(շնորհակալություն Սերգեյ Գ. Բրեստերին վերնագրի գաղափարի համար )
Գործընկերներ, այս հոդվածի նպատակն է կիսվել Deception տեխնոլոգիաների վրա հիմնված IDS լուծումների նոր դասի մեկ տարվա փորձնական գործողության փորձով:
Նյութի մատուցման տրամաբանական համահունչությունը պահպանելու համար անհրաժեշտ եմ համարում սկսել նախադրյալներից։ Այսպիսով, խնդիրը.
- Նպատակային հարձակումները հարձակման ամենավտանգավոր տեսակն են, չնայած այն հանգամանքին, որ դրանց մասնաբաժինը սպառնալիքների ընդհանուր քանակում փոքր է։
- Շրջանակի (կամ նման միջոցների մի շարք) պաշտպանելու երաշխավորված արդյունավետ միջոց դեռ չի հորինվել։
- Որպես կանոն, թիրախային հարձակումները տեղի են ունենում մի քանի փուլով. Պարագծի հաղթահարումը սկզբնական փուլերից մեկն է միայն, որը (կարող եք ինձ վրա քարեր նետել) մեծ վնաս չի պատճառում «զոհին», եթե, իհարկե, դա DEoS (ծառայության ոչնչացում) հարձակում է (գաղտնագրիչներ և այլն): .). Իրական «ցավը» սկսվում է ավելի ուշ, երբ գրավված ակտիվները սկսում են օգտագործվել «խորքային» գրոհի պտտման և զարգացման համար, և մենք դա չնկատեցինք:
- Քանի որ մենք սկսում ենք իրական կորուստներ կրել, երբ հարձակվողները վերջապես հասնում են հարձակման թիրախներին (կիրառական սերվերներ, DBMS, տվյալների պահեստներ, պահեստներ, կրիտիկական ենթակառուցվածքի տարրեր), տրամաբանական է, որ տեղեկատվական անվտանգության ծառայության խնդիրներից մեկը նախքան հարձակումները ընդհատելն է։ այս տխուր իրադարձությունը. Բայց ինչ-որ բան ընդհատելու համար նախ պետք է իմանալ դրա մասին։ Եվ որքան շուտ, այնքան լավ:
- Համապատասխանաբար, ռիսկերի հաջող կառավարման համար (այսինքն՝ նպատակային հարձակումներից վնասը նվազեցնելու համար) կարևոր է ունենալ գործիքներ, որոնք կապահովեն նվազագույն TTD (հայտնաբերման ժամանակը. ներխուժման պահից մինչև հարձակումը հայտնաբերելու պահը): Կախված արդյունաբերությունից և տարածաշրջանից՝ այս ժամանակահատվածը միջինը կազմում է 99 օր ԱՄՆ-ում, 106 օր EMEA տարածաշրջանում, 172 օր՝ APAC տարածաշրջանում (M-Trends 2017, A View From the Front Lines, Mandiant):
- Ի՞նչ է առաջարկում շուկան:
- «Ավազատուփեր». Մեկ այլ կանխարգելիչ հսկողություն, որը հեռու է իդեալական լինելուց. Կան բազմաթիվ արդյունավետ մեթոդներ՝ հայտնաբերելու և շրջանցելու ավազատուփերը կամ սպիտակ ցուցակի լուծումները: «Մութ կողմի» տղաներն այստեղ դեռ մեկ քայլ առաջ են։
- UEBA (վարքի պրոֆիլավորման և շեղումների հայտնաբերման համակարգեր) - տեսականորեն կարող է շատ արդյունավետ լինել: Բայց, իմ կարծիքով, սա ինչ-որ տեղ հեռավոր ապագայում է։ Գործնականում սա դեռ շատ թանկ է, անվստահելի և պահանջում է շատ հասուն և կայուն ՏՏ և տեղեկատվական անվտանգության ենթակառուցվածք, որն արդեն ունի բոլոր գործիքները, որոնք կստեղծեն տվյալներ վարքագծային վերլուծության համար:
- SIEM-ը լավ գործիք է հետաքննության համար, բայց այն չի կարողանում ժամանակին տեսնել և ցույց տալ նոր և օրիգինալ բան, քանի որ հարաբերակցության կանոնները նույնն են, ինչ ստորագրությունները։
- Արդյունքում, անհրաժեշտություն կա այնպիսի գործիքի, որը կա.
