(terima kasih kepada Sergey G. Brester atas ide judulnya )
Rekan-rekan, tujuan artikel ini adalah untuk berbagi pengalaman operasi uji coba solusi IDS kelas baru berdasarkan teknologi Deception selama setahun.
Untuk menjaga koherensi logis penyajian materi, saya memandang perlu memulai dari premis. Jadi, masalahnya:
- Serangan yang ditargetkan adalah jenis serangan yang paling berbahaya, meskipun faktanya porsinya dalam jumlah ancaman kecil.
- Belum ada jaminan cara efektif untuk melindungi perimeter (atau serangkaian cara semacam itu) yang telah ditemukan.
- Biasanya, serangan yang ditargetkan terjadi dalam beberapa tahap. Mengatasi perimeter hanyalah salah satu tahap awal, yang (Anda bisa melempari saya dengan batu) tidak menyebabkan banyak kerusakan pada “korban”, kecuali, tentu saja, itu adalah serangan DEoS (Destruction of service) (encryptors, dll.) .). “Rasa sakit” yang sebenarnya dimulai kemudian, ketika aset yang ditangkap mulai digunakan untuk berputar dan mengembangkan serangan “mendalam”, dan kami tidak menyadarinya.
- Karena kita mulai menderita kerugian nyata ketika penyerang akhirnya mencapai target serangan (server aplikasi, DBMS, gudang data, repositori, elemen infrastruktur penting), maka masuk akal bahwa salah satu tugas layanan keamanan informasi adalah menghentikan serangan sebelumnya. peristiwa menyedihkan ini. Tetapi untuk menghentikan sesuatu, Anda harus mengetahuinya terlebih dahulu. Dan lebih cepat lebih baik.
- Oleh karena itu, agar manajemen risiko berhasil (yaitu, mengurangi kerusakan akibat serangan yang ditargetkan), sangat penting untuk memiliki alat yang memberikan TTD minimum (waktu untuk mendeteksi - waktu dari saat intrusi hingga saat serangan terdeteksi). Tergantung pada industri dan wilayahnya, periode ini rata-rata berlangsung selama 99 hari di AS, 106 hari di wilayah EMEA, dan 172 hari di wilayah APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
- Apa yang ditawarkan pasar?
- "Kotak Pasir". Pengendalian preventif lainnya yang jauh dari ideal. Ada banyak teknik efektif untuk mendeteksi dan melewati kotak pasir atau solusi yang masuk daftar putih. Orang-orang dari “sisi gelap” masih selangkah lebih maju di sini.
- UEBA (sistem untuk membuat profil perilaku dan mengidentifikasi penyimpangan) - secara teori, bisa sangat efektif. Namun, menurut pendapat saya, hal ini masih jauh di masa depan. Dalam praktiknya, hal ini masih sangat mahal, tidak dapat diandalkan, dan memerlukan infrastruktur TI dan keamanan informasi yang sangat matang dan stabil, yang telah memiliki semua alat yang akan menghasilkan data untuk analisis perilaku.
- SIEM merupakan alat yang baik untuk melakukan investigasi, namun tidak mampu melihat dan menampilkan sesuatu yang baru dan orisinal secara tepat waktu, karena aturan korelasinya sama dengan tanda tangan.
- Oleh karena itu, diperlukan suatu alat yang dapat:
- berhasil bekerja dalam kondisi perimeter yang sudah dikompromikan,
- mendeteksi serangan yang berhasil hampir secara real-time, apa pun alat dan kerentanan yang digunakan,
- tidak bergantung pada tanda tangan/aturan/skrip/kebijakan/profil dan hal-hal statis lainnya,
- tidak memerlukan sejumlah besar data dan sumbernya untuk dianalisis,
- akan memungkinkan serangan untuk didefinisikan bukan sebagai semacam penilaian risiko sebagai hasil karya “matematika terbaik di dunia, yang dipatenkan dan karena itu tertutup”, yang memerlukan penyelidikan tambahan, tetapi secara praktis sebagai peristiwa biner - “Ya, kami sedang diserang” atau “Tidak, semuanya baik-baik saja”,
- bersifat universal, dapat diskalakan secara efisien, dan layak untuk diterapkan di lingkungan heterogen apa pun, terlepas dari topologi jaringan fisik dan logis yang digunakan.
