(þökk sé Sergey G. Brester fyrir titilhugmyndina )
Samstarfsmenn, tilgangur þessarar greinar er að deila reynslunni af árslangri prufuaðgerð á nýjum flokki IDS lausna sem byggja á blekkingartækni.
Til að viðhalda rökréttu samræmi í framsetningu efnisins tel ég nauðsynlegt að byrja á forsendum. Svo, vandamálið:
- Markvissar árásir eru hættulegasta tegund árása, þrátt fyrir að hlutur þeirra í heildarfjölda hótana sé lítill.
- Engin tryggð skilvirk leið til að vernda jaðarinn (eða sett af slíkum aðferðum) hefur enn verið fundin upp.
- Að jafnaði eiga sér stað markvissar árásir í nokkrum áföngum. Að sigrast á jaðrinum er aðeins eitt af upphafsstigunum, sem (þú getur kastað steinum í mig) veldur ekki miklu tjóni á „fórnarlambinu“, nema að sjálfsögðu sé um DEoS (Destruction of Service) árás (dulkóðarar osfrv.) .). Hinn raunverulegi „sársauki“ byrjar seinna, þegar teknar eignir byrja að nota til að snúa og þróa „dýpt“ árás, og við tókum ekki eftir þessu.
- Þar sem við byrjum að verða fyrir raunverulegu tjóni þegar árásarmenn ná loksins markmiðum árásarinnar (forritaþjóna, DBMS, gagnageymslur, geymslur, mikilvægir innviðaþættir) er rökrétt að eitt af verkefnum upplýsingaöryggisþjónustunnar sé að trufla árásir fyrir kl. þennan sorglega atburð. En til þess að trufla eitthvað verður þú fyrst að komast að því. Og því fyrr, því betra.
- Í samræmi við það, fyrir árangursríka áhættustýringu (þ.e. að draga úr tjóni vegna markvissra árása), er mikilvægt að hafa verkfæri sem veita lágmarks TTD (tími til að greina - tíminn frá augnabliki innrásar til þess augnabliks sem árásin greinist). Það fer eftir iðnaði og svæði, þetta tímabil er að meðaltali 99 dagar í Bandaríkjunum, 106 dagar á EMEA svæðinu, 172 dagar á APAC svæðinu (M-Trends 2017, A View From the Front Lines, Mandiant).
- Hvað býður markaðurinn upp?
- "Sandkassar". Annað fyrirbyggjandi eftirlit, sem er langt frá því að vera tilvalið. Það eru margar árangursríkar aðferðir til að greina og komast framhjá sandkassa eða lausnum á hvítlista. Strákarnir frá „myrku hliðinni“ eru enn skrefi á undan hér.
- UEBA (kerfi til að greina hegðun og greina frávik) - í orði, getur verið mjög áhrifarík. En að mínu mati er þetta einhvern tíma í fjarlægri framtíð. Í reynd er þetta enn mjög dýrt, óáreiðanlegt og krefst mjög þroskaðs og stöðugs upplýsingatækni- og upplýsingaöryggisinnviða, sem hefur nú þegar öll þau tæki sem munu búa til gögn fyrir atferlisgreiningu.
- SIEM er gott tól fyrir rannsóknir, en það er ekki hægt að sjá og sýna eitthvað nýtt og frumlegt í tæka tíð, vegna þess að fylgnireglurnar eru þær sömu og undirskriftir.
- Þar af leiðandi er þörf fyrir tæki sem myndi:
- unnið með farsælum hætti við aðstæður þar sem ummálið er þegar í hættu,
- greindi árangursríkar árásir í næstum rauntíma, óháð verkfærum og veikleikum sem notuð eru,
- var ekki háð undirskriftum/reglum/forskriftum/reglum/prófílum og öðrum kyrrstæðum hlutum,
- þurfti ekki mikið magn af gögnum og heimildum þeirra til greiningar,
- myndi leyfa að árásir væru ekki skilgreindar sem einhvers konar áhættustig vegna vinnu „þeirra bestu í heiminum, einkaleyfisskylda og þar af leiðandi lokaðri stærðfræði“, sem krefst frekari rannsóknar, heldur nánast sem tvíundarviðburður - „Já, ráðist er á okkur“ eða „Nei, allt er í lagi“
- var alhliða, stigstærð á skilvirkan hátt og framkvæmanlegt í hvaða ólíku umhverfi sem er, óháð líkamlegri og rökréttri netkerfisfræði sem notuð var.