- հաջողությամբ աշխատել է արդեն իսկ վտանգված պարագծի պայմաններում,
- հայտնաբերել հաջող հարձակումներ գրեթե իրական ժամանակում՝ անկախ օգտագործվող գործիքներից և խոցելիությունից,
- կախված չէր ստորագրություններից/կանոններից/սկրիպտներից/քաղաքականություններից/պրոֆիլներից և այլ ստատիկ բաներից,
- չի պահանջել մեծ քանակությամբ տվյալներ և դրանց աղբյուրներ վերլուծության համար,
- թույլ կտա հարձակումները սահմանել ոչ թե որպես ռիսկերի գնահատում «աշխարհի լավագույնների, արտոնագրված և հետևաբար փակ մաթեմատիկայի» աշխատանքի արդյունքում, որը պահանջում է լրացուցիչ ուսումնասիրություն, այլ գործնականում որպես երկուական իրադարձություն. «Այո, մեզ վրա հարձակվում են» կամ «Ոչ, ամեն ինչ կարգին է»,
- համընդհանուր էր, արդյունավետորեն մասշտաբային և իրագործելի՝ իրականացնելու ցանկացած տարասեռ միջավայրում՝ անկախ օգտագործվող ցանցի ֆիզիկական և տրամաբանական տոպոլոգիայից:
Այսպես կոչված խաբեության լուծումներն այժմ հավակնում են նման գործիքի դերին: Այսինքն՝ լուծումներ, որոնք հիմնված են honeypots-ի հին լավ հայեցակարգի վրա, բայց իրականացման բոլորովին այլ մակարդակով։ Այս թեման հիմա միանշանակ վերելք է ապրում։
Արդյունքների համաձայն Խաբեության լուծումները ներառված են TOP 3 ռազմավարությունների և գործիքների մեջ, որոնք խորհուրդ է տրվում օգտագործել:
Հաղորդագրության համաձայն Խաբեությունը IDS Intrusion Detection Systems) լուծումների մշակման հիմնական ուղղություններից է։
Վերջինիս մի ամբողջ հատված , որը նվիրված է SCADA-ին, հիմնված է այս շուկայի առաջատարներից մեկի՝ TrapX Security-ի (Իսրայել) տվյալների վրա, որի լուծումն աշխատում է մեր թեստային տարածքում արդեն մեկ տարի։
TrapX Deception Grid-ը թույլ է տալիս ծախսել և գործարկել զանգվածաբար բաշխված IDS-ները կենտրոնական՝ առանց լիցենզավորման բեռի և ապարատային ռեսուրսների պահանջների ավելացման: Իրականում, TrapX-ը կոնստրուկտոր է, որը թույլ է տալիս գոյություն ունեցող ՏՏ ենթակառուցվածքի տարրերից ստեղծել ձեռնարկության լայնածավալ հարձակումների հայտնաբերման մեկ մեծ մեխանիզմ, մի տեսակ բաշխված ցանցային «տագնապ»:
Լուծման կառուցվածքը
Մեր լաբորատորիայում մենք անընդհատ ուսումնասիրում և փորձարկում ենք ՏՏ անվտանգության ոլորտում տարբեր նոր ապրանքներ։ Ներկայումս այստեղ տեղակայված են մոտ 50 տարբեր վիրտուալ սերվերներ, ներառյալ TrapX Deception Grid բաղադրիչները:
Այսպիսով, վերևից ներքև.
