Lubang minangka alat safety - 2, utawa carane nyekel APT "kanthi umpan urip"

(Thanks kanggo Sergey G. Brester kanggo idea judhul sebres)

Kolega, tujuan artikel iki kanggo nuduhake pengalaman operasi tes suwene setahun saka solusi IDS kelas anyar adhedhasar teknologi Penipuan.

Kanggo njaga koherensi logis saka presentasi materi, aku nganggep perlu kanggo miwiti karo latar. Dadi, masalah:

1. Serangan sing ditargetake minangka jinis serangan sing paling mbebayani, sanajan kasunyatane jumlah ancaman kasebut sithik.
2. Ora ana cara efektif sing dijamin kanggo nglindhungi perimeter (utawa sakumpulan sarana kasebut) sing durung ditemokake.
3. Minangka aturan, serangan sing ditargetake ditindakake ing sawetara tahapan. Ngatasi perimeter mung minangka salah sawijining tahap awal, sing (sampeyan bisa mbuwang watu ing aku) ora nyebabake karusakan akeh kanggo "korban", kajaba, mesthine, serangan DEoS (Destruction of service) (encryptors, etc. .). Nyata "nyeri" wiwit mengko, nalika aset dijupuk wiwit digunakake kanggo pivoting lan ngembangaken serangan "ambane", lan kita ora sok dong mirsani iki.
4. Amarga kita wiwit ngalami kerugian nyata nalika panyerang pungkasane tekan target serangan (server aplikasi, DBMS, gudang data, repositori, unsur infrastruktur kritis), logis yen salah sawijining tugas layanan keamanan informasi yaiku ngganggu serangan sadurunge. acara sedih iki. Nanging kanggo ngganggu soko, sampeyan kudu ngerti babagan. Lan luwih cepet, luwih apik.
5. Patut, kanggo manajemen resiko sing sukses (yaiku, nyuda karusakan saka serangan sing ditargetake), penting kanggo duwe alat sing bakal nyedhiyakake TTD minimal (wektu kanggo ndeteksi - wektu saka wayahe intrusi nganti serangan dideteksi). Gumantung ing industri lan wilayah, wektu iki rata-rata 99 dina ing AS, 106 dina ing wilayah EMEA, 172 dina ing wilayah APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
6. Apa sing ditawakake pasar?
   • "Kothak wedhi". Kontrol pencegahan liyane, sing adoh saka becik. Ana akeh teknik efektif kanggo ndeteksi lan ngliwati kothak wedhi utawa solusi whitelisting. Wong lanang saka "sisih peteng" isih selangkah luwih maju ing kene.
   • UEBA (sistem kanggo profiling prilaku lan ngenali panyimpangan) - ing teori, bisa banget efektif. Nanging, ing mratelakake panemume, iki arang-arang ing mangsa adoh. Ing praktik, iki isih larang banget, ora bisa dipercaya lan mbutuhake infrastruktur IT lan keamanan informasi sing diwasa lan stabil, sing wis duwe kabeh alat sing bakal ngasilake data kanggo analisis prilaku.
   • SIEM minangka alat sing apik kanggo investigasi, nanging ora bisa ndeleng lan nuduhake sing anyar lan asli ing wektu sing tepat, amarga aturan korélasi padha karo teken.

7. Akibaté, ana perlu kanggo alat sing bakal:
   • kasil makarya ing kahanan perimeter wis kompromi,
   • ndeteksi serangan sing sukses ing wektu nyata, preduli saka alat lan kerentanan sing digunakake,
   • ora gumantung ing tandha tangan / aturan / skrip / kabijakan / profil lan barang statis liyane,
   • ora mbutuhake akeh data lan sumber kanggo analisis,
   • bakal ngidini serangan kanggo ditetepake ora minangka sawetara jenis resiko-skor minangka asil saka karya "paling apik ing donya, paten lan mulane matématika ditutup", kang mbutuhake penyelidikan tambahan, nanging prakteke minangka acara binar - "Ya, kita diserang" utawa "Ora, kabeh ora apa-apa",
   • iku universal, irit keukur lan layak kanggo ngleksanakake ing sembarang lingkungan heterogen, preduli saka topologi jaringan fisik lan logis digunakake.

