Անցքը որպես անվտանգության գործիք - 2, կամ ինչպես բռնել APT «կենդանի խայծի վրա»

(շնորհակալություն Սերգեյ Գ. Բրեստերին վերնագրի գաղափարի համար sebres)

Գործընկերներ, այս հոդվածի նպատակն է կիսվել Deception տեխնոլոգիաների վրա հիմնված IDS լուծումների նոր դասի մեկ տարվա փորձնական գործողության փորձով:

Նյութի մատուցման տրամաբանական համահունչությունը պահպանելու համար անհրաժեշտ եմ համարում սկսել նախադրյալներից։ Այսպիսով, խնդիրը.

1. Նպատակային հարձակումները հարձակման ամենավտանգավոր տեսակն են, չնայած այն հանգամանքին, որ դրանց մասնաբաժինը սպառնալիքների ընդհանուր քանակում փոքր է։
2. Շրջանակի (կամ նման միջոցների մի շարք) պաշտպանելու երաշխավորված արդյունավետ միջոց դեռ չի հորինվել։
3. Որպես կանոն, թիրախային հարձակումները տեղի են ունենում մի քանի փուլով. Պարագծի հաղթահարումը սկզբնական փուլերից մեկն է միայն, որը (կարող եք ինձ վրա քարեր նետել) մեծ վնաս չի պատճառում «զոհին», եթե, իհարկե, դա DEoS (ծառայության ոչնչացում) հարձակում է (գաղտնագրիչներ և այլն): .). Իրական «ցավը» սկսվում է ավելի ուշ, երբ գրավված ակտիվները սկսում են օգտագործվել «խորքային» գրոհի պտտման և զարգացման համար, և մենք դա չնկատեցինք:
4. Քանի որ մենք սկսում ենք իրական կորուստներ կրել, երբ հարձակվողները վերջապես հասնում են հարձակման թիրախներին (կիրառական սերվերներ, DBMS, տվյալների պահեստներ, պահեստներ, կրիտիկական ենթակառուցվածքի տարրեր), տրամաբանական է, որ տեղեկատվական անվտանգության ծառայության խնդիրներից մեկը նախքան հարձակումները ընդհատելն է։ այս տխուր իրադարձությունը. Բայց ինչ-որ բան ընդհատելու համար նախ պետք է իմանալ դրա մասին։ Եվ որքան շուտ, այնքան լավ:
5. Համապատասխանաբար, ռիսկերի հաջող կառավարման համար (այսինքն՝ նպատակային հարձակումներից վնասը նվազեցնելու համար) կարևոր է ունենալ գործիքներ, որոնք կապահովեն նվազագույն TTD (հայտնաբերման ժամանակը. ներխուժման պահից մինչև հարձակումը հայտնաբերելու պահը): Կախված արդյունաբերությունից և տարածաշրջանից՝ այս ժամանակահատվածը միջինը կազմում է 99 օր ԱՄՆ-ում, 106 օր EMEA տարածաշրջանում, 172 օր՝ APAC տարածաշրջանում (M-Trends 2017, A View From the Front Lines, Mandiant):
6. Ի՞նչ է առաջարկում շուկան:
   • «Ավազատուփեր». Մեկ այլ կանխարգելիչ հսկողություն, որը հեռու է իդեալական լինելուց. Կան բազմաթիվ արդյունավետ մեթոդներ՝ հայտնաբերելու և շրջանցելու ավազատուփերը կամ սպիտակ ցուցակի լուծումները: «Մութ կողմի» տղաներն այստեղ դեռ մեկ քայլ առաջ են։
   • UEBA (վարքի պրոֆիլավորման և շեղումների հայտնաբերման համակարգեր) - տեսականորեն կարող է շատ արդյունավետ լինել: Բայց, իմ կարծիքով, սա ինչ-որ տեղ հեռավոր ապագայում է։ Գործնականում սա դեռ շատ թանկ է, անվստահելի և պահանջում է շատ հասուն և կայուն ՏՏ և տեղեկատվական անվտանգության ենթակառուցվածք, որն արդեն ունի բոլոր գործիքները, որոնք կստեղծեն տվյալներ վարքագծային վերլուծության համար:
   • SIEM-ը լավ գործիք է հետաքննության համար, բայց այն չի կարողանում ժամանակին տեսնել և ցույց տալ նոր և օրիգինալ բան, քանի որ հարաբերակցության կանոնները նույնն են, ինչ ստորագրությունները։