Svokallaðar blekkingarlausnir keppast nú um hlutverk slíks tækis. Það er að segja lausnir sem byggja á gömlu góðu hugtakinu hunangspotta en með allt öðru útfærslustigi. Þetta efni er svo sannarlega á uppleið núna.
Samkvæmt niðurstöðunum Blekkingarlausnir eru innifaldar í TOP 3 aðferðum og verkfærum sem mælt er með að nota.
Samkvæmt skýrslunni Blekking er ein helsta stefna þróunar á IDS Intrusion Detection Systems) lausnum.
Heilur kafli af því síðarnefnda , tileinkað SCADA, er byggt á gögnum frá einum af leiðtogunum á þessum markaði, TrapX Security (Ísrael), en lausnin hefur virkað á prófunarsvæðinu okkar í eitt ár.
TrapX Deception Grid gerir þér kleift að kosta og reka gríðarlega dreifða IDS miðlægt, án þess að auka leyfisálag og kröfur um vélbúnaðarauðlindir. Reyndar er TrapX smiður sem gerir þér kleift að búa til úr þáttum núverandi upplýsingatækniinnviða eitt stórt kerfi til að greina árásir á fyrirtækisbreiðum mælikvarða, eins konar dreifð net „viðvörun“.
Uppbygging lausna
Á rannsóknarstofu okkar erum við stöðugt að rannsaka og prófa ýmsar nýjar vörur á sviði upplýsingatækniöryggis. Eins og er eru um 50 mismunandi sýndarþjónar notaðir hér, þar á meðal TrapX Deception Grid hluti.
Svo, frá toppi til botns:
- TSOC (TrapX Security Operation Console) er heilinn í kerfinu. Þetta er miðlæga stjórnborðið þar sem uppsetning, uppsetning lausnarinnar og allar daglegar aðgerðir fara fram. Þar sem þetta er vefþjónusta er hægt að nota hana hvar sem er - á jaðrinum, í skýinu eða hjá MSSP þjónustuveitanda.
- TrapX Appliance (TSA) er sýndarþjónn sem við tengjum inn í, með því að nota trunk tengið, þessi undirnet sem við viljum ná yfir með eftirliti. Einnig „búa“ allir netskynjarar okkar hér.
Rannsóknarstofan okkar er með einn TSA (mwsapp1), en í raun gætu þeir verið margir. Þetta getur verið nauðsynlegt í stórum netum þar sem engin L2 tenging er á milli hluta (dæmilegt dæmi er „Eignarhald og dótturfélög“ eða „Höfuðstöðvar banka og útibú“) eða ef netið hefur einangraða hluta, td sjálfvirk ferlistýringarkerfi. Í hverri slíkri grein/hluta geturðu sent inn þinn eigin TSA og tengt það við einn TSOC, þar sem allar upplýsingar verða unnar miðlægt. Þessi arkitektúr gerir þér kleift að smíða dreifð eftirlitskerfi án þess að þurfa að endurskipuleggja netkerfið á róttækan hátt eða trufla núverandi skiptingu.
Einnig getum við sent afrit af útleiðinni umferð til TSA í gegnum TAP/SPAN. Ef við uppgötvum tengingar við þekkt botnet, stjórn- og stjórnunarþjóna eða TOR lotur, munum við einnig fá niðurstöðuna í stjórnborðinu. Network Intelligence Sensor (NIS) ber ábyrgð á þessu. Í umhverfi okkar er þessi virkni útfærð á eldveggnum, þannig að við notuðum hann ekki hér.
- Application Traps (Full OS) – hefðbundnir hunangspottar byggðir á Windows netþjónum. Þú þarft ekki marga af þeim, þar sem megintilgangur þessara netþjóna er að veita upplýsingatækniþjónustu til næsta lags skynjara eða greina árásir á viðskiptaforrit sem kunna að vera notuð í Windows umhverfi. Við erum með einn slíkan netþjón uppsettan á rannsóknarstofunni okkar (FOS01)
- Eftirlíkingargildrur eru aðalþáttur lausnarinnar, sem gerir okkur kleift, með því að nota eina sýndarvél, að búa til mjög þétt „sprengjusvæði“ fyrir árásarmenn og metta fyrirtækisnetið, öll vlan þess, með skynjurum okkar. Árásarmaðurinn lítur á slíkan skynjara, eða phantom host, sem alvöru Windows tölvu eða netþjón, Linux netþjón eða annað tæki sem við ákveðum að sýna honum.
