セキュリティツールとしてのホール - 2、または「生き餌で」APTを捕まえる方法

(タイトルのアイデアを提供してくれた Sergey G. Brester に感謝します) セーブル)

同僚の皆さん、この記事の目的は、デセプション テクノロジーに基づく新しいクラスの IDS ソリューションの XNUMX 年間にわたるテスト運用の経験を共有することです。

資料のプレゼンテーションの論理的一貫性を維持するには、前提から始める必要があると考えています。 したがって、問題は次のとおりです。

1. 標的型攻撃は、脅威の総数に占める割合は小さいにもかかわらず、最も危険なタイプの攻撃です。
2. 境界を保護する保証された有効な手段 (またはそのような手段のセット) はまだ発明されていません。
3. 通常、標的型攻撃はいくつかの段階で発生します。 境界線の突破は初期段階の XNUMX つにすぎません。もちろん、DEoS (サービス破壊) 攻撃 (暗号化機能など) でない限り、「被害者」に大きなダメージを与えることはありません (私に石を投げても構いません)。 。）。 本当の「痛み」はその後、捕獲された資産がピボットと「深度」攻撃の展開に使用され始めるときに始まりますが、私たちはこれに気づきませんでした。
4. 攻撃者が最終的に攻撃ターゲット (アプリケーション サーバー、DBMS、データ ウェアハウス、リポジトリ、重要なインフラストラクチャ要素) に到達すると、私たちが実際の損失を被り始めるため、情報セキュリティ サービスのタスクの XNUMX つは攻撃を中断する前に中断することであるのは論理的です。この悲しい出来事。 しかし、何かを中断するには、まずそれについて調べなければなりません。 そして早ければ早いほど良いのです。
5. したがって、リスク管理を成功させる (つまり、標的型攻撃による被害を軽減する) には、TTD (検出時間 - 侵入の瞬間から攻撃が検出されるまでの時間) を最小限に抑えるツールを用意することが重要です。 業界や地域によって異なりますが、この期間は米国では平均 99 日、EMEA 地域では 106 日、APAC 地域では 172 日です (M-Trends 2017、A View From the Front Lines、Mandiant)。
6. 市場は何を提供しますか?
   • 「サンドボックス」。 もう XNUMX つの予防管理ですが、これは理想とは程遠いものです。 サンドボックスやホワイトリスト ソリューションを検出してバイパスするための効果的な手法は数多くあります。 ここでは「ダークサイド」の連中がまだ一歩先を行っている。
   • UEBA (動作をプロファイリングし、逸脱を特定するシステム) - 理論的には、非常に効果的です。 しかし、私の考えでは、これは遠い将来のことです。 実際には、これは依然として非常に高価で信頼性が低く、動作分析用のデータを生成するすべてのツールがすでに備わっている、非常に成熟した安定した IT および情報セキュリティ インフラストラクチャが必要です。
   • SIEM は調査には優れたツールですが、相関ルールは署名と同じであるため、新しくて独創的なものをタイムリーに確認して表示することはできません。

7. その結果、次のようなツールが必要になります。
   • すでに境界が侵害されている状況でも問題なく動作し、
   • 使用されたツールや脆弱性に関係なく、成功した攻撃をほぼリアルタイムで検出します。
   • シグネチャ/ルール/スクリプト/ポリシー/プロファイルなどの静的なものには依存しませんでした。
   • 分析に大量のデータとそのソースは必要ありませんでしたが、
   • これにより、追加の調査が必要となる「世界最高の、特許取得済みであるため非公開の数学」の結果としての、ある種のリスクスコアリングとして攻撃を定義するのではなく、実質的に二値事象として攻撃を定義できるようになります。 「私たちは攻撃されています」または「いいえ、大丈夫です」、
   • 汎用性があり、効率的に拡張可能であり、使用される物理的および論理的なネットワーク トポロジに関係なく、あらゆる異種環境での実装が可能でした。

いわゆる欺瞞ソリューションが現在、そのようなツールの役割を争っています。 つまり、ハニーポットの古き良き概念に基づいたソリューションですが、実装レベルはまったく異なります。 この話題は今間違いなく盛り上がっています。

結果によると Gartner セキュリティ&リスク管理サミット 2017 欺瞞ソリューションは、使用が推奨される戦略とツールのトップ 3 に含まれています。

報告書によると TAG サイバーセキュリティ アニュアル 2017 欺瞞は、IDS 侵入検知システム (IDS Intrusion Detection Systems) ソリューションの開発の主な方向性の XNUMX つです。

後者のセクション全体 Cisco IT セキュリティの現状レポートは、SCADA 専用であり、この市場のリーダーの XNUMX つである TrapX Security (イスラエル) のデータに基づいており、そのソリューションは当社のテスト領域で XNUMX 年間稼働しています。

TrapX Deception Grid を使用すると、ライセンスの負荷やハードウェア リソースの要件を増やすことなく、大規模に分散された IDS のコストを設定し、一元的に運用することができます。 実際、TrapX は、既存の IT インフラストラクチャの要素から、企業全体の規模で攻撃を検出するための XNUMX つの大きなメカニズム、つまり一種の分散ネットワーク「アラーム」を作成できるようにするコンストラクターです。

ソリューションの構造

私たちの研究室では、IT セキュリティの分野におけるさまざまな新製品を常に研究し、テストしています。 現在、ここには TrapX Deception Grid コンポーネントを含む約 50 の異なる仮想サーバーがデプロイされています。

したがって、上から下に次のようになります。

1. TSOC (TrapX Security Operation Console) はシステムの頭脳です。 これは、ソリューションの構成、展開、および日常のすべての操作が実行される中央管理コンソールです。 これは Web サービスであるため、境界上、クラウド内、または MSSP プロバイダーなど、どこにでも展開できます。
2. TrapX アプライアンス (TSA) は、トランク ポートを使用して、監視対象のサブネットに接続する仮想サーバーです。 また、すべてのネットワーク センサーが実際にここに「存在」しています。

   私たちのラボには 1 つの TSA (mwsapp2) が展開されていますが、実際には多数の TSA が存在する可能性があります。 これは、セグメント間に LXNUMX 接続がない大規模ネットワーク (典型的な例は「持株会社と子会社」または「銀行の本店と支店」)、またはネットワークに分離されたセグメント (自動プロセス制御システムなど) がある場合に必要になる場合があります。 このような各ブランチ/セグメントでは、独自の TSA を展開して単一の TSOC に接続でき、そこですべての情報が集中処理されます。 このアーキテクチャにより、ネットワークを根本的に再構築したり、既存のセグメンテーションを中断したりすることなく、分散監視システムを構築できます。

   また、TAP/SPAN 経由で送信トラフィックのコピーを TSA に送信することもできます。 既知のボットネット、コマンド＆コントロール サーバー、または TOR セッションとの接続が検出された場合は、コンソールにも結果が表示されます。 Network Intelligence Sensor (NIS) がこれを担当します。 私たちの環境では、この機能はファイアウォールに実装されているため、ここでは使用しませんでした。

3. アプリケーション トラップ (フル OS) – Windows サーバーに基づく従来のハニーポット。 これらのサーバーの主な目的は、センサーの次の層に IT サービスを提供すること、または Windows 環境に展開されているビジネス アプリケーションに対する攻撃を検出することであるため、多くのサーバーは必要ありません。 私たちの研究室にはそのようなサーバーが 01 台設置されています (FOSXNUMX)

   

4. エミュレートされたトラップはソリューションの主要コンポーネントであり、単一の仮想マシンを使用して、攻撃者向けに非常に密な「地雷原」を作成し、企業ネットワークとそのすべての VLAN をセンサ​​ーで飽和させることができます。 攻撃者は、そのようなセンサーまたはファントム ホストを、私たちが攻撃者に見せることを決めた本物の Windows PC またはサーバー、Linux サーバー、またはその他のデバイスとして認識します。

   
   
   ビジネスの利益と好奇心のために、私たちはさまざまなバージョンの Windows PC とサーバー、Linux サーバー、Windows が組み込まれた ATM、SWIFT Web アクセス、ネットワーク プリンタ、Cisco などの「各生き物のペア」を導入しました。スイッチ、Axis IP カメラ、MacBook、PLC デバイス、さらにはスマート電球さえも。 ホストは全部で 13 人います。 一般に、ベンダーは、このようなセンサーを実際のホストの数の少なくとも 10% の量で導入することを推奨します。 上部のバーは使用可能なアドレス空間です。

   非常に重要な点は、このような各ホストは、リソースとライセンスを必要とする本格的な仮想マシンではないということです。 これは、おとり、エミュレーション、TSA 上の XNUMX つのプロセスであり、パラメータのセットと IP アドレスがあります。 したがって、たとえ XNUMX 人の TSA の助けを借りても、警報システムのセンサーとして機能する数百のそのようなファントム ホストでネットワークを飽和させることができます。 このテクノロジーにより、あらゆる大規模な分散型企業全体にハニーポットのコンセプトをコスト効率よく拡張できるようになります。

   攻撃者の観点から見ると、これらのホストには脆弱性があり、比較的簡単にターゲットにされるように見えるため、魅力的です。 攻撃者はこれらのホスト上のサービスを認識し、それらと対話し、標準のツールとプロトコル (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus など) を使用して攻撃することができます。 ただし、これらのホストを使用して攻撃を開発したり、独自のコードを実行したりすることは不可能です。

5. これら 100 つのテクノロジー (FullOS とエミュレートされたトラップ) を組み合わせることで、遅かれ早かれ攻撃者がシグナリング ネットワークの何らかの要素に遭遇するという高い統計的確率を達成できます。 しかし、この確率が XNUMX% に近いことを確認するにはどうすればよいでしょうか?

