Lyuk biztonsági eszközként – 2, avagy hogyan kell elkapni az APT-t „élő csalival”

(köszönet Sergey G. Bresternek a cím ötletéért sebres)

Kollégák, ennek a cikknek az a célja, hogy megosszuk a Deception technológiákon alapuló IDS-megoldások egy új osztályának egy éves tesztüzemének tapasztalatait.

Az anyag bemutatásának logikai koherenciájának megőrzése érdekében szükségesnek tartom a premisszákból kiindulni. Szóval a probléma:

1. A célzott támadások a támadások legveszélyesebb típusai, annak ellenére, hogy arányuk a fenyegetések teljes számában csekély.
2. Garantáltan hatékony eszközt a kerület védelmére (vagy ilyen eszközök készletét) még nem találták fel.
3. A célzott támadások általában több szakaszban történnek. A kerület leküzdése csak az egyik kezdeti szakasz, ami (meg lehet dobni kövekkel) nem okoz nagy kárt az „áldozatban”, hacsak nem DEoS (Destruction of service) támadásról van szó (titkosítók stb. .). Az igazi „fájdalom” később kezdődik, amikor az elfogott eszközöket elkezdik forgatásra, „mélységi” támadás kidolgozására használni, és ezt nem vettük észre.
4. Mivel akkor kezdünk el szenvedni valódi veszteségeket, amikor a támadók végre elérik a támadás célpontját (alkalmazásszerverek, DBMS, adattárházak, adattárak, kritikus infrastruktúra elemek), logikus, hogy az információbiztonsági szolgáltatás egyik feladata a támadások megszakítása ezt a szomorú eseményt. De ahhoz, hogy megszakítson valamit, először tájékozódnia kell róla. És minél előbb, annál jobb.
5. Ennek megfelelően a sikeres kockázatkezelés (vagyis a célzott támadások okozta károk csökkentése) érdekében kritikus fontosságú, hogy rendelkezzenek olyan eszközökkel, amelyek minimális TTD-t biztosítanak (detektálási idő – a behatolás pillanatától a támadás észlelésének pillanatáig eltelt idő). Iparágtól és régiótól függően ez az időszak átlagosan 99 nap az Egyesült Államokban, 106 nap az EMEA régióban, 172 nap az APAC-régióban (M-Trends 2017, A View From the Front Lines, Mandiant).
6. Mit kínál a piac?
   • "homokozók". Egy másik megelőző ellenőrzés, amely messze nem ideális. Számos hatékony technika létezik a homokozók észlelésére és megkerülésére vagy a megoldások engedélyezésére. A „sötét oldal” srácai itt még egy lépéssel előrébb járnak.
   • Az UEBA (a viselkedés profilalkotására és az eltérések azonosítására szolgáló rendszerek) - elméletileg nagyon hatékony lehet. De véleményem szerint ez valamikor a távoli jövőben lesz. A gyakorlatban ez még mindig nagyon költséges, megbízhatatlan, és nagyon kiforrott és stabil informatikai és információbiztonsági infrastruktúrát igényel, amely már rendelkezik minden olyan eszközzel, amely adatokat generál a viselkedéselemzéshez.
   • A SIEM jó eszköz a vizsgálatokhoz, de nem képes időben látni és felmutatni valami újat, eredetit, mert a korrelációs szabályok megegyeznek az aláírásokkal.

7. Ennek eredményeként olyan eszközre van szükség, amely:
   • sikeresen dolgozott már veszélyeztetett kerület körülményei között,
   • közel valós időben észlelte a sikeres támadásokat, függetlenül a használt eszközöktől és sebezhetőségektől,
   • nem függött az aláírásoktól/szabályoktól/szkriptektől/irányelvektől/profiloktól és egyéb statikus dolgoktól,
   • nem igényelt nagy mennyiségű adatot és azok forrásait az elemzéshez,
   • lehetővé tenné, hogy a támadásokat ne a „világ legjobbja, szabadalmaztatott és ezért zárt matematika” munkája eredményeként definiálják, ami további vizsgálatot igényel, hanem gyakorlatilag bináris eseményként – „Igen, megtámadnak minket” vagy „Nem, minden rendben van”,
   • univerzális volt, hatékonyan méretezhető és megvalósítható bármilyen heterogén környezetben, függetlenül a használt fizikai és logikai hálózati topológiától.

Az úgynevezett megtévesztő megoldások most egy ilyen eszköz szerepéért versengenek. Vagyis a mézesedények jó öreg koncepciójára épülő, de teljesen más megvalósítási szinttel rendelkező megoldások. Ez a téma most határozottan felfutóban van.

Az eredmények szerint Gartner Security&Risc vezetői csúcstalálkozó 2017 A megtévesztési megoldások szerepelnek a TOP 3 stratégiák és eszközök között, amelyek használata javasolt.

A jelentés szerint TAG Cybersecurity Annual 2017 A megtévesztés az IDS Intrusion Detection Systems) megoldások fejlesztésének egyik fő iránya.

Utóbbinak egy egész szakasza A Cisco IT-biztonsági állapotjelentéseA SCADA-nak szentelt e piac egyik vezető cége, a TrapX Security (Izrael) adatain alapul, amelynek megoldása egy éve működik tesztterületünkön.

A TrapX Deception Grid lehetővé teszi a masszívan elosztott IDS-ek költséges és központi működtetését anélkül, hogy növelné a licencterhelést és a hardvererőforrásokra vonatkozó követelményeket. Valójában a TrapX egy olyan konstruktor, amely lehetővé teszi, hogy a meglévő IT-infrastruktúra elemeiből egyetlen nagy mechanizmust hozzon létre a vállalati szintű támadások észlelésére, egyfajta elosztott hálózati „riasztást”.

Megoldás szerkezete

Laboratóriumunkban folyamatosan tanulmányozunk és tesztelünk különféle új termékeket az IT biztonság területén. Jelenleg körülbelül 50 különböző virtuális szervert telepítenek itt, beleértve a TrapX Deception Grid összetevőit.

Tehát fentről lefelé:

1. A TSOC (TrapX Security Operation Console) a rendszer agya. Ez az a központi felügyeleti konzol, amelyen keresztül a konfigurálás, a megoldás üzembe helyezése és az összes napi művelet elvégzése történik. Mivel ez egy webszolgáltatás, bárhol telepíthető – a peremen, a felhőben vagy egy MSSP-szolgáltatónál.
2. A TrapX Appliance (TSA) egy virtuális szerver, amelyhez a trönk porton keresztül csatlakozunk azokhoz az alhálózatokhoz, amelyeket le akarunk fedni felügyelettel. Ezenkívül az összes hálózati érzékelőnk itt „él”.

   Laboratóriumunkban egy TSA van telepítve (mwsapp1), de a valóságban sok is lehet. Erre olyan nagy hálózatokban lehet szükség, ahol nincs L2 kapcsolat a szegmensek között (tipikus példa a „Holding és leányvállalatok” vagy a „Bank központja és fiókjai”), vagy ha a hálózatnak vannak elszigetelt szegmensei, például automatizált folyamatirányító rendszerek. Mindegyik ilyen ágban/szegmensben telepítheti saját TSA-ját, és egyetlen TSOC-hoz csatlakoztathatja, ahol minden információ központilag kerül feldolgozásra. Ez az architektúra lehetővé teszi elosztott megfigyelőrendszerek építését anélkül, hogy radikálisan át kellene alakítani a hálózatot vagy meg kellene szakítani a meglévő szegmentációt.

   Ezenkívül elküldhetjük a kimenő forgalom másolatát a TSA-nak a TAP/SPAN-on keresztül. Ha kapcsolatot észlelünk ismert botnetekkel, parancs- és vezérlőszerverekkel, vagy TOR-munkamenetekkel, akkor az eredményt is megkapjuk a konzolban. A Network Intelligence Sensor (NIS) felelős ezért. A mi környezetünkben ez a funkció a tűzfalon van megvalósítva, ezért itt nem használtuk.