Fyrir hagsmuni fyrirtækisins og fyrir forvitnis sakir settum við upp „par af hverri veru“ - Windows tölvur og netþjónar í ýmsum útgáfum, Linux netþjóna, hraðbanka með innbyggðu Windows, SWIFT Web Access, netprentara, Cisco switch, Axis IP myndavél, MacBook, PLC -tæki og jafnvel snjallpera. Alls eru 13 gestgjafar. Almennt mælir seljandi með því að nota slíka skynjara í að minnsta kosti 10% af fjölda raunverulegra gestgjafa. Efsta stikan er tiltækt heimilisfang.Mjög mikilvægt atriði er að hver slíkur gestgjafi er ekki fullgild sýndarvél sem krefst auðlinda og leyfis. Þetta er tálbeiting, eftirlíking, eitt ferli á TSA, sem hefur sett af breytum og IP tölu. Þess vegna, með hjálp jafnvel eins TSA, getum við mettað netið með hundruðum slíkra fantómhýsinga, sem munu virka sem skynjarar í viðvörunarkerfinu. Það er þessi tækni sem gerir það mögulegt að stækka hunangspotthugmyndina á hagkvæman hátt yfir öll stór dreifð fyrirtæki.
Frá sjónarhóli árásaraðila eru þessir gestgjafar aðlaðandi vegna þess að þeir innihalda veikleika og virðast vera tiltölulega auðveld skotmörk. Árásarmaðurinn sér þjónustu á þessum vélum og getur haft samskipti við þá og ráðist á þá með því að nota staðlaðar verkfæri og samskiptareglur (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, o.s.frv.). En það er ómögulegt að nota þessa vélar til að þróa árás eða keyra eigin kóða.
- Samsetning þessara tveggja tækni (FullOS og herma gildrur) gerir okkur kleift að ná miklum tölfræðilegum líkum á því að árásarmaður muni fyrr eða síðar lenda í einhverjum þáttum merkjakerfisins okkar. En hvernig getum við gengið úr skugga um að þessar líkur séu nálægt 100%?
Svokölluð blekkingartákn koma inn í bardagann. Þökk sé þeim getum við haft allar núverandi tölvur og netþjóna fyrirtækisins með í dreifðu IDS okkar. Tákn eru sett á raunverulegar tölvur notenda. Það er mikilvægt að skilja að tákn eru ekki umboðsmenn sem neyta auðlinda og geta valdið árekstrum. Tákn eru óvirkir upplýsingaþættir, eins konar „brauðmolar“ fyrir árásarhliðina sem leiða hana í gildru. Til dæmis, kortlögð netdrif, bókamerki á falsa vefstjóra í vafranum og vistuð lykilorð fyrir þá, vistaðar ssh/rdp/winscp lotur, gildrur okkar með athugasemdum í hýsingarskrám, lykilorð vistuð í minni, skilríki notenda sem ekki eru til, skrifstofa skrár, opnun sem mun kveikja á kerfinu og margt fleira. Þannig setjum við árásarmanninn í brenglað umhverfi, mettað af árásarvektorum sem í rauninni stafar ekki ógn af okkur, heldur hið gagnstæða. Og hann hefur enga leið til að ákvarða hvar upplýsingarnar eru sannar og hvar þær eru rangar. Þannig tryggjum við ekki aðeins skjóta uppgötvun árásar heldur hægjum við verulega á framgangi hennar.
Dæmi um að búa til netgildru og setja upp tákn. Vingjarnlegt viðmót og engin handvirk breyting á stillingum, skriftum osfrv.