7. Արդյունքում, անհրաժեշտություն կա այնպիսի գործիքի, որը կա.
   • հաջողությամբ աշխատել է արդեն իսկ վտանգված պարագծի պայմաններում,
   • հայտնաբերել հաջող հարձակումներ գրեթե իրական ժամանակում՝ անկախ օգտագործվող գործիքներից և խոցելիությունից,
   • կախված չէր ստորագրություններից/կանոններից/սկրիպտներից/քաղաքականություններից/պրոֆիլներից և այլ ստատիկ բաներից,
   • չի պահանջել մեծ քանակությամբ տվյալներ և դրանց աղբյուրներ վերլուծության համար,
   • թույլ կտա հարձակումները սահմանել ոչ թե որպես ռիսկերի գնահատում «աշխարհի լավագույնների, արտոնագրված և հետևաբար փակ մաթեմատիկայի» աշխատանքի արդյունքում, որը պահանջում է լրացուցիչ ուսումնասիրություն, այլ գործնականում որպես երկուական իրադարձություն. «Այո, մեզ վրա հարձակվում են» կամ «Ոչ, ամեն ինչ կարգին է»,
   • համընդհանուր էր, արդյունավետորեն մասշտաբային և իրագործելի՝ իրականացնելու ցանկացած տարասեռ միջավայրում՝ անկախ օգտագործվող ցանցի ֆիզիկական և տրամաբանական տոպոլոգիայից:

Այսպես կոչված խաբեության լուծումներն այժմ հավակնում են նման գործիքի դերին: Այսինքն՝ լուծումներ, որոնք հիմնված են honeypots-ի հին լավ հայեցակարգի վրա, բայց իրականացման բոլորովին այլ մակարդակով։ Այս թեման հիմա միանշանակ վերելք է ապրում։

Արդյունքների համաձայն Gartner Security & Risc կառավարման գագաթնաժողով 2017 թ Խաբեության լուծումները ներառված են TOP 3 ռազմավարությունների և գործիքների մեջ, որոնք խորհուրդ է տրվում օգտագործել:

Հաղորդագրության համաձայն TAG Cybersecurity տարեկան 2017 թ Խաբեությունը IDS Intrusion Detection Systems) լուծումների մշակման հիմնական ուղղություններից է։

Վերջինիս մի ամբողջ հատված Cisco-ի ՏՏ անվտանգության մասին հաշվետվություն, որը նվիրված է SCADA-ին, հիմնված է այս շուկայի առաջատարներից մեկի՝ TrapX Security-ի (Իսրայել) տվյալների վրա, որի լուծումն աշխատում է մեր թեստային տարածքում արդեն մեկ տարի։

TrapX Deception Grid-ը թույլ է տալիս ծախսել և գործարկել զանգվածաբար բաշխված IDS-ները կենտրոնական՝ առանց լիցենզավորման բեռի և ապարատային ռեսուրսների պահանջների ավելացման: Իրականում, TrapX-ը կոնստրուկտոր է, որը թույլ է տալիս գոյություն ունեցող ՏՏ ենթակառուցվածքի տարրերից ստեղծել ձեռնարկության լայնածավալ հարձակումների հայտնաբերման մեկ մեծ մեխանիզմ, մի տեսակ բաշխված ցանցային «տագնապ»:

Լուծման կառուցվածքը

Մեր լաբորատորիայում մենք անընդհատ ուսումնասիրում և փորձարկում ենք ՏՏ անվտանգության ոլորտում տարբեր նոր ապրանքներ։ Ներկայումս այստեղ տեղակայված են մոտ 50 տարբեր վիրտուալ սերվերներ, ներառյալ TrapX Deception Grid բաղադրիչները:

Այսպիսով, վերևից ներքև.