3. Alkalmazáscsapdák (teljes operációs rendszer) – hagyományos, Windows szervereken alapuló honeypotok. Nem sokra van szükségük, mivel ezeknek a szervereknek az a fő célja, hogy informatikai szolgáltatásokat nyújtsanak az érzékelők következő rétegének, vagy észleljék a Windows környezetben telepíthető üzleti alkalmazások elleni támadásokat. A laboratóriumunkban egy ilyen szerver van telepítve (FOS01)

   

4. Az emulált csapdák a megoldás fő összetevője, amely lehetővé teszi számunkra, hogy egyetlen virtuális gép segítségével nagyon sűrű „aknamezőt” hozzunk létre a támadók számára, és szenzorainkkal telítsük a vállalati hálózatot, annak összes vlan-jét. A támadó egy ilyen szenzort vagy fantom gazdagépet valódi Windows PC-nek vagy szervernek, Linux szervernek vagy más eszköznek tekint, amelyet úgy döntünk, hogy megmutatunk neki.

   
   
   Az üzlet érdekében és a kíváncsiság kedvéért „minden lényből egy párat” telepítettünk – Windows PC-ket és különféle verziójú szervereket, Linux szervereket, ATM-et beágyazott Windows rendszerrel, SWIFT Web Accesst, hálózati nyomtatót, Cisco-t. kapcsolót, Axis IP kamerát, MacBookot, PLC-eszközt és még intelligens izzót is. Összesen 13 házigazda van. Általában az eladó azt javasolja, hogy az ilyen érzékelőket a valódi gazdagépek számának legalább 10%-ában telepítsék. A felső sáv a rendelkezésre álló címterület.

   Nagyon fontos szempont, hogy minden ilyen gazdagép nem egy teljes értékű virtuális gép, amely erőforrásokat és licenceket igényel. Ez egy csali, emuláció, egy folyamat a TSA-n, amely paraméterekkel és IP-címmel rendelkezik. Ezért akár egy TSA segítségével több száz ilyen fantomgazdaggal telíthetjük a hálózatot, amelyek érzékelőként működnek majd a riasztórendszerben. Ez a technológia teszi lehetővé a honeypot koncepció költséghatékony skálázását bármely elosztott nagyvállalatban.

   A támadók szempontjából ezek a gazdagépek azért vonzóak, mert sebezhetőségeket tartalmaznak, és viszonylag könnyű célpontnak tűnnek. A támadó szolgáltatásokat lát ezeken a gazdagépeken, és interakcióba léphet velük, és szabványos eszközök és protokollok (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus stb.) segítségével támadhatja meg őket. De lehetetlen ezeket a gazdagépeket támadás kifejlesztésére vagy saját kód futtatására használni.

5. E két technológia (FullOS és emulált csapdák) kombinációja lehetővé teszi, hogy nagy statisztikai valószínűséggel érjünk el annak, hogy a támadó előbb-utóbb találkozzon jelzőhálózatunk valamely elemével. De hogyan győződhetünk meg arról, hogy ez a valószínűség megközelíti a 100%-ot?

   Az úgynevezett Deception jelzők belépnek a csatába. Nekik köszönhetően a vállalat összes meglévő PC-jét és szerverét beépíthetjük elosztott IDS-ünkbe. A tokeneket a felhasználók valódi PC-jén helyezik el. Fontos megérteni, hogy a tokenek nem olyan ügynökök, amelyek erőforrásokat fogyasztanak, és konfliktusokat okozhatnak. A tokenek passzív információs elemek, egyfajta „zsemlemorzsa” a támadó oldal számára, amelyek csapdába vezetik. Például leképezett hálózati meghajtók, hamis webadminisztrátorok könyvjelzői a böngészőben és elmentett jelszavak, mentett ssh/rdp/winscp munkamenetek, csapdáink megjegyzésekkel a hosts fájlokban, memóriába mentett jelszavak, nem létező felhasználók hitelesítő adatai, iroda fájlokat, megnyitás, amely elindítja a rendszert, és még sok más. Így a támadót egy torz, olyan támadási vektorokkal telített környezetbe helyezzük, amelyek valójában nem jelentenek veszélyt ránk, hanem éppen ellenkezőleg. És nem tudja megállapítani, hogy az információ hol igaz és hol hamis. Így nemcsak a támadások gyors észlelését biztosítjuk, hanem jelentősen lelassítjuk annak előrehaladását is.

Példa hálózati csapda létrehozására és tokenek beállítására. Barátságos felület, nincs manuális konfigurációk, szkriptek stb.