Í umhverfi okkar stilltum við og settum fjölda slíkra tákna á FOS01 sem keyrir Windows Server 2012R2 og prófunartölvu sem keyrir Windows 7. RDP er í gangi á þessum vélum og við „hengjum“ þær reglulega í DMZ, þar sem fjöldi skynjara okkar (eftirlíkingargildrur) eru einnig sýndar. Þannig að við fáum stöðugan straum atvika, náttúrulega ef svo má segja.
Svo, hér eru nokkrar hraðtölur fyrir árið:
56 – atvik skráð,
2 – hýsingar fyrir árásaruppsprettu fundust.
Gagnvirkt, smellanlegt árásarkort
Á sama tíma býr lausnin ekki til einhvers konar mega-log eða atburðarstraum, sem tekur langan tíma að skilja. Þess í stað flokkar lausnin sjálf atburði eftir tegundum þeirra og gerir upplýsingaöryggisteyminu kleift að einbeita sér fyrst og fremst að þeim hættulegustu - þegar árásarmaðurinn reynir að hækka stjórnlotur (samskipti) eða þegar tvöfaldur farmur (sýking) birtist í umferð okkar.
Allar upplýsingar um atburði eru læsilegar og settar fram að mínu mati á auðskiljanlegu formi jafnvel fyrir notanda með grunnþekkingu á sviði upplýsingaöryggis.
Flest skráð atvik eru tilraunir til að skanna gestgjafa okkar eða stakar tengingar.
Eða tilraunir til að knýja fram lykilorð fyrir RDP
En það voru líka áhugaverðari tilvik, sérstaklega þegar árásarmenn „náðu“ að giska á lykilorðið fyrir RDP og fá aðgang að staðarnetinu.
Árásarmaður reynir að keyra kóða með psexec.
Árásarmaðurinn fann vistaða lotu sem leiddi hann í gildru í formi Linux netþjóns. Strax eftir tengingu, með einu fyrirfram tilbúnu setti skipana, reyndi það að eyða öllum annálaskrám og samsvarandi kerfisbreytum.
Árásarmaður reynir að framkvæma SQL innspýtingu á hunangspott sem líkir eftir SWIFT Web Access.
Til viðbótar við slíkar „náttúrulegar“ árásir gerðum við einnig fjölda eigin prófana. Eitt það afhjúpandi er að prófa greiningartíma netorms á neti. Til að gera þetta notuðum við tól frá GuardiCore sem heitir . Þetta er netormur sem getur rænt Windows og Linux, en án nokkurs „hagnaðarálags“.
Við settum upp staðbundna stjórnstöð, ræstum fyrsta tilvikið af orminum á eina vélina og fengum fyrstu viðvörunina í TrapX stjórnborðinu á innan við einni og hálfri mínútu. TTD 90 sekúndur á móti 106 dögum að meðaltali...
Þökk sé hæfileikanum til að samþætta öðrum flokkum lausna getum við farið frá því að greina ógnir fljótt yfir í að bregðast sjálfkrafa við þeim.
Til dæmis, samþætting við NAC (Network Access Control) kerfi eða með CarbonBlack gerir þér kleift að aftengja tölvur sem eru í hættu sjálfkrafa frá netinu.
Samþætting við sandkassa gerir kleift að senda sjálfkrafa skrár sem taka þátt í árás til greiningar.
McAfee samþætting
Lausnin hefur einnig sitt eigið innbyggt atburðafylgnikerfi.
En við vorum ekki ánægðir með getu þess, svo við samþættum hann við HP ArcSight.
Innbyggt miðakerfi hjálpar öllum heiminum að takast á við uppgötvaðar ógnir.
Þar sem lausnin var þróuð „frá upphafi“ fyrir þarfir ríkisstofnana og stórra fyrirtækja, innleiðir hún náttúrulega hlutverkamiðað aðgangslíkan, samþættingu við AD, þróað kerfi skýrslna og kveikja (atburðaviðvaranir), skipulagningu fyrir stór eignarhaldsvirki eða MSSP veitendur.
Í stað þess að halda áfram
Ef það er til slíkt eftirlitskerfi sem, í óeiginlegri merkingu, hylur bakið á okkur, þá er allt rétt að byrja með málamiðlun um jaðar. Mikilvægast er að raunverulegt tækifæri gefist til að takast á við upplýsingaöryggisatvik en ekki að takast á við afleiðingar þeirra.
Heimild: www.habr.com