1. TSOC (TrapX Security Operation Console) համակարգի ուղեղն է: Սա կենտրոնական կառավարման վահանակ է, որի միջոցով իրականացվում են կոնֆիգուրացիան, լուծման տեղակայումը և բոլոր առօրյա գործողությունները: Քանի որ սա վեբ ծառայություն է, այն կարող է տեղակայվել ցանկացած վայրում՝ պարագծի վրա, ամպի մեջ կամ MSSP մատակարարի մոտ:
2. TrapX Appliance-ը (TSA) վիրտուալ սերվեր է, որին մենք միացնում ենք, օգտագործելով trunk port, այն ենթացանցերը, որոնք ցանկանում ենք ծածկել մոնիտորինգով: Բացի այդ, մեր բոլոր ցանցային սենսորները իրականում «ապրում են» այստեղ:

   Մեր լաբորատորիայում տեղադրված է մեկ TSA (mwsapp1), բայց իրականում դրանք կարող են շատ լինել: Սա կարող է անհրաժեշտ լինել խոշոր ցանցերում, որտեղ սեգմենտների միջև չկա L2 կապ (տիպիկ օրինակ է «Հոլդինգ և դուստր ձեռնարկություններ» կամ «Բանկի գլխամասային գրասենյակ և մասնաճյուղեր») կամ եթե ցանցն ունի մեկուսացված հատվածներ, օրինակ՝ գործընթացների կառավարման ավտոմատացված համակարգեր: Յուրաքանչյուր նման ճյուղում/սեգմենտում դուք կարող եք տեղակայել ձեր սեփական TSA-ն և միացնել այն մեկ TSOC-ին, որտեղ բոլոր տեղեկությունները կմշակվեն կենտրոնացված կարգով: Այս ճարտարապետությունը թույլ է տալիս կառուցել բաշխված մոնիտորինգի համակարգեր՝ առանց ցանցի արմատական ​​վերակառուցման կամ գոյություն ունեցող հատվածավորումը խափանելու անհրաժեշտության:

   Բացի այդ, մենք կարող ենք ելքային տրաֆիկի պատճենը ներկայացնել TSA-ին TAP/SPAN-ի միջոցով: Եթե ​​մենք հայտնաբերենք կապեր հայտնի բոտնետների, հրամանների և կառավարման սերվերների կամ TOR նիստերի հետ, մենք նույնպես կստանանք արդյունքը վահանակում: Դրա համար պատասխանատու է ցանցային հետախուզության ցուցիչը (NIS): Մեր միջավայրում այս ֆունկցիոնալությունն իրականացվում է firewall-ի վրա, ուստի մենք այն այստեղ չենք օգտագործել:

3. Հավելվածի թակարդներ (ամբողջական օպերացիոն համակարգ) – ավանդական մեղրափոթեր, որոնք հիմնված են Windows-սերվերներ։ Շատ սերվերներ անհրաժեշտ չեն, քանի որ այս սերվերների հիմնական նպատակը սենսորների հաջորդ շերտին ՏՏ ծառայություններ մատուցելն է կամ բիզնես ծրագրերի վրա հարձակումները հայտնաբերելը, որոնք կարող են տեղակայվել Windows-Չորեքշաբթի։ Մեր լաբորատորիայում տեղադրված է մեկ նման սերվեր (FOS01):

   