Solusi penipuan sing diarani saiki lagi saingan kanggo peran alat kasebut. Yaiku, solusi adhedhasar konsep honeypots lawas sing apik, nanging kanthi tingkat implementasine sing beda. Topik iki mesthi saya mundhak saiki.

Miturut asil KTT Manajemen Keamanan & Risiko Gartner 2017 Solusi ngapusi kalebu ing TOP 3 strategi lan alat sing dianjurake kanggo digunakake.

Miturut laporan TAG Cybersecurity Taunan 2017 Penipuan minangka salah sawijining arah utama pangembangan solusi IDS Intrusion Detection Systems).

A kabèh bagean saka terakhir Cisco State Report Keamanan IT, darmabakti kanggo SCADA, adhedhasar data saka salah sawijining pimpinan ing pasar iki, TrapX Security (Israel), solusi sing wis digunakake ing wilayah uji kita sajrone setaun.

TrapX Deception Grid ngijini sampeyan kanggo biaya lan operate massively mbagekke IDS tengah, tanpa nambah mbukak lisènsi lan syarat kanggo sumber daya hardware. Nyatane, TrapX minangka konstruktor sing ngidini sampeyan nggawe saka unsur infrastruktur IT sing ana siji mekanisme gedhe kanggo ndeteksi serangan ing skala perusahaan, jinis "weker" jaringan sing disebarake.

Struktur Solusi

Ing laboratorium kita terus sinau lan nguji macem-macem produk anyar ing bidang keamanan IT. Saiki, kira-kira 50 server virtual sing beda-beda disebar ing kene, kalebu komponen TrapX Deception Grid.

Dadi, saka ndhuwur nganti ngisor:

1. TSOC (TrapX Security Operation Console) minangka otak sistem. Iki minangka konsol manajemen pusat ing ngendi konfigurasi, panyebaran solusi lan kabeh operasi saben dina ditindakake. Amarga iki minangka layanan web, bisa disebar ing endi wae - ing keliling, ing awan utawa ing panyedhiya MSSP.
2. TrapX Appliance (TSA) minangka server virtual sing kita sambungake, nggunakake port trunk, subnet sing pengin ditutupi karo pemantauan. Uga, kabeh sensor jaringan kita bener "urip" ing kene.

   Lab kita duwe siji TSA sing disebarake (mwsapp1), nanging nyatane bisa uga akeh. Iki bisa uga perlu ing jaringan gedhe sing ora ana konektivitas L2 ing antarane segmen (conto khas yaiku "Holding lan anak perusahaan" utawa "kantor pusat lan cabang Bank") utawa yen jaringan duwe segmen terisolasi, contone, sistem kontrol proses otomatis. Ing saben cabang / segmen kasebut, sampeyan bisa masang TSA dhewe lan nyambungake menyang TSOC siji, ing ngendi kabeh informasi bakal diproses kanthi pusat. Arsitèktur iki ngidini sampeyan mbangun sistem ngawasi sing disebar tanpa perlu nyusun ulang jaringan kanthi radikal utawa ngganggu segmentasi sing wis ana.

   Uga, kita bisa ngirim salinan lalu lintas metu menyang TSA liwat TAP/SPAN. Yen kita ndeteksi sambungan karo botnet sing dikenal, server printah lan kontrol, utawa sesi TOR, kita uga bakal nampa asil ing console. Network Intelligence Sensor (NIS) tanggung jawab kanggo iki. Ing lingkungan kita, fungsi iki diimplementasikake ing firewall, mula kita ora nggunakake ing kene.

