui.
Mai ka manaʻo o ka mea hoʻouka kaua, nani kēia mau pūʻali no ka mea aia lākou i nā nāwaliwali a ʻike ʻia he mau pahuhopu maʻalahi. ʻIke ka mea hoʻouka i nā lawelawe ma kēia mau pūʻali a hiki ke launa pū me lākou a hoʻouka iā lākou me ka hoʻohana ʻana i nā mea hana maʻamau a me nā protocols (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, etc.). Akā ʻaʻole hiki ke hoʻohana i kēia mau pūʻali e hoʻomohala i kahi hoʻouka a holo i kāu code ponoʻī.
- ʻO ka hui pū ʻana o kēia mau ʻenehana ʻelua (FullOS a me nā pahele i hoʻohālikelike ʻia) hiki iā mākou ke hoʻokō i kahi kūlana helu helu kiʻekiʻe e ʻike koke ka mea hoʻouka i kekahi mea o kā mākou pūnaewele hōʻailona. Akā pehea e hiki ai iā mākou ke hōʻoiaʻiʻo ua kokoke kēia probability i 100%?
ʻO nā mea i kapa ʻia ʻo Deception token e komo i ke kaua. Mahalo iā lākou, hiki iā mākou ke hoʻokomo i nā PC āpau a me nā kikowaena o ka ʻoihana i kā mākou IDS i hāʻawi ʻia. Hoʻokomo ʻia nā hōʻailona ma nā PC maoli o nā mea hoʻohana. He mea nui ka hoʻomaopopo ʻana ʻaʻole nā mea hōʻailona e hoʻopau i nā kumuwaiwai a hiki ke hoʻoulu i nā paio. ʻO nā hōʻailona nā mea ʻike passive, kahi ʻano "breadcrumbs" no ka ʻaoʻao hoʻouka e alakaʻi iā ia i kahi pahele. No ka laʻana, nā mākaʻikaʻi pūnaewele palapala ʻia, nā bookmarks i nā mea hoʻokele pūnaewele hoʻopunipuni i ka polokalamu kele pūnaewele a mālama ʻia nā ʻōlelo huna no lākou, mālama ʻia nā manawa ssh/rdp/winscp, kā mākou mau pahele me nā manaʻo i nā faila host, nā ʻōlelo huna i mālama ʻia i ka hoʻomanaʻo, nā hōʻoia o nā mea hoʻohana ʻole, ke keʻena. nā faila, ka wehe ʻana e hoʻomaka ai i ka ʻōnaehana, a me nā mea hou aku. No laila, hoʻonoho mākou i ka mea hoʻouka i loko o kahi ʻano ʻino, piha i nā vectors hoʻouka ʻaʻole i hoʻoweliweli maoli iā mākou, akā ʻo ka ʻē aʻe. A ʻaʻohe ona ala e hoʻoholo ai i ka ʻoiaʻiʻo o ka ʻike a me ka hewa. No laila, ʻaʻole wale mākou e hōʻoia i ka ʻike wikiwiki ʻana i kahi hoʻouka ʻana, akā hoʻolohi nui hoʻi i kona holomua.
He laʻana o ka hana ʻana i kahi pahele pūnaewele a hoʻonohonoho i nā hōʻailona. ʻO ka pilina aloha a ʻaʻohe hoʻoponopono lima o nā configs, scripts, etc.
I loko o ko mākou kaiapuni, ua hoʻonohonoho mākou a kau i kekahi o ia mau hōʻailona ma FOS01 e holo ana i ka Windows Server 2012R2 a me kahi PC hoʻāʻo e holo ana Windows 7. Ke holo nei ʻo RDP ma kēia mau mīkini a "kau" mākou iā lākou i kēlā me kēia manawa i ka DMZ, kahi o kā mākou mau ʻike. (emulated traps) hōʻike pū ʻia. No laila, loaʻa iā mākou kahi kahe mau o nā hanana, ma ke ʻano maoli.
No laila, eia kekahi mau helu helu wikiwiki no ka makahiki:
56 - nā hanana i hoʻopaʻa ʻia,
2 - ʻike ʻia nā pūʻali kumu hoʻouka kaua.
Palapala hoʻouka pāʻani, hiki ke kaomi
I ka manawa like, ʻaʻole hoʻopuka ka hopena i kekahi ʻano mega-log a i ʻole ka hanana hanana, e lōʻihi ka manawa e hoʻomaopopo ai. Akā, ʻo ka hoʻonā ponoʻī e hoʻokaʻawale i nā hanana ma o kā lākou ʻano a hiki i ka hui palekana ʻike ke kālele nui i nā mea weliweli loa - i ka wā e hoʻāʻo ai ka mea hoʻouka e hoʻokiʻekiʻe i nā manawa hoʻomalu (interaction) a i ʻole i ka wā e ʻike ʻia ai nā uku binary (infection) i kā mākou kalepa.