4. Էմուլացված թակարդները լուծման հիմնական բաղադրիչն են, որոնք թույլ են տալիս մեզ ստեղծել խիստ խիտ ականապատ դաշտ մեկ վիրտուալ մեքենա օգտագործող հարձակվողների համար և մեր սենսորներով հագեցնել ձեռնարկության ցանցը, ներառյալ դրա բոլոր VLAN-ները: Հարձակվողը նման սենսորը կամ ֆանտոմ հոսթը տեսնում է որպես իրական: Windows Համակարգիչ կամ սերվեր, Linux սերվեր կամ այլ սարք, որը մենք որոշում ենք ցուցադրել այն։

   
   
   Գործարարության և հետաքրքրասիրության համար մենք տեղակայեցինք «յուրաքանչյուր արարածի զույգ»՝ Windows Տարբեր տարբերակների համակարգիչներ և սերվերներ, Linux-սերվերներ, բանկոմատներ Windows ներդրված, SWIFT Web Access, ցանցային տպիչ, Cisco կոմուտատոր, Axis IP տեսախցիկ, MacBook, PLC սարք և նույնիսկ խելացի լամպ։ Ընդհանուր առմամբ, դա 13 հոսթ է։ Ընդհանուր առմամբ, մատակարարը խորհուրդ է տալիս տեղակայել նման սենսորներ իրական հոսթերի ընդհանուր թվի առնվազն 10%-ում։ Վերին սահմանը հասանելի հասցեների տարածքն է։

   Շատ կարևոր կետ այն է, որ յուրաքանչյուր այդպիսի հոսթ լիարժեք վիրտուալ մեքենա չէ, որը պահանջում է ռեսուրսներ և լիցենզիաներ: Սա խաբեություն է, էմուլյացիա, մեկ գործընթաց TSA-ի վրա, որն ունի մի շարք պարամետրեր և IP հասցե: Հետևաբար, թեկուզ մեկ TSA-ի օգնությամբ մենք կարող ենք ցանցը հագեցնել հարյուրավոր նման ուրվական հոստերներով, որոնք կաշխատեն որպես ազդանշանային համակարգում սենսորներ։ Այս տեխնոլոգիան է, որը հնարավորություն է տալիս ծախսարդյունավետորեն մասշտաբավորել honeypot-ի հայեցակարգը ցանկացած խոշոր բաշխված ձեռնարկությունում:

   Հարձակվողի տեսանկյունից այս հյուրընկալողները գրավիչ են, քանի որ դրանք պարունակում են խոցելիություններ և համեմատաբար հեշտ թիրախներ են թվում: Հարձակվողը տեսնում է ծառայություններ այս հոսթների վրա և կարող է փոխազդել նրանց հետ և հարձակվել նրանց վրա՝ օգտագործելով ստանդարտ գործիքներ և արձանագրություններ (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus և այլն): Բայց անհնար է օգտագործել այս հոսթները հարձակում մշակելու կամ ձեր սեփական կոդը գործարկելու համար:

5. Այս երկու տեխնոլոգիաների համադրությունը (FullOS և emulated traps) թույլ է տալիս մեզ հասնել վիճակագրական մեծ հավանականության, որ հարձակվողը վաղ թե ուշ կհանդիպի մեր ազդանշանային ցանցի որոշ տարրի: Բայց ինչպե՞ս կարող ենք համոզվել, որ այդ հավանականությունը մոտ է 100%-ին:

   Ճակատամարտի մեջ են մտնում այսպես կոչված Խաբեության նշանները։ Նրանց շնորհիվ մենք կարող ենք ներառել ձեռնարկության բոլոր առկա ԱՀ-ները և սերվերները մեր բաշխված IDS-ներում: Նշանները տեղադրվում են օգտատերերի իրական ԱՀ-ներում: Կարևոր է հասկանալ, որ նշանները ռեսուրսներ սպառող գործակալներ չեն և կարող են կոնֆլիկտներ առաջացնել: Նշանները պասիվ տեղեկատվական տարրեր են, մի տեսակ «հաց փշրանքներ» հարձակվող կողմի համար, որոնք տանում են նրան թակարդի մեջ: Օրինակ՝ քարտեզագրված ցանցային կրիչներ, բրաուզերում կեղծ վեբ ադմինիստրատորների էջանիշներ և նրանց համար պահված գաղտնաբառեր, պահպանված ssh/rdp/winscp նիստերը, մեր թակարդները՝ hosts ֆայլերում մեկնաբանություններով, հիշողության մեջ պահված գաղտնաբառեր, գոյություն չունեցող օգտատերերի հավատարմագրեր, գրասենյակ։ ֆայլեր, որոնց բացումը կգործարկի համակարգը և շատ ավելին: Այսպիսով, մենք հարձակվողին տեղադրում ենք խեղաթյուրված միջավայրում՝ հագեցած հարձակման վեկտորներով, որոնք իրականում մեզ համար վտանգ չեն ներկայացնում, այլ հակառակը։ Իսկ թե որտեղ է այդ տեղեկատվությունը ճիշտ, որտեղ՝ կեղծ, նա ոչ մի կերպ չունի։ Այսպիսով, մենք ոչ միայն ապահովում ենք հարձակման արագ հայտնաբերումը, այլև զգալիորեն դանդաղեցնում ենք դրա առաջընթացը։

Ցանցային թակարդ ստեղծելու և նշանների տեղադրման օրինակ: Ընկերական ինտերֆեյս և առանց կոնֆիգուրների, սցենարների և այլնի ձեռքով խմբագրում:

Մեր միջավայրում մենք FOS01-ի վրա կարգավորել և տեղակայել ենք մի շարք նման տոկեններ՝ հետևյալի վերահսկողության ներքո։ Windows Server 2012R2 և փորձարկման համակարգիչ Windows 7. Այս մեքենաները աշխատում են RDP-ով, և մենք պարբերաբար «կախում» ենք դրանք DMZ-ում, որտեղ գտնվում են նաև մեր մի շարք սենսորներ (էմուլացված թակարդներ): Այսպիսով, մենք, այսպես ասած, բնականաբար ստանում ենք միջադեպերի անընդհատ հոսք:

Այսպիսով, ահա մի քանի արագ վիճակագրություն տարվա համար.

56 – արձանագրվել է միջադեպ,
2 – հայտնաբերվել են հարձակման աղբյուրի հյուրընկալողներ:

Ինտերակտիվ, սեղմվող հարձակման քարտեզ

Միևնույն ժամանակ, լուծումը չի առաջացնում ինչ-որ մեգալոգ կամ իրադարձությունների հոսք, ինչը երկար ժամանակ է պահանջում հասկանալու համար։ Փոխարենը, լուծումն ինքնին դասակարգում է իրադարձություններն ըստ իրենց տեսակների և թույլ է տալիս տեղեկատվական անվտանգության թիմին կենտրոնանալ հիմնականում ամենավտանգավորների վրա. երբ հարձակվողը փորձում է բարձրացնել վերահսկման սեսիաները (փոխազդեցություն) կամ երբ մեր տրաֆիկում հայտնվում են երկուական ծանրաբեռնվածություններ (վարակ):

Իրադարձությունների մասին ողջ տեղեկատվությունը ընթեռնելի է և ներկայացվում է, իմ կարծիքով, հեշտ հասկանալի ձևով նույնիսկ տեղեկատվական անվտանգության ոլորտում տարրական գիտելիքներ ունեցող օգտատիրոջ համար:

Արձանագրված միջադեպերի մեծ մասը մեր հաղորդավարների կամ առանձին կապերի սկանավորման փորձեր են:

Կամ RDP-ի համար կոպիտ ուժային գաղտնաբառերը կիրառելու փորձեր

Բայց կային նաև ավելի հետաքրքիր դեպքեր, հատկապես, երբ հարձակվողներին «հաջողվեց» գուշակել RDP-ի գաղտնաբառը և մուտք գործել տեղական ցանց:

Հարձակվողը փորձում է գործարկել կոդը՝ օգտագործելով psexec:

Հարձակվողը գտավ պահպանված սեսիա, որը նրան գցեց հետևյալ թակարդի մեջ՝ Linux-սերվեր։ Միանալուց անմիջապես հետո, օգտագործելով մեկ, նախապես պատրաստված հրամանների հավաքածու, այն փորձեց ոչնչացնել բոլոր գրանցամատյանների ֆայլերը և համապատասխան համակարգային փոփոխականները։

Հարձակվողը փորձում է SQL ներարկում կատարել honeypot-ի վրա, որը նմանակում է SWIFT Web Access-ին:

Բացի նման «բնական» հարձակումներից, մենք նաև մեր սեփական փորձարկումներն ենք անցկացրել։ Ամենաբացահայտիչներից մեկը ցանցի վրա ճիճու հայտնաբերման ժամանակի փորձարկումն է: Դա անելու համար մենք օգտագործեցինք GuardiCore-ի գործիքը, որը կոչվում էր Վարակ ԿապիկՍա ցանցային որդ է, որը կարող է որսալ Windows и Linux, բայց առանց որևէ «օգտակար» բեռի։
Մենք տեղակայեցինք տեղական հրամանատարական կենտրոն, գործարկեցինք ճիճու առաջին օրինակը մեքենաներից մեկի վրա և ստացանք առաջին ահազանգը TrapX վահանակում մեկուկես րոպեից պակաս ժամանակում: TTD 90 վայրկյան՝ միջինում 106 օրվա դիմաց...

Այլ դասերի լուծումների հետ ինտեգրվելու ունակության շնորհիվ մենք կարող ենք անցնել սպառնալիքների արագ հայտնաբերումից դեպի դրանց ավտոմատ արձագանքման:

Օրինակ, NAC (Network Access Control) համակարգերի կամ CarbonBlack-ի հետ ինտեգրումը թույլ կտա ավտոմատ կերպով անջատել վտանգված ԱՀ-ները ցանցից:

Ավազարկղերի հետ ինտեգրումը թույլ է տալիս հարձակման մեջ ներգրավված ֆայլերը ավտոմատ կերպով ներկայացնել վերլուծության:

McAfee-ի ինտեգրում

Լուծումն ունի նաև իր ներկառուցված իրադարձությունների հարաբերակցության համակարգը:

Բայց մենք չբավարարվեցինք նրա հնարավորություններով, ուստի այն ինտեգրեցինք HP ArcSight-ի հետ։

Ներկառուցված տոմսերի համակարգը օգնում է ողջ աշխարհին հաղթահարել հայտնաբերված սպառնալիքները:

Քանի որ լուծումը մշակվել է «ի սկզբանե» պետական ​​գերատեսչությունների և խոշոր կորպորատիվ հատվածի կարիքների համար, այն, բնականաբար, իրականացնում է դերի վրա հիմնված մուտքի մոդել, ինտեգրում AD-ի հետ, հաշվետվությունների և գործարկիչների մշակված համակարգ (միջոցառումների ազդանշաններ), կազմակերպում խոշոր հոլդինգային կառույցներ կամ MSSP մատակարարներ:

Ռեզյումեի փոխարեն

Եթե ​​կա մոնիտորինգի այնպիսի համակարգ, որը, պատկերավոր ասած, ծածկում է մեր մեջքը, ապա պարագծի փոխզիջումով ամեն ինչ նոր է սկսվում։ Ամենակարեւորն այն է, որ իրական հնարավորություն կա զբաղվելու տեղեկատվական անվտանգության միջադեպերով, այլ ոչ թե դրանց հետեւանքներով։

Source: www.habr.com