Apa yang disebut sebagai solusi penipuan kini bersaing untuk mendapatkan peran sebagai alat tersebut. Artinya, solusi berdasarkan konsep honeypots lama yang bagus, tetapi dengan tingkat implementasi yang sangat berbeda. Topik ini pasti sedang naik daun sekarang.
Menurut hasil Solusi penipuan termasuk dalam 3 strategi dan alat TOP yang direkomendasikan untuk digunakan.
Menurut laporan itu Penipuan adalah salah satu arah utama pengembangan solusi Sistem Deteksi Intrusi IDS).
Seluruh bagian dari yang terakhir , yang didedikasikan untuk SCADA, didasarkan pada data dari salah satu pemimpin di pasar ini, TrapX Security (Israel), yang solusinya telah bekerja di area pengujian kami selama setahun.
TrapX Deception Grid memungkinkan Anda menghitung biaya dan mengoperasikan IDS yang didistribusikan secara besar-besaran secara terpusat, tanpa menambah beban lisensi dan persyaratan untuk sumber daya perangkat keras. Faktanya, TrapX adalah konstruktor yang memungkinkan Anda membuat dari elemen infrastruktur TI yang ada satu mekanisme besar untuk mendeteksi serangan pada skala perusahaan, semacam “alarm” jaringan terdistribusi.
Struktur Solusi
Di laboratorium kami, kami terus mempelajari dan menguji berbagai produk baru di bidang keamanan TI. Saat ini, sekitar 50 server virtual berbeda dikerahkan di sini, termasuk komponen TrapX Deception Grid.
Jadi, dari atas ke bawah:
- TSOC (TrapX Security Operation Console) adalah otak dari sistem. Ini adalah konsol manajemen pusat tempat konfigurasi, penerapan solusi, dan semua operasi sehari-hari dilakukan. Karena ini adalah layanan web, layanan ini dapat diterapkan di mana saja - di perimeter, di cloud, atau di penyedia MSSP.
- TrapX Appliance (TSA) adalah server virtual tempat kami terhubung, menggunakan port trunk, subnet yang ingin kami cakup dengan pemantauan. Selain itu, semua sensor jaringan kami sebenarnya “hidup” di sini.
Lab kami memiliki satu TSA yang diterapkan (mwsapp1), namun kenyataannya mungkin ada banyak. Hal ini mungkin diperlukan dalam jaringan besar di mana tidak ada konektivitas L2 antar segmen (contoh tipikal adalah “Holding dan anak perusahaan” atau “Kantor pusat dan cabang Bank”) atau jika jaringan memiliki segmen yang terisolasi, misalnya, sistem kontrol proses otomatis. Di setiap cabang/segmen, Anda dapat menerapkan TSA Anda sendiri dan menghubungkannya ke satu TSOC, tempat semua informasi akan diproses secara terpusat. Arsitektur ini memungkinkan Anda membangun sistem pemantauan terdistribusi tanpa perlu merestrukturisasi jaringan secara radikal atau mengganggu segmentasi yang ada.
Selain itu, kami dapat mengirimkan salinan lalu lintas keluar ke TSA melalui TAP/SPAN. Jika kami mendeteksi koneksi dengan botnet, server perintah dan kontrol, atau sesi TOR yang dikenal, kami juga akan menerima hasilnya di konsol. Network Intelligence Sensor (NIS) bertanggung jawab untuk ini. Di lingkungan kami, fungsi ini diterapkan pada firewall, jadi kami tidak menggunakannya di sini.
- Perangkap Aplikasi (OS Lengkap) – honeypot tradisional berdasarkan server Windows. Anda tidak memerlukan banyak server, karena tujuan utama server ini adalah menyediakan layanan TI ke lapisan sensor berikutnya atau mendeteksi serangan terhadap aplikasi bisnis yang mungkin digunakan di lingkungan Windows. Kami memiliki satu server yang terpasang di laboratorium kami (FOS01)
- Perangkap yang ditiru adalah komponen utama solusi, yang memungkinkan kami, dengan menggunakan satu mesin virtual, menciptakan “ladang ranjau” yang sangat padat bagi penyerang dan memenuhi jaringan perusahaan, semua vlannya, dengan sensor kami. Penyerang melihat sensor, atau host hantu, sebagai PC atau server Windows asli, server Linux, atau perangkat lain yang kami putuskan untuk ditunjukkan kepadanya.