3. Traps Aplikasi (Full OS) - honeypots tradisional adhedhasar server Windows. Sampeyan ora perlu akeh, amarga tujuan utama server kasebut yaiku nyedhiyakake layanan IT menyang lapisan sensor sabanjure utawa ndeteksi serangan ing aplikasi bisnis sing bisa digunakake ing lingkungan Windows. Kita duwe siji server kasebut diinstal ing laboratorium kita (FOS01)

   

4. Jebakan sing ditiru minangka komponen utama solusi kasebut, sing ngidini kita, nggunakake siji mesin virtual, nggawe "lapangan ranjau" sing padhet banget kanggo para panyerang lan jenuh jaringan perusahaan, kabeh vlan, kanthi sensor kita. Penyerang ndeleng sensor kasebut, utawa host hantu, minangka PC utawa server Windows nyata, server Linux utawa piranti liyane sing arep dituduhake.

   
   
   Kanggo bisnis sing apik lan kanggo penasaran, kita nyebarake "sepasang saben makhluk" - PC Windows lan server macem-macem versi, server Linux, ATM karo Windows sing dipasang, Akses Web SWIFT, printer jaringan, Cisco ngalih, kamera Axis IP, MacBook, PLC -piranti lan malah lampu bohlam pinter. Ana 13 host ing total. Umumé, vendor nyaranake masang sensor kasebut kanthi jumlah paling ora 10% saka jumlah host nyata. Bar ndhuwur iku papan alamat sing kasedhiya.

   Titik penting banget yaiku saben host kasebut dudu mesin virtual lengkap sing mbutuhake sumber daya lan lisensi. Iki minangka decoy, emulasi, siji proses ing TSA, sing duwe set paramèter lan alamat IP. Mulane, kanthi bantuan siji TSA, kita bisa saturate jaringan kanthi atusan host phantom kasebut, sing bakal digunakake minangka sensor ing sistem weker. Iki teknologi sing ndadekake iku bisa kanggo biaya-efektif ukuran konsep honeypot ing sembarang perusahaan gedhe mbagekke.

   Saka sudut pandang penyerang, host iki atraktif amarga ngemot kerentanan lan katon minangka target sing gampang. Penyerang ndeleng layanan ing host kasebut lan bisa sesambungan karo dheweke lan nyerang kanthi nggunakake alat lan protokol standar (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, lsp.). Nanging ora bisa nggunakake host kasebut kanggo ngembangake serangan utawa mbukak kode sampeyan dhewe.

5. Kombinasi saka rong teknologi kasebut (FullOS lan jebakan sing ditiru) ngidini kita entuk kemungkinan statistik sing dhuwur yen panyerang bakal cepet-cepet nemoni sawetara unsur jaringan sinyal kita. Nanging kepiye carane bisa mesthekake yen kemungkinan iki cedhak 100%?

   Sing diarani Token Penipuan mlebu perang. Thanks kanggo wong-wong mau, kita bisa nyakup kabeh PC lan server perusahaan sing ana ing IDS sing disebarake. Token diselehake ing PC nyata pangguna. Penting kanggo mangerteni yen token dudu agen sing nggunakake sumber daya lan bisa nyebabake konflik. Token minangka unsur informasi pasif, jenis "breadcrumbs" kanggo sisih nyerang sing ndadékaké menyang jebakan. Contone, drive jaringan sing dipetakan, tetenger menyang admin web palsu ing browser lan disimpen sandhi kanggo wong-wong mau, disimpen sesi ssh/rdp/winscp, jebakan kita karo komentar ing file host, sandhi sing disimpen ing memori, kredensial pangguna sing ora ana, kantor file, mbukak sing bakal micu sistem, lan akeh liyane. Mangkono, kita nyeleh panyerang ing lingkungan kleru, kebak vektor serangan sing ora bener nuduhke ancaman kanggo kita, nanging malah ngelawan. Lan dheweke ora duwe cara kanggo nemtokake manawa informasi kasebut bener lan endi sing salah. Mangkono, kita ora mung mesthekake deteksi cepet saka serangