Rupa kao sigurnosni alat - 2, ili kako uhvatiti APT "na živi mamac"

(hvala Sergeju G. Bresteru na ideji za naslov sebres)

Kolege, svrha ovog članka je podijeliti iskustvo jednogodišnjeg testnog rada nove klase IDS rješenja temeljenih na Deception tehnologijama.

Kako bi se održala logična koherentnost prezentacije materijala, smatram potrebnim započeti s premisama. Dakle, problem:

1. Ciljani napadi su najopasniji tip napada, unatoč tome što je njihov udio u ukupnom broju prijetnji mali.
2. Još uvijek nije izumljeno zajamčeno učinkovito sredstvo zaštite perimetra (ili skup takvih sredstava).
3. U pravilu se ciljani napadi odvijaju u nekoliko faza. Prevladavanje perimetra samo je jedna od početnih faza, koja (možete me gađati kamenjem) ne nanosi veliku štetu “žrtvi”, osim, naravno, ako se ne radi o DEoS (Destruction of service) napadu (kriptori, itd.). .). Prava “bol” počinje kasnije, kada se zarobljena sredstva počnu koristiti za okretanje i razvijanje “dubinskog” napada, a mi to nismo primijetili.
4. Budući da počinjemo trpjeti stvarne gubitke kada napadači konačno dođu do ciljeva napada (aplikacijski poslužitelji, DBMS, skladišta podataka, repozitoriji, elementi kritične infrastrukture), logično je da je jedan od zadataka službe informacijske sigurnosti prekinuti napade prije nego ovaj tužan događaj. Ali da biste nešto prekinuli, prvo morate saznati za to. I što prije, to bolje.
5. Sukladno tome, za uspješno upravljanje rizikom (odnosno smanjenje štete od ciljanih napada) ključno je imati alate koji će osigurati minimalni TTD (time to detect - vrijeme od trenutka upada do trenutka otkrivanja napada). Ovisno o industriji i regiji, ovo razdoblje u prosjeku iznosi 99 dana u SAD-u, 106 dana u regiji EMEA, 172 dana u regiji APAC (M-Trends 2017., Pogled s prve linije, Mandiant).
6. Što nudi tržište?
   • "Pješčanici". Još jedna preventivna kontrola, koja je daleko od idealne. Postoje mnoge učinkovite tehnike za otkrivanje i zaobilaženje pješčanih okvira ili rješenja za dopuštene popise. Momci s “tamne strane” tu su i dalje korak ispred.
   • UEBA (sustavi za profiliranje ponašanja i prepoznavanje odstupanja) – u teoriji mogu biti vrlo učinkoviti. Ali, po mom mišljenju, to je negdje u dalekoj budućnosti. U praksi je to još uvijek vrlo skupo, nepouzdano i zahtijeva vrlo zrelu i stabilnu IT i informacijsku sigurnosnu infrastrukturu, koja već ima sve alate koji će generirati podatke za analizu ponašanja.
   • SIEM je dobar alat za istrage, ali ne može na vrijeme vidjeti i pokazati nešto novo i originalno, jer su pravila korelacije ista kao kod potpisa.

7. Kao rezultat toga, postoji potreba za alatom koji bi:
   • uspješno radio u uvjetima već ugroženog perimetra,
   • otkrili uspješne napade u gotovo stvarnom vremenu, bez obzira na korištene alate i ranjivosti,
   • nije ovisio o potpisima/pravilima/skriptama/politikama/profilima i drugim statičnim stvarima,
   • nisu zahtijevale velike količine podataka i njihovih izvora za analizu,
   • omogućio bi da se napadi definiraju ne kao neka vrsta bodovanja rizika kao rezultat rada “najbolje na svijetu, patentirane i stoga zatvorene matematike”, što zahtijeva dodatno istraživanje, već praktički kao binarni događaj - “Da, napadnuti smo” ili “Ne, sve je u redu”,
   • bio je univerzalan, učinkovito skalabilan i izvediv za implementaciju u bilo kojem heterogenom okruženju, bez obzira na korištenu fizičku i logičku topologiju mreže.

Takozvana rješenja za prijevaru sada se natječu za ulogu takvog alata. Odnosno, rješenja koja se temelje na dobrom starom konceptu honeypots, ali s potpuno drugačijom razinom implementacije. Ova tema je definitivno u porastu sada.

Prema rezultatima Gartner Security&Risc management summit 2017 Rješenja za prijevaru uključena su u TOP 3 strategije i alate koji se preporučuju za korištenje.

Prema izvješću TAG Cybersecurity Annual 2017 Deception je jedan od glavnih smjerova razvoja rješenja IDS Intrusion Detection Systems).

Cijeli dio potonjeg Ciscovo izvješće o stanju IT sigurnosti, posvećen SCADA-i, temelji se na podacima jednog od lidera na ovom tržištu, TrapX Security (Izrael), čije rješenje već godinu dana radi na našem testnom području.

TrapX Deception Grid vam omogućuje centralizirani trošak i rad s masovno distribuiranim IDS-om, bez povećanja opterećenja licenciranja i zahtjeva za hardverskim resursima. Zapravo, TrapX je konstruktor koji vam omogućuje da od elemenata postojeće IT infrastrukture stvorite jedan veliki mehanizam za otkrivanje napada na razini poduzeća, neku vrstu distribuiranog mrežnog "alarma".

Struktura rješenja

U našem laboratoriju neprestano proučavamo i testiramo razne nove proizvode iz područja IT sigurnosti. Trenutno je ovdje raspoređeno oko 50 različitih virtualnih poslužitelja, uključujući komponente TrapX Deception Grid.

Dakle, od vrha do dna:

1. TSOC (TrapX Security Operation Console) je mozak sustava. Ovo je središnja upravljačka konzola preko koje se odvijaju konfiguracija, implementacija rješenja i sve svakodnevne operacije. Budući da je ovo web usluga, može se implementirati bilo gdje - na perimetru, u oblaku ili kod MSSP davatelja.
2. TrapX Appliance (TSA) je virtualni poslužitelj na koji pomoću trunk porta povezujemo one podmreže koje želimo pokriti nadzorom. Također, svi naši mrežni senzori zapravo "žive" ovdje.

   Naš laboratorij ima implementiran jedan TSA (mwsapp1), ali u stvarnosti bi ih moglo biti mnogo. To može biti potrebno u velikim mrežama gdje ne postoji L2 povezanost između segmenata (tipičan primjer je "Holding i podružnice" ili "Bank sjedište i podružnice") ili ako mreža ima izolirane segmente, na primjer, sustave automatizirane kontrole procesa. U svakoj takvoj grani/segmentu možete postaviti vlastiti TSA i povezati ga s jednim TSOC-om, gdje će se sve informacije centralno obrađivati. Ova arhitektura omogućuje vam izgradnju distribuiranih sustava nadzora bez potrebe za radikalnim restrukturiranjem mreže ili remećenjem postojeće segmentacije.

   Također, možemo dostaviti kopiju odlaznog prometa TSA-u putem TAP/SPAN. Ako otkrijemo veze s poznatim botnetima, poslužiteljima za naredbe i kontrolu ili TOR sesijama, također ćemo primiti rezultat na konzoli. Za to je odgovoran Network Intelligence Sensor (NIS). U našem okruženju ova je funkcionalnost implementirana na vatrozidu pa je ovdje nismo koristili.

3. Application Traps (Full OS) – tradicionalni honeypotovi temeljeni na Windows poslužiteljima. Ne trebate ih puno jer je glavna svrha ovih poslužitelja pružanje IT usluga sljedećem sloju senzora ili otkrivanje napada na poslovne aplikacije koje se mogu postaviti u Windows okruženju. Jedan takav server imamo instaliran u našem laboratoriju (FOS01)

   

4. Emulirane zamke glavna su komponenta rješenja koja nam omogućuje da pomoću jednog jedinog virtualnog stroja stvorimo vrlo gusto "minsko polje" za napadače i zasitimo mrežu poduzeća, sve njene vlanove, našim senzorima. Napadač takav senzor, odnosno fantomski host, vidi kao pravi Windows PC ili server, Linux server ili neki drugi uređaj koji mu odlučimo pokazati.

   
   
   Za dobrobit posla i znatiželje radi, postavili smo “par od svakog stvorenja” - Windows računala i poslužitelje raznih verzija, Linux poslužitelje, bankomat s ugrađenim Windowsima, SWIFT Web Access, mrežni pisač, Cisco prekidač, Axis IP kamera, MacBook, PLC uređaj pa čak i pametna žarulja. Ukupno ima 13 domaćina. Općenito, dobavljač preporučuje postavljanje takvih senzora u količini od najmanje 10% od broja stvarnih hostova. Gornja traka je dostupni adresni prostor.

   Vrlo važna točka je da svaki takav host nije potpuno virtualno računalo koje zahtijeva resurse i licence. Ovo je mamac, emulacija, jedan proces na TSA, koji ima skup parametara i IP adresu. Stoga, uz pomoć čak i jednog TSA-a, možemo zasititi mrežu sa stotinama takvih fantomskih hostova, koji će raditi kao senzori u alarmnom sustavu. To je ta tehnologija koja omogućuje ekonomično skaliranje koncepta honeypota u bilo kojem velikom distribuiranom poduzeću.

   Sa stajališta napadača, ovi su hostovi privlačni jer sadrže ranjivosti i čini se da su relativno lake mete. Napadač vidi usluge na tim hostovima i može komunicirati s njima i napasti ih koristeći standardne alate i protokole (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus itd.). Ali nemoguće je koristiti te hostove za razvoj napada ili pokretanje vlastitog koda.

5. Kombinacija ove dvije tehnologije (FullOS i emulated traps) omogućuje nam postizanje visoke statističke vjerojatnosti da će napadač prije ili kasnije naići na neki element naše signalne mreže. Ali kako možemo biti sigurni da je ta vjerojatnost blizu 100%?

   U bitku ulaze takozvani Deception tokeni. Zahvaljujući njima, možemo uključiti sva postojeća računala i poslužitelje poduzeća u naš distribuirani IDS. Tokeni se postavljaju na stvarna računala korisnika. Važno je razumjeti da tokeni nisu agenti koji troše resurse i mogu izazvati sukobe. Tokeni su pasivni informacijski elementi, svojevrsne “mrvice kruha” za napadačku stranu koje je vode u zamku. Na primjer, mapirani mrežni pogoni, oznake za lažne web administratore u pregledniku i spremljene lozinke za njih, spremljene ssh/rdp/winscp sesije, naše zamke s komentarima u host datotekama, lozinke spremljene u memoriji, vjerodajnice nepostojećih korisnika, ured datoteke čije će otvaranje pokrenuti sustav i još mnogo toga. Tako napadača smještamo u iskrivljeno okruženje, zasićeno vektorima napada koji nama zapravo ne predstavljaju prijetnju, već upravo suprotno. I nema načina da utvrdi gdje su informacije istinite, a gdje lažne. Time ne samo da osiguravamo brzo otkrivanje napada, već i značajno usporavamo njegov napredak.

Primjer stvaranja mrežne zamke i postavljanja tokena. Prijateljsko sučelje i nema ručnog uređivanja konfiguracija, skripti itd.

U našem okruženju konfigurirali smo i postavili niz takvih tokena na FOS01 sa sustavom Windows Server 2012R2 i testnim računalom sa sustavom Windows 7. RDP je pokrenut na tim strojevima i povremeno ih "okačimo" u DMZ, gdje je niz naših senzora (emulirane zamke) također se prikazuju. Tako da imamo stalan tok incidenata, da tako kažem prirodno.

Dakle, evo nekoliko kratkih statistika za godinu:

56 – zabilježeni incidenti,
2 – otkriveni hostovi izvora napada.

Interaktivna karta napada na koju se može kliknuti

U isto vrijeme, rješenje ne generira neku vrstu mega-dnevnika ili feeda događaja, za čije razumijevanje treba dugo vremena. Umjesto toga, samo rješenje klasificira događaje prema njihovim vrstama i omogućuje timu za informacijsku sigurnost da se prvenstveno usredotoči na one najopasnije – kada napadač pokuša podići kontrolne sesije (interakcija) ili kada se u našem prometu pojave binarni sadržaji (infekcija).

Sve informacije o događajima su čitljive i prezentirane, po mom mišljenju, u lako razumljivom obliku čak i korisniku s osnovnim znanjem iz područja informacijske sigurnosti.

Većina zabilježenih incidenata su pokušaji skeniranja naših hostova ili pojedinačnih veza.

Ili pokušaj brute force lozinki za RDP

Ali bilo je i zanimljivijih slučajeva, pogotovo kada su napadači “uspjeli” pogoditi lozinku za RDP i dobiti pristup lokalnoj mreži.

Napadač pokušava izvršiti kod koristeći psexec.

Napadač je pronašao spremljenu sesiju koja ga je odvela u zamku u obliku Linux poslužitelja. Odmah nakon spajanja, jednim unaprijed pripremljenim skupom naredbi, pokušao je uništiti sve log datoteke i odgovarajuće sistemske varijable.

Napadač pokušava izvesti SQL injekciju na honeypotu koji oponaša SWIFT web pristup.

Osim takvih “prirodnih” napada, proveli smo i niz vlastitih testova. Jedan od najzanimljivijih je testiranje vremena otkrivanja mrežnog crva na mreži. Da bismo to učinili, koristili smo alat tvrtke GuardiCore pod nazivom Infekcijski majmun. Ovo je mrežni crv koji može oteti Windows i Linux, ali bez ikakvog "korisnog tereta".
Postavili smo lokalni zapovjedni centar, pokrenuli prvu instancu crva na jednom od strojeva i primili prvo upozorenje na TrapX konzoli za manje od minute i pol. TTD 90 sekundi naspram 106 dana u prosjeku...

Zahvaljujući mogućnosti integracije s drugim klasama rješenja, možemo prijeći s brzog otkrivanja prijetnji na automatsko reagiranje na njih.

Na primjer, integracija s NAC (Network Access Control) sustavima ili s CarbonBlackom omogućit će vam da automatski odspojite kompromitirana računala s mreže.

Integracija s sandboxovima omogućuje automatsko podnošenje datoteka uključenih u napad na analizu.

McAfee integracija

Rješenje ima i vlastiti ugrađeni sustav korelacije događaja.

Ali nismo bili zadovoljni njegovim mogućnostima, pa smo ga integrirali s HP ArcSightom.

Ugrađeni sustav izdavanja ulaznica pomaže cijelom svijetu da se nosi s otkrivenim prijetnjama.

Budući da je rješenje razvijeno „od početka“ za potrebe državnih agencija i velikog korporativnog segmenta, prirodno implementira model pristupa temeljen na ulogama, integraciju s AD-om, razvijen sustav izvješća i trigera (upozorenja na događaje), orkestraciju za velikih holding struktura ili MSSP pružatelja usluga.

Umjesto životopisa

Ako postoji takav sustav nadzora koji nam, slikovito rečeno, pokriva leđa, onda s kompromisom perimetra sve tek počinje. Najvažnije je da postoji stvarna prilika za suočavanje s incidentima informacijske sigurnosti, a ne za rješavanje njihovih posljedica.

Izvor: www.habr.com