Hiki ke heluhelu ʻia a hōʻike ʻia nā ʻike āpau e pili ana i nā hanana, i koʻu manaʻo, ma kahi ʻano maʻalahi a hiki i ka mea hoʻohana me ka ʻike kumu ma ke kahua o ka palekana ʻike.
ʻO ka hapa nui o nā hanana i hoʻopaʻa ʻia ʻo ia ka hoʻāʻo ʻana e nānā i kā mākou host a i ʻole nā pilina hoʻokahi.
A i ʻole e hoʻāʻo e hōʻino i nā ʻōlelo huna no RDP
Akā aia kekahi mau hihia hoihoi loa, ʻoiai inā "hoʻokele" ka poʻe hoʻouka i ka ʻōlelo huna no RDP a loaʻa i ka pūnaewele kūloko.
Ke hoʻāʻo nei ka mea hoʻouka e hoʻokō i ke code me ka psexec.
Ua loaʻa i ka mea hoʻouka i kahi hālāwai i mālama ʻia, i alakaʻi iā ia i kahi pahele ma ke ʻano o kahi kikowaena Linux. Ma hope koke o ka hoʻohui ʻana, me hoʻokahi pūʻulu kauoha i hoʻomākaukau mua ʻia, ua hoʻāʻo ʻo ia e luku i nā faila log a me nā ʻōnaehana like ʻole.
Ke hoʻāʻo nei ka mea hoʻouka kaua e hana i ka hoʻokele SQL ma kahi honeypot e hoʻohālike ana i ka SWIFT Web Access.
Ma waho aʻe o ia mau hoʻouka "kūlohelohe", ua hana pū mākou i kekahi o kā mākou mau hoʻāʻo ponoʻī. ʻO kekahi o nā mea hōʻike nui loa ʻo ia ka hoʻāʻo ʻana i ka manawa ʻike o kahi ilo pūnaewele ma kahi pūnaewele. No ka hana ʻana i kēia ua hoʻohana mākou i kahi mea hana mai GuardiCore i kapa ʻia
Hoʻonoho mākou i kahi kikowaena kauoha kūloko, hoʻokuʻu i ka manawa mua o ka ilo ma kekahi o nā mīkini, a loaʻa iā mākou ka makaʻala mua ma ka console TrapX ma lalo o hoʻokahi minuke a me ka hapa. TTD 90 kekona me 106 lā ma ka awelika...
Mahalo i ka hiki ke hoʻohui me nā papa ʻē aʻe o nā hoʻonā, hiki iā mākou ke neʻe mai ka ʻike koke ʻana i nā mea hoʻoweliweli i ka pane ʻokoʻa iā lākou.
No ka laʻana, ʻo ka hoʻohui ʻana me nā ʻōnaehana NAC (Network Access Control) a i ʻole CarbonBlack e ʻae iā ʻoe e hoʻokaʻawale i nā PC compromised mai ka pūnaewele.
ʻO ka hoʻohui ʻana me nā sandboxes e hāʻawi i nā faila i komo i kahi hoʻouka ʻana e waiho maʻalahi no ka nānā ʻana.
Hoʻohui ʻia ʻo McAfee
Loaʻa i ka hoʻonā kona ʻōnaehana hoʻoponopono hanana hanana ponoʻī.
Akā ʻaʻole mākou i ʻoluʻolu i kāna mau mea hiki, no laila ua hoʻohui mākou me HP ArcSight.
ʻO ka ʻōnaehana tiketi i kūkulu ʻia e kōkua i ka honua holoʻokoʻa e kū i nā hoʻoweliweli i ʻike ʻia.
Ma muli o ka hoʻomohala ʻia ʻana o ka hopena "mai ka hoʻomaka" no nā pono o nā keʻena aupuni a me kahi ʻāpana hui nui, hoʻokō maoli ia i kahi kumu hoʻohālike e pili ana i ke kuleana, hoʻohui pū me AD, kahi ʻōnaehana hoʻomohala o nā hōʻike a me nā mea hoʻomaka (nā mākaʻikaʻi hanana), orchestration no nā hale paʻa nui a i ʻole nā mea hoʻolako MSSP.
Ma kahi o ka hoʻomakaʻana
Inā loaʻa kahi ʻōnaehana nānā, e uhi ana i ko mākou kua, a laila me ka ʻae ʻana o ka perimeter e hoʻomaka ana nā mea āpau. ʻO ka mea nui loa, aia kahi manawa kūpono e hoʻoponopono ai i nā hanana palekana ʻike, a ʻaʻole e hoʻoponopono i ko lākou hopena.
Source: www.habr.com