Környezetünkben számos ilyen tokent konfiguráltunk és helyeztünk el a Windows Server 01R2012 operációs rendszert futtató FOS2-en és egy Windows 7-et futtató teszt PC-n. Az RDP fut ezeken a gépeken, és időszakonként „akasztjuk” őket a DMZ-be, ahol számos érzékelőnk (emulált csapdák) is megjelennek. Így hát az incidensek állandó folyamát kapjuk, úgymond természetesen.

Íme tehát néhány gyors statisztika az évről:

56 208 – rögzített események,
2 – támadási forrás gazdagép észlelve.

Interaktív, kattintható támadástérkép

Ugyanakkor a megoldás nem generál valamiféle meganaplót vagy eseményfolyamot, aminek megértése sok időt vesz igénybe. Ehelyett maga a megoldás típusok szerint osztályozza az eseményeket, és lehetővé teszi az információbiztonsági csapat számára, hogy elsősorban a legveszélyesebbekre összpontosítson - amikor a támadó megpróbálja növelni a vezérlési munkameneteket (interakció), vagy amikor bináris hasznos terhelés (fertőzés) jelenik meg a forgalmunkban.

Az eseményekkel kapcsolatos minden információ olvasható és közérthető formában jelenik meg véleményem szerint az információbiztonság területén alapismeretekkel rendelkező felhasználó számára is.

A legtöbb rögzített incidens a gazdagépeink vagy az egyes kapcsolatok átvizsgálására tett kísérlet.

Vagy megpróbálja brutálisan kényszeríteni az RDP jelszavait

De voltak érdekesebb esetek is, különösen amikor a támadóknak „sikerült” kitalálniuk az RDP jelszavát, és hozzáfértek a helyi hálózathoz.

A támadó a psexec segítségével próbál meg kódot futtatni.

A támadó talált egy mentett munkamenetet, ami csapdába juttatta egy Linux szerver formájában. Közvetlenül a csatlakozás után egy előre elkészített parancskészlettel megpróbálta megsemmisíteni az összes naplófájlt és a megfelelő rendszerváltozókat.

Egy támadó SQL-befecskendezést kísérel meg egy SWIFT Web Access-t utánzó mezõgépen.

Az ilyen „természetes” támadások mellett számos saját tesztet is elvégeztünk. Az egyik legleleplezőbb a hálózati féreg észlelési idejének tesztelése a hálózaton. Ehhez a GuardiCore nevű eszközt használtuk Fertőző majom. Ez egy hálózati féreg, amely képes eltéríteni a Windowst és a Linuxot, de „hasznos terhelés” nélkül.
Telepítettünk egy helyi irányítóközpontot, elindítottuk a féreg első példányát az egyik gépen, és kevesebb mint másfél percen belül megkaptuk az első riasztást a TrapX konzolon. TTD átlagosan 90 másodperc a 106 naphoz képest...

A más típusú megoldásokkal való integrálhatóságnak köszönhetően a fenyegetések gyors észlelésétől az azokra való automatikus reagálásig tudunk áttérni.

Például a NAC (Network Access Control) rendszerekkel vagy a CarbonBlack-kel való integráció lehetővé teszi a kompromittált PC-k automatikus leválasztását a hálózatról.

A homokozókkal való integráció lehetővé teszi a támadásban érintett fájlok automatikus elküldését elemzésre.

McAfee integráció

A megoldás saját beépített eseménykorrelációs rendszerrel is rendelkezik.

De nem voltunk elégedettek a képességeivel, ezért integráltuk a HP ArcSight-tal.

A beépített jegyrendszer segít az egész világnak megbirkózni az észlelt fenyegetésekkel.

Mivel a megoldást „kezdettől fogva” a kormányhivatalok és egy nagyvállalati szegmens igényeire fejlesztették ki, természetesen megvalósítja a szerep alapú hozzáférési modellt, az AD-vel való integrációt, a riportok és triggerek (eseményriasztások) fejlett rendszerét, a hangszerelést. nagy holdingstruktúrák vagy MSSP-szolgáltatók.

A folytatás helyett

Ha van ilyen megfigyelő rendszer, ami képletesen szólva a hátunkat takarja, akkor a kerület kompromisszumával minden csak most kezdődik. A legfontosabb, hogy az információbiztonsági incidensek kezelésére valós lehetőség legyen, és ne a következményeik kezelésére.

Forrás: will.com