(mèsi a Sergey G. Brester pou lide tit la )
Kòlèg yo, objektif atik sa a se pataje eksperyans yon operasyon tès pandan yon ane nan yon nouvo klas solisyon IDS ki baze sou teknoloji Desepsyon.
Yo nan lòd yo kenbe koerans nan lojik nan prezantasyon an nan materyèl la, mwen konsidere li nesesè yo kòmanse ak lokal yo. Se konsa, pwoblèm nan:
- Atak vize yo se kalite atak ki pi danjere, malgre patisipasyon yo nan kantite total menas yo piti.
- Pa gen okenn mwayen efikas garanti pou pwoteje perimèt la (oswa yon seri mwayen sa yo) poko te envante.
- Kòm yon règ, atak vize pran plas nan plizyè etap. Simonte perimèt la se sèlman youn nan premye etap yo, ki (ou ka voye wòch sou mwen) pa lakòz anpil domaj nan "viktim nan", sof si, nan kou, li se yon DEoS (Destriksyon nan sèvis) atak (encrypteurs, elatriye). .). Vrè "doulè a" kòmanse pita, lè byen kaptire yo kòmanse itilize pou pivote ak devlope yon atak "pwofondè", epi nou pa t 'avi sa a.
- Depi nou kòmanse soufri pèt reyèl lè atakè yo finalman rive nan objektif atak la (sèvè aplikasyon, DBMS, depo done, depo, eleman enfrastrikti kritik), li lojik ke youn nan travay yo nan sèvis sekirite enfòmasyon an se entèwonp atak anvan. evènman tris sa a. Men, yo nan lòd yo entèwonp yon bagay, ou dwe premye chèche konnen sou li. Ak pi bonè, pi bon an.
- An konsekans, pou siksè jesyon risk (ki se, diminye domaj nan atak vize), li enpòtan pou gen zouti ki pral bay yon minimòm TTD (tan pou detekte - tan ki soti nan moman entrizyon an nan moman atak la detekte). Tou depan de endistri a ak rejyon an, peryòd sa a an mwayèn 99 jou nan peyi Etazini, 106 jou nan rejyon EMEA, 172 jou nan rejyon APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
- Kisa mache a ofri?
- "Sandboxes". Yon lòt kontwòl prevantif, ki se lwen ideyal. Gen anpil teknik efikas pou detekte ak kontourne bwat sab oswa solisyon lis blan. Mesye ki soti nan "kòt nwa" yo toujou yon etap devan isit la.
- UEBA (sistèm pou profilage konpòtman ak idantifye devyasyon) - nan teyori, ka trè efikas. Men, nan opinyon mwen, sa a se nenpòt moman nan tan kap vini an byen lwen. Nan pratik, sa a se toujou trè chè, enfidèl ak mande pou yon trè matirite ak ki estab IT ak enfrastrikti sekirite enfòmasyon, ki deja gen tout zouti yo ki pral jenere done pou analiz konpòtman.
- SIEM se yon bon zouti pou envestigasyon, men li pa kapab wè ak montre yon bagay nouvo ak orijinal nan yon fason apwopriye, paske règ yo korelasyon yo se menm jan ak siyati.
- Kòm yon rezilta, gen yon bezwen pou yon zouti ki ta:
- travay avèk siksè nan kondisyon yon perimèt deja konpwomèt,
- detekte atak siksè nan prèske tan reyèl, kèlkeswa zouti yo ak vilnerabilite yo itilize,
- pa t depann de siyati / règ / scripts / politik / pwofil ak lòt bagay estatik,
- pa t mande gwo kantite done ak sous yo pou analiz,
- ta pèmèt atak yo dwe defini pa kòm yon kalite risk ki fè nòt kòm yon rezilta nan travay la nan "pi bon an nan mond lan, matematik patante ak Se poutèt sa fèmen", ki mande pou envestigasyon adisyonèl, men pratikman kòm yon evènman binè - "Wi, n ap atake" oswa "Non, tout bagay anfòm",
- te inivèsèl, efikasman évolutive ak posib pou aplike nan nenpòt anviwònman etewojèn, kèlkeswa topoloji rezo fizik ak lojik yo itilize.