Demi kebaikan bisnis dan demi rasa ingin tahu, kami mengerahkan “sepasang dari setiap makhluk” - PC Windows dan server berbagai versi, server Linux, ATM dengan Windows tertanam, Akses Web SWIFT, printer jaringan, Cisco switch, kamera IP Axis, MacBook, perangkat PLC, dan bahkan bola lampu pintar. Total ada 13 host. Secara umum, vendor merekomendasikan penggunaan sensor tersebut dalam jumlah minimal 10% dari jumlah host sebenarnya. Bilah atas adalah ruang alamat yang tersedia.Poin yang sangat penting adalah bahwa setiap host tersebut bukanlah mesin virtual lengkap yang memerlukan sumber daya dan lisensi. Ini adalah umpan, emulasi, salah satu proses pada TSA, yang memiliki serangkaian parameter dan alamat IP. Oleh karena itu, dengan bantuan satu TSA saja, kita dapat memenuhi jaringan dengan ratusan host hantu yang akan berfungsi sebagai sensor dalam sistem alarm. Teknologi inilah yang memungkinkan penerapan konsep honeypot secara hemat biaya di seluruh perusahaan besar yang terdistribusi.
Dari sudut pandang penyerang, host ini menarik karena mengandung kerentanan dan tampaknya merupakan sasaran yang relatif mudah. Penyerang melihat layanan di host ini dan dapat berinteraksi dengannya serta menyerangnya menggunakan alat dan protokol standar (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, dll.). Namun tidak mungkin menggunakan host ini untuk mengembangkan serangan atau menjalankan kode Anda sendiri.
- Kombinasi kedua teknologi ini (FullOS dan emulated traps) memungkinkan kami mencapai probabilitas statistik yang tinggi bahwa penyerang cepat atau lambat akan menemukan beberapa elemen jaringan sinyal kami. Tapi bagaimana kita bisa memastikan probabilitasnya mendekati 100%?
Yang disebut token Penipuan memasuki pertempuran. Berkat mereka, kami dapat memasukkan semua PC dan server perusahaan yang ada ke dalam IDS terdistribusi kami. Token ditempatkan di PC asli pengguna. Penting untuk dipahami bahwa token bukanlah agen yang menghabiskan sumber daya dan dapat menyebabkan konflik. Token adalah elemen informasi pasif, semacam “remah roti” bagi pihak penyerang yang membawanya ke dalam jebakan. Misalnya, drive jaringan yang dipetakan, bookmark ke admin web palsu di browser dan kata sandi yang disimpan untuk mereka, sesi ssh/rdp/winscp yang disimpan, jebakan kami dengan komentar di file host, kata sandi yang disimpan di memori, kredensial pengguna yang tidak ada, kantor file, pembukaan yang akan memicu sistem, dan banyak lagi. Jadi, kami menempatkan penyerang di lingkungan yang terdistorsi, dipenuhi dengan vektor serangan yang sebenarnya tidak menimbulkan ancaman bagi kami, melainkan sebaliknya. Dan dia tidak punya cara untuk menentukan mana informasi yang benar dan mana yang salah. Oleh karena itu, kami tidak hanya memastikan deteksi serangan yang cepat, namun juga memperlambat kemajuannya secara signifikan.
Contoh pembuatan jebakan jaringan dan pengaturan token. Antarmuka yang ramah dan tidak ada pengeditan konfigurasi, skrip, dll secara manual.
Di lingkungan kami, kami mengonfigurasi dan menempatkan sejumlah token tersebut pada FOS01 yang menjalankan Windows Server 2012R2 dan PC uji yang menjalankan Windows 7. RDP berjalan pada mesin ini dan kami secara berkala "menggantungnya" di DMZ, tempat sejumlah sensor kami (perangkap yang ditiru) juga ditampilkan. Jadi, kita mendapatkan serangkaian insiden yang terus-menerus, secara alamiah.