- TSOC (TrapX Security Operation Console) համակարգի ուղեղն է: Սա կենտրոնական կառավարման վահանակ է, որի միջոցով իրականացվում են կոնֆիգուրացիան, լուծման տեղակայումը և բոլոր առօրյա գործողությունները: Քանի որ սա վեբ ծառայություն է, այն կարող է տեղակայվել ցանկացած վայրում՝ պարագծի վրա, ամպի մեջ կամ MSSP մատակարարի մոտ:
- TrapX Appliance-ը (TSA) վիրտուալ սերվեր է, որին մենք միացնում ենք, օգտագործելով trunk port, այն ենթացանցերը, որոնք ցանկանում ենք ծածկել մոնիտորինգով: Բացի այդ, մեր բոլոր ցանցային սենսորները իրականում «ապրում են» այստեղ:
Մեր լաբորատորիայում տեղադրված է մեկ TSA (mwsapp1), բայց իրականում դրանք կարող են շատ լինել: Սա կարող է անհրաժեշտ լինել խոշոր ցանցերում, որտեղ սեգմենտների միջև չկա L2 կապ (տիպիկ օրինակ է «Հոլդինգ և դուստր ձեռնարկություններ» կամ «Բանկի գլխամասային գրասենյակ և մասնաճյուղեր») կամ եթե ցանցն ունի մեկուսացված հատվածներ, օրինակ՝ գործընթացների կառավարման ավտոմատացված համակարգեր: Յուրաքանչյուր նման ճյուղում/սեգմենտում դուք կարող եք տեղակայել ձեր սեփական TSA-ն և միացնել այն մեկ TSOC-ին, որտեղ բոլոր տեղեկությունները կմշակվեն կենտրոնացված կարգով: Այս ճարտարապետությունը թույլ է տալիս կառուցել բաշխված մոնիտորինգի համակարգեր՝ առանց ցանցի արմատական վերակառուցման կամ գոյություն ունեցող հատվածավորումը խափանելու անհրաժեշտության:
Բացի այդ, մենք կարող ենք ելքային տրաֆիկի պատճենը ներկայացնել TSA-ին TAP/SPAN-ի միջոցով: Եթե մենք հայտնաբերենք կապեր հայտնի բոտնետների, հրամանների և կառավարման սերվերների կամ TOR նիստերի հետ, մենք նույնպես կստանանք արդյունքը վահանակում: Դրա համար պատասխանատու է ցանցային հետախուզության ցուցիչը (NIS): Մեր միջավայրում այս ֆունկցիոնալությունն իրականացվում է firewall-ի վրա, ուստի մենք այն այստեղ չենք օգտագործել:
- Application Traps (Full OS) – ավանդական honeypots, որոնք հիմնված են Windows սերվերների վրա: Դրանցից շատերը ձեզ պետք չեն, քանի որ այս սերվերների հիմնական նպատակն է ՏՏ ծառայություններ մատուցել սենսորների հաջորդ շերտին կամ հայտնաբերել հարձակումներ բիզնես հավելվածների վրա, որոնք կարող են տեղակայվել Windows միջավայրում: Մենք ունենք մեկ այդպիսի սերվեր տեղադրված մեր լաբորատորիայում (FOS01)
- Էմուլացված թակարդները լուծման հիմնական բաղադրիչն են, որը թույլ է տալիս մեզ, օգտագործելով մեկ վիրտուալ մեքենա, ստեղծել շատ խիտ «ականադաշտ» հարձակվողների համար և հագեցնել ձեռնարկության ցանցը, նրա բոլոր վլանները մեր սենսորներով: Հարձակվողը նման սենսորին կամ ֆանտոմային հոսթին տեսնում է որպես իրական Windows համակարգչի կամ սերվերի, Linux սերվերի կամ այլ սարքի, որը մենք որոշում ենք ցույց տալ նրան:
Բիզնեսի բարօրության և հետաքրքրասիրության համար մենք տեղակայեցինք «յուրաքանչյուր արարածից մի զույգ»՝ Windows համակարգիչներ և տարբեր տարբերակների սերվերներ, Linux սերվերներ, ներկառուցված Windows-ով բանկոմատ, SWIFT Web Access, ցանցային տպիչ, Cisco: անջատիչ, Axis IP տեսախցիկ, MacBook, PLC սարք և նույնիսկ խելացի լամպ: Ընդհանուր առմամբ կա 13 տանտեր: Ընդհանուր առմամբ, վաճառողը խորհուրդ է տալիս տեղակայել այդպիսի սենսորները իրական հոսթինգների թվի առնվազն 10%-ի չափով: Վերևի սանդղակը հասանելի հասցեի տարածությունն է:Շատ կարևոր կետ այն է, որ յուրաքանչյուր այդպիսի հոսթ լիարժեք վիրտուալ մեքենա չէ, որը պահանջում է ռեսուրսներ և լիցենզիաներ: Սա խաբեություն է, էմուլյացիա, մեկ գործընթաց TSA-ի վրա, որն ունի մի շարք պարամետրեր և IP հասցե: Հետևաբար, թեկուզ մեկ TSA-ի օգնությամբ մենք կարող ենք ցանցը հագեցնել հարյուրավոր նման ուրվական հոստերներով, որոնք կաշխատեն որպես ազդանշանային համակարգում սենսորներ։ Այս տեխնոլոգիան է, որը հնարավորություն է տալիս ծախսարդյունավետորեն մասշտաբավորել honeypot-ի հայեցակարգը ցանկացած խոշոր բաշխված ձեռնարկությունում:
Հարձակվողի տեսանկյունից այս հյուրընկալողները գրավիչ են, քանի որ դրանք պարունակում են խոցելիություններ և համեմատաբար հեշտ թիրախներ են թվում: Հարձակվողը տեսնում է ծառայություններ այս հոսթների վրա և կարող է փոխազդել նրանց հետ և հարձակվել նրանց վրա՝ օգտագործելով ստանդարտ գործիքներ և արձանագրություններ (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus և այլն): Բայց անհնար է օգտագործել այս հոսթները հարձակում մշակելու կամ ձեր սեփական կոդը գործարկելու համար:
- Այս երկու տեխնոլոգիաների համադրությունը (FullOS և emulated traps) թույլ է տալիս մեզ հասնել վիճակագրական մեծ հավանականության, որ հարձակվողը վաղ թե ուշ կհանդիպի մեր ազդանշանային ցանցի որոշ տարրի: Բայց ինչպե՞ս կարող ենք համոզվել, որ այդ հավանականությունը մոտ է 100%-ին:
Ճակատամարտի մեջ են մտնում այսպես կոչված Խաբեության նշանները։ Նրանց շնորհիվ մենք կարող ենք ներառել ձեռնարկության բոլոր առկա ԱՀ-ները և սերվերները մեր բաշխված IDS-ներում: Նշանները տեղադրվում են օգտատերերի իրական ԱՀ-ներում: Կարևոր է հասկանալ, որ նշանները ռեսուրսներ սպառող գործակալներ չեն և կարող են կոնֆլիկտներ առաջացնել: Նշանները պասիվ տեղեկատվական տարրեր են, մի տեսակ «հաց փշրանքներ» հարձակվող կողմի համար, որոնք տանում են նրան թակարդի մեջ: Օրինակ՝ քարտեզագրված ցանցային կրիչներ, բրաուզերում կեղծ վեբ ադմինիստրատորների էջանիշներ և նրանց համար պահված գաղտնաբառեր, պահպանված ssh/rdp/winscp նիստերը, մեր թակարդները՝ hosts ֆայլերում մեկնաբանություններով, հիշողության մեջ պահված գաղտնաբառեր, գոյություն չունեցող օգտատերերի հավատարմագրեր, գրասենյակ։ ֆայլեր, որոնց բացումը կգործարկի համակարգը և շատ ավելին: Այսպիսով, մենք հարձակվողին տեղադրում ենք խեղաթյուրված միջավայրում՝ հագեցած հարձակման վեկտորներով, որոնք իրականում մեզ համար վտանգ չեն ներկայացնում, այլ հակառակը։ Իսկ թե որտեղ է այդ տեղեկատվությունը ճիշտ, որտեղ՝ կեղծ, նա ոչ մի կերպ չունի։ Այսպիսով, մենք ոչ միայն ապահովում ենք հարձակման արագ հայտնաբերումը, այլև զգալիորեն դանդաղեցնում ենք դրա առաջընթացը։
Ցանցային թակարդ ստեղծելու և նշանների տեղադրման օրինակ: Ընկերական ինտերֆեյս և առանց կոնֆիգուրների, սցենարների և այլնի ձեռքով խմբագրում:
Մեր միջավայրում մենք կազմաձևեցինք և տեղադրեցինք մի շարք նման նշաններ FOS01-ի վրա, որն աշխատում է Windows Server 2012R2 և փորձնական համակարգչի վրա, որն աշխատում է Windows 7: RDP-ն աշխատում է այս մեքենաների վրա, և մենք պարբերաբար դրանք «կախում» ենք DMZ-ում, որտեղ մեր մի շարք սենսորներ են: (ընդօրինակված թակարդներ) նույնպես ցուցադրվում են: Այսպիսով, մենք ստանում ենք միջադեպերի անընդհատ հոսք, բնականաբար, այսպես ասած:
Այսպիսով, ահա մի քանի արագ վիճակագրություն տարվա համար.
56 – արձանագրվել է միջադեպ,
2 – հայտնաբերվել են հարձակման աղբյուրի հյուրընկալողներ:
Ինտերակտիվ, սեղմվող հարձակման քարտեզ
Միևնույն ժամանակ, լուծումը չի առաջացնում ինչ-որ մեգալոգ կամ իրադարձությունների հոսք, ինչը երկար ժամանակ է պահանջում հասկանալու համար։ Փոխարենը, լուծումն ինքնին դասակարգում է իրադարձություններն ըստ իրենց տեսակների և թույլ է տալիս տեղեկատվական անվտանգության թիմին կենտրոնանալ հիմնականում ամենավտանգավորների վրա. երբ հարձակվողը փորձում է բարձրացնել վերահսկման սեսիաները (փոխազդեցություն) կամ երբ մեր տրաֆիկում հայտնվում են երկուական ծանրաբեռնվածություններ (վարակ):
Իրադարձությունների մասին ողջ տեղեկատվությունը ընթեռնելի է և ներկայացվում է, իմ կարծիքով, հեշտ հասկանալի ձևով նույնիսկ տեղեկատվական անվտանգության ոլորտում տարրական գիտելիքներ ունեցող օգտատիրոջ համար:
Արձանագրված միջադեպերի մեծ մասը մեր հաղորդավարների կամ առանձին կապերի սկանավորման փորձեր են:
Կամ RDP-ի համար կոպիտ ուժային գաղտնաբառերը կիրառելու փորձեր
Բայց կային նաև ավելի հետաքրքիր դեպքեր, հատկապես, երբ հարձակվողներին «հաջողվեց» գուշակել RDP-ի գաղտնաբառը և մուտք գործել տեղական ցանց:
Հարձակվողը փորձում է գործարկել կոդը՝ օգտագործելով psexec:
Հարձակվողը գտել է պահպանված նիստ, որը նրան տարել է ծուղակի մեջ՝ Linux սերվերի տեսքով: Միանալուց անմիջապես հետո, մեկ նախապես պատրաստված հրամանների հավաքածուով, այն փորձեց ոչնչացնել բոլոր մատյան ֆայլերը և համակարգի համապատասխան փոփոխականները:
Հարձակվողը փորձում է SQL ներարկում կատարել honeypot-ի վրա, որը նմանակում է SWIFT Web Access-ին:
Բացի նման «բնական» հարձակումներից, մենք նաև մեր սեփական փորձարկումներն ենք անցկացրել։ Ամենաբացահայտիչներից մեկը ցանցի վրա ճիճու հայտնաբերման ժամանակի փորձարկումն է: Դա անելու համար մենք օգտագործեցինք GuardiCore-ի գործիքը, որը կոչվում էր . Սա ցանցային որդ է, որը կարող է հափշտակել Windows-ը և Linux-ը, բայց առանց որևէ «բեռի»:
Մենք տեղակայեցինք տեղական հրամանատարական կենտրոն, գործարկեցինք ճիճու առաջին օրինակը մեքենաներից մեկի վրա և ստացանք առաջին ահազանգը TrapX վահանակում մեկուկես րոպեից պակաս ժամանակում: TTD 90 վայրկյան՝ միջինում 106 օրվա դիմաց...
Այլ դասերի լուծումների հետ ինտեգրվելու ունակության շնորհիվ մենք կարող ենք անցնել սպառնալիքների արագ հայտնաբերումից դեպի դրանց ավտոմատ արձագանքման:
Օրինակ, NAC (Network Access Control) համակարգերի կամ CarbonBlack-ի հետ ինտեգրումը թույլ կտա ավտոմատ կերպով անջատել վտանգված ԱՀ-ները ցանցից:
Ավազարկղերի հետ ինտեգրումը թույլ է տալիս հարձակման մեջ ներգրավված ֆայլերը ավտոմատ կերպով ներկայացնել վերլուծության:
McAfee-ի ինտեգրում
Լուծումն ունի նաև իր ներկառուցված իրադարձությունների հարաբերակցության համակարգը:
Բայց մենք չբավարարվեցինք նրա հնարավորություններով, ուստի այն ինտեգրեցինք HP ArcSight-ի հետ։
Ներկառուցված տոմսերի համակարգը օգնում է ողջ աշխարհին հաղթահարել հայտնաբերված սպառնալիքները:
Քանի որ լուծումը մշակվել է «ի սկզբանե» պետական գերատեսչությունների և խոշոր կորպորատիվ հատվածի կարիքների համար, այն, բնականաբար, իրականացնում է դերի վրա հիմնված մուտքի մոդել, ինտեգրում AD-ի հետ, հաշվետվությունների և գործարկիչների մշակված համակարգ (միջոցառումների ազդանշաններ), կազմակերպում խոշոր հոլդինգային կառույցներ կամ MSSP մատակարարներ:
Ռեզյումեի փոխարեն
Եթե կա մոնիտորինգի այնպիսի համակարգ, որը, պատկերավոր ասած, ծածկում է մեր մեջքը, ապա պարագծի փոխզիջումով ամեն ինչ նոր է սկսվում։ Ամենակարեւորն այն է, որ իրական հնարավորություն կա զբաղվելու տեղեկատվական անվտանգության միջադեպերով, այլ ոչ թե դրանց հետեւանքներով։
Source: www.habr.com