   いわゆる欺瞞トークンが戦闘に参加します。 彼らのおかげで、企業の既存のすべての PC とサーバーを分散 IDS に含めることができます。 トークンはユーザーの実際の PC に配置されます。 トークンはリソースを消費し、競合を引き起こす可能性があるエージェントではないことを理解することが重要です。 トークンは受動的な情報要素であり、攻撃側を罠に陥らせる一種の「パンくずリスト」です。 たとえば、マップされたネットワーク ドライブ、ブラウザ内の偽の Web 管理者へのブックマークと保存されたパスワード、保存された ssh/rdp/winscp セッション、ホスト ファイル内のコメントを含むトラップ、メモリに保存されたパスワード、存在しないユーザーの資格情報、オフィスなどです。ファイル、開くとシステムがトリガーされるなど。 したがって、実際には私たちにとって脅威ではなく、むしろその逆の攻撃ベクトルで飽和した歪んだ環境に攻撃者を置きます。 そして、その情報がどこまでが真実で、どこが虚偽であるかを判断する方法がありません。 したがって、攻撃を迅速に検出するだけでなく、攻撃の進行を大幅に遅らせることもできます。

ネットワークトラップの作成とトークンの設定の例。 フレンドリーなインターフェイスで、設定やスクリプトなどを手動で編集する必要はありません。

私たちの環境では、Windows Server 01R2012 を実行している FOS2 と Windows 7 を実行しているテスト PC にこのようなトークンを多数構成して配置しました。RDP はこれらのマシン上で実行されており、これらのマシンを定期的に DMZ に「ハング」させます。そこでは、多数のセンサーが配置されています。 (エミュレートされたトラップ) も表示されます。 したがって、いわば当然のことながら、事件が絶え間なく発生します。

そこで、今年の簡単な統計をいくつか示します。

56 – 記録されたインシデント、
2 – 攻撃元ホストが検出されました。

インタラクティブでクリック可能な攻撃マップ

同時に、このソリューションは、理解するのに長い時間がかかる、ある種のメガログやイベント フィードを生成しません。 代わりに、ソリューション自体がイベントをタイプ別に分類し、情報セキュリティ チームが主に最も危険なイベント、つまり攻撃者が制御セッションを開始しようとしたとき (インタラクション) や、バイナリ ペイロード (感染) がトラフィックに現れたときに集中できるようにします。

イベントに関するすべての情報は読みやすく、情報セキュリティ分野の基本的な知識を持つユーザーにとっても理解しやすい形式で表示されていると思います。

記録されたインシデントのほとんどは、ホストまたは単一の接続をスキャンしようとしたものです。

または、RDP のパスワードを総当たり攻撃しようとします。

しかし、特に攻撃者が RDP のパスワードを推測してローカル ネットワークにアクセスすることに「成功」​​した場合など、さらに興味深いケースもありました。

攻撃者は psexec を使用してコードを実行しようとします。

攻撃者は保存されたセッションを発見し、Linux サーバーの形で罠に陥りました。 接続直後、事前に準備された XNUMX つのコマンド セットを使用して、すべてのログ ファイルと対応するシステム変数を破壊しようとしました。

攻撃者は、SWIFT Web アクセスを模倣するハニーポット上で SQL インジェクションを実行しようとします。

このような「自然な」攻撃に加えて、私たちは独自のテストも多数実施しました。 最も明らかなことの XNUMX つは、ネットワーク上のネットワーク ワームの検出時間をテストすることです。 これを行うために、GuardiCore のツールと呼ばれるツールを使用しました。 感染猿。 これは Windows と Linux をハイジャックできるネットワーク ワームですが、「ペイロード」はありません。
私たちはローカル コマンド センターを展開し、マシンの 90 台でワームの最初のインスタンスを起動し、106 分半以内に TrapX コンソールで最初のアラートを受け取りました。 TTD は XNUMX 秒ですが、平均は XNUMX 日です...

他のクラスのソリューションと統合できる機能のおかげで、脅威を迅速に検出するだけでなく、脅威に自動的に対応できるようになります。

たとえば、NAC (ネットワーク アクセス コントロール) システムや CarbonBlack と統合すると、侵害された PC をネットワークから自動的に切断できます。

サンドボックスとの統合により、攻撃に関与したファイルを分析のために自動的に送信できます。

マカフィーの統合

このソリューションには、独自のイベント相関システムも組み込まれています。

しかし、その機能に満足できなかったため、HP ArcSight と統合しました。

内蔵の発券システムは、検出された脅威に全世界が対処するのに役立ちます。

このソリューションは、政府機関や大企業セグメントのニーズに合わせて「最初から」開発されたため、ロールベースのアクセス モデル、AD との統合、レポートとトリガー (イベント アラート) の開発されたシステム、オーケストレーションが自然に実装されています。大規模な保有構造または MSSP プロバイダー。

履歴書の代わりに

比喩的に言えば、私たちの背中を覆うそのような監視システムがある場合、境界線の妥協によってすべてが始まったばかりです。 最も重要なことは、情報セキュリティ インシデントに対処する実際の機会があり、その結果に対処することではないということです。

出所： habr.com