Jadi, berikut beberapa statistik singkat untuk tahun ini:
56 – insiden tercatat,
2 – host sumber serangan terdeteksi.
Peta serangan yang interaktif dan dapat diklik
Pada saat yang sama, solusinya tidak menghasilkan semacam mega-log atau feed peristiwa, yang membutuhkan waktu lama untuk dipahami. Sebaliknya, solusi itu sendiri mengklasifikasikan peristiwa berdasarkan tipenya dan memungkinkan tim keamanan informasi untuk fokus terutama pada peristiwa yang paling berbahaya - ketika penyerang mencoba meningkatkan sesi kontrol (interaksi) atau ketika muatan biner (infeksi) muncul di lalu lintas kami.
Semua informasi tentang peristiwa dapat dibaca dan disajikan, menurut saya, dalam bentuk yang mudah dipahami bahkan untuk pengguna yang memiliki pengetahuan dasar di bidang keamanan informasi.
Sebagian besar insiden yang tercatat adalah upaya untuk memindai host atau koneksi tunggal kami.
Atau mencoba memaksa kata sandi untuk RDP
Namun ada juga kasus yang lebih menarik, terutama ketika penyerang “berhasil” menebak kata sandi RDP dan mendapatkan akses ke jaringan lokal.
Seorang penyerang mencoba mengeksekusi kode menggunakan psexec.
Penyerang menemukan sesi tersimpan, yang membawanya ke dalam jebakan dalam bentuk server Linux. Segera setelah terhubung, dengan satu set perintah yang telah disiapkan sebelumnya, ia mencoba menghancurkan semua file log dan variabel sistem terkait.
Penyerang mencoba melakukan injeksi SQL pada honeypot yang meniru Akses Web SWIFT.
Selain serangan “alami” tersebut, kami juga melakukan sejumlah pengujian kami sendiri. Salah satu yang paling mengungkap adalah pengujian waktu deteksi worm jaringan pada suatu jaringan. Untuk melakukan ini kami menggunakan alat dari GuardiCore yang disebut . Ini adalah worm jaringan yang dapat membajak Windows dan Linux, tetapi tanpa “payload” apa pun.
Kami mengerahkan pusat komando lokal, meluncurkan worm pertama di salah satu mesin, dan menerima peringatan pertama di konsol TrapX dalam waktu kurang dari satu setengah menit. TTD 90 detik versus rata-rata 106 hari...
Berkat kemampuan untuk berintegrasi dengan solusi kelas lain, kita dapat beralih dari sekadar mendeteksi ancaman dengan cepat menjadi meresponsnya secara otomatis.
Misalnya, integrasi dengan sistem NAC (Network Access Control) atau dengan CarbonBlack akan memungkinkan Anda untuk secara otomatis memutuskan sambungan PC yang disusupi dari jaringan.
Integrasi dengan sandbox memungkinkan file yang terlibat dalam serangan dikirimkan secara otomatis untuk dianalisis.
Integrasi McAfee
Solusinya juga memiliki sistem korelasi peristiwa bawaannya sendiri.
Namun kami kurang puas dengan kemampuannya, jadi kami mengintegrasikannya dengan HP ArcSight.
Sistem tiket bawaan membantu seluruh dunia mengatasi ancaman yang terdeteksi.
Karena solusi ini dikembangkan “dari awal” untuk kebutuhan lembaga pemerintah dan segmen korporasi besar, solusi ini secara alami menerapkan model akses berbasis peran, integrasi dengan AD, sistem laporan dan pemicu yang dikembangkan (peringatan peristiwa), orkestrasi untuk struktur induk besar atau penyedia MSSP.
Alih-alih resume
Jika ada sistem pemantauan yang, secara kiasan, menutupi punggung kita, maka dengan kompromi perimeter, semuanya baru saja dimulai. Hal yang paling penting adalah adanya peluang nyata untuk menangani insiden keamanan informasi, dan bukan menangani konsekuensinya.
Sumber: www.habr.com