Sa yo rele solisyon desepsyon yo kounye a lite pou wòl nan yon zouti konsa. Sa se, solisyon ki baze sou bon konsèp fin vye granmoun nan honeypots, men ak yon nivo konplètman diferan nan aplikasyon. Sijè sa a se definitivman sou ogmantasyon an kounye a.
Dapre rezilta yo Solisyon desepsyon yo enkli nan TOP 3 estrateji ak zouti ke yo rekòmande yo dwe itilize.
Dapre rapò a Desepsyon se youn nan direksyon prensipal devlopman nan IDS Intrusion Detection Systems) solisyon yo.
Yon seksyon antye nan lèt la , dedye a SCADA, baze sou done ki soti nan youn nan lidè yo nan mache sa a, TrapX Security (pèp Izrayèl la), solisyon an ki te travay nan zòn tès nou an pou yon ane.
TrapX Deception Grid pèmèt ou koute ak opere IDS masiv distribiye santralman, san yo pa ogmante chaj la lisans ak kondisyon pou resous pyès ki nan konpitè. An reyalite, TrapX se yon konstrukteur ki pèmèt ou kreye apati eleman nan enfrastrikti IT ki egziste deja yon sèl gwo mekanis pou detekte atak sou yon echèl nan tout antrepriz, yon kalite "alam" rezo distribiye.
Estrikti solisyon
Nan laboratwa nou an, nou toujou ap etidye ak teste plizyè nouvo pwodwi nan domèn sekirite IT. Kounye a, apeprè 50 diferan sèvè vityèl yo deplwaye isit la, ki gen ladan eleman TrapX Deception Grid.
Se konsa, soti anwo jouk anba:
- TSOC (TrapX Security Operation Console) se sèvo sistèm lan. Sa a se konsole jesyon santral la nan ki konfigirasyon, deplwaman solisyon an ak tout operasyon chak jou yo te pote. Depi sa a se yon sèvis entènèt, li ka deplwaye nenpòt kote - sou perimèt la, nan nwaj la oswa nan yon founisè MSSP.
- TrapX Appliance (TSA) se yon sèvè vityèl kote nou konekte, lè l sèvi avèk pò kòf la, subnet sa yo ke nou vle kouvri ak siveyans. Epitou, tout detèktè rezo nou yo aktyèlman "ap viv" isit la.
Laboratwa nou an gen yon sèl TSA deplwaye (mwsapp1), men an reyalite ta ka gen anpil. Sa a ka nesesè nan gwo rezo kote pa gen koneksyon L2 ant segman (yon egzanp tipik se "Holding ak filiales" oswa "Biwo tèt Bank ak branch") oswa si rezo a gen segman izole, pou egzanp, sistèm kontwòl pwosesis otomatik. Nan chak branch/segman sa yo, ou ka deplwaye pwòp TSA ou epi konekte li nan yon sèl TSOC, kote tout enfòmasyon yo pral trete santralman. Achitekti sa a pèmèt ou bati sistèm siveyans distribiye san yo pa bezwen radikalman restriktire rezo a oswa deranje segmentasyon ki egziste deja.
Epitou, nou ka soumèt yon kopi trafik sòtan bay TSA atravè TAP/SPAN. Si nou detekte koneksyon ak botne li te ye, sèvè kòmand ak kontwòl, oswa sesyon TOR, n ap resevwa rezilta a tou nan konsole a. Network Intelligence Sensor (NIS) responsab pou sa. Nan anviwònman nou an, fonksyonalite sa a aplike sou firewall la, kidonk nou pa t 'sèvi ak li isit la.
- Pyèj Aplikasyon (Full OS) - Honeypots tradisyonèl ki baze sou Windows serveurs. Ou pa bezwen anpil nan yo, depi objektif prensipal serveurs sa yo se bay sèvis IT nan pwochen kouch detèktè oswa detekte atak sou aplikasyon pou biznis ki ka deplwaye nan yon anviwònman Windows. Nou gen yon sèl sèvè sa yo enstale nan laboratwa nou an (FOS01)
- Pyèj imite yo se eleman prensipal la nan solisyon an, ki pèmèt nou, lè l sèvi avèk yon sèl machin vityèl, yo kreye yon "champ min" trè dans pou atakè ak satire rezo antrepriz la, tout vlan li yo, ak detèktè nou yo. Atakè a wè tankou yon Capteur, oswa lame fantom, kòm yon Windows PC oswa sèvè reyèl, sèvè Linux oswa lòt aparèy ke nou deside montre l '.
Pou byen biznis la ak pou dedomajman pou kiryozite, nou te deplwaye "yon pè chak bèt" - Windows PC ak sèvè nan divès vèsyon, serveurs Linux, yon ATM ak Windows entegre, SWIFT Web Access, yon enprimant rezo, yon Cisco. switch, yon kamera IP Axis, yon MacBook, aparèy PLC e menm yon anpoul entelijan. Gen 13 lame an total. An jeneral, vandè a rekòmande deplwaye detèktè sa yo nan yon kantite omwen 10% nan kantite lame reyèl. Ba anlè a se espas adrès ki disponib.Yon pwen trè enpòtan se ke chak lame sa yo se pa yon machin vityèl plen véritable ki mande resous ak lisans. Sa a se yon dekoy, imitasyon, yon sèl pwosesis sou TSA a, ki gen yon seri paramèt ak yon adrès IP. Se poutèt sa, avèk èd nan menm yon sèl TSA, nou ka boure rezo a ak dè santèn de lame fantom sa yo, ki pral travay kòm detèktè nan sistèm alam la. Li se teknoloji sa a ki fè li posib pou yon pri-efikas echèl konsèp honeypot nan nenpòt ki gwo antrepriz distribye.
Soti nan pwen de vi yon atakè, lame sa yo atire paske yo gen frajilite epi yo parèt yo dwe sib relativman fasil. Atakè a wè sèvis sou lame sa yo epi li ka kominike avèk yo epi atake yo lè l sèvi avèk zouti estanda ak pwotokòl (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, elatriye). Men, li enposib pou itilize tout pouvwa sa yo pou devlope yon atak oswa kouri pwòp kòd ou.
- Konbinezon de teknoloji sa yo (FullOS ak pyèj imite) pèmèt nou reyalize yon gwo pwobabilite estatistik ke yon atakè pral rankontre pi bonè oswa pita kèk eleman nan rezo siyal nou an. Men, ki jan nou ka asire w ke pwobabilite sa a se tou pre 100%?
Sa yo rele siy Desepsyon yo antre nan batay la. Mèsi a yo, nou ka mete tout PC ki egziste deja ak serveurs nan antrepriz la nan ID distribiye nou an. Yo mete marqueur sou PC reyèl itilizatè yo. Li enpòtan pou w konprann ke tokens yo pa ajan ki konsome resous epi yo ka lakòz konfli. Tokens yo se eleman enfòmasyon pasif, yon kalite "breadcrumbs" pou bò atak la ki mennen li nan yon pèlen. Pou egzanp, kat kondui rezo, makè pou fo admin entènèt nan navigatè a ak modpas sove pou yo, sove sesyon ssh/rdp/winscp, pyèj nou yo ak kòmantè nan dosye hôtes, modpas sove nan memwa, kalifikasyon itilizatè ki pa egziste, biwo. dosye, ouvèti ki pral deklanche sistèm nan, ak plis ankò. Kidonk, nou mete atakè a nan yon anviwònman defòme, satire ak vektè atak ki pa aktyèlman poze yon menas pou nou, men pito opoze a. Epi li pa gen okenn fason pou detèmine kote enfòmasyon an se vre ak kote li se fo. Se konsa, nou pa sèlman asire deteksyon rapid nan yon atak, men tou, siyifikativman ralanti pwogrè li yo.
Yon egzanp pou kreye yon pèlen rezo ak mete kanpe marqueur. Koòdone zanmitay ak pa gen okenn koreksyon manyèl nan konfigirasyon, scripts, elatriye.
Nan anviwònman nou an, nou configured epi mete yon kantite siy sa yo sou FOS01 kouri Windows Server 2012R2 ak yon tès PC kouri Windows 7. RDP ap kouri sou machin sa yo epi nou detanzantan "kwoke" yo nan DMZ a, kote yon kantite detèktè nou yo. (imite pyèj) yo parèt tou. Se konsa, nou jwenn yon kouran konstan nan ensidan, natirèlman se konsa pale.
Se konsa, men kèk estatistik rapid pou ane a:
56 - ensidan anrejistre,
2 - lame sous atak yo detekte.
Entèaktif, klike sou kat jeyografik atak
An menm tan an, solisyon an pa jenere kèk kalite mega-log oswa manje evènman, ki pran anpil tan pou konprann. Olye de sa, solisyon an tèt li klase evènman yo pa kalite yo epi li pèmèt ekip sekirite enfòmasyon an konsantre prensipalman sou sa yo ki pi danjere - lè atakè a ap eseye ogmante sesyon kontwòl (entèraksyon) oswa lè chaj binè (enfeksyon) parèt nan trafik nou an.
Tout enfòmasyon sou evènman yo lizib epi prezante, nan opinyon mwen, nan yon fòm fasil pou konprann menm pou yon itilizatè ki gen konesans debaz nan domèn sekirite enfòmasyon.
Pifò nan ensidan yo anrejistre yo se tantativ pou eskane lame nou yo oswa koneksyon sèl.
Oswa eseye modpas fòs brital pou RDP
Men, te gen tou ka pi enteresan, espesyalman lè atakè yo "jere" devine modpas la pou RDP ak jwenn aksè nan rezo lokal la.
Yon atakè eseye egzekite kòd lè l sèvi avèk psexec.
Atakè a te jwenn yon sesyon sove, ki te mennen l 'nan yon pèlen nan fòm lan nan yon sèvè Linux. Touswit apre yo fin konekte, ak yon seri kòmandman ki te prepare davans, li te eseye detwi tout fichye boutèy demi lit ak varyab sistèm korespondan yo.
Yon atakè eseye fè piki SQL sou yon siwo myèl ki imite SWIFT Web Access.
Anplis atak "natirèl" sa yo, nou menm tou nou te fè yon kantite tès pwòp nou yo. Youn nan pi revele a se tès tan an deteksyon nan yon vè rezo sou yon rezo. Pou fè sa nou te itilize yon zouti ki soti nan GuardiCore ki rele . Sa a se yon vè k'ap manje kadav rezo ki ka detounen Windows ak Linux, men san okenn "chaj".
Nou te deplwaye yon sant kòmand lokal, te lanse premye egzanp vè a sou youn nan machin yo, epi nou te resevwa premye alèt nan konsole TrapX la nan mwens pase yon minit edmi. TTD 90 segonn kont 106 jou an mwayèn...
Mèsi a kapasite nan entegre ak lòt klas nan solisyon, nou ka deplase soti nan jis byen vit detekte menas yo otomatikman reponn a yo.
Pou egzanp, entegrasyon ak sistèm NAC (Network Access Control) oswa ak CarbonBlack pral pèmèt ou otomatikman dekonekte PC yo konpwomèt soti nan rezo a.
Entegrasyon ak bwat sab pèmèt dosye ki enplike nan yon atak yo dwe otomatikman soumèt pou analiz.
Entegrasyon McAfee
Solisyon an tou gen pwòp sistèm korelasyon evènman entegre.
Men, nou pa t satisfè ak kapasite li yo, kidonk nou entegre li ak HP ArcSight.
Sistèm tikè entegre a ede lemonn antye fè fas ak menas yo detekte.
Depi solisyon an te devlope "depi nan kòmansman an" pou bezwen ajans gouvènman yo ak yon gwo segman antrepriz, li natirèlman aplike yon modèl aksè ki baze sou wòl, entegrasyon ak AD, yon sistèm devlope rapò ak deklannche (alèt evènman), òkestrasyon pou gwo estrikti kenbe oswa founisè MSSP.
Olye pou yo yon kourikouloum-vite
Si gen tankou yon sistèm siveyans, ki, nan senbolik pale, kouvri do nou, Lè sa a, ak konpwomi nan perimèt la tout bagay se jis kòmansman. Bagay ki pi enpòtan an se ke gen yon opòtinite reyèl fè fas ak ensidan sekirite enfòmasyon, epi yo pa fè fas ak konsekans yo.
Sous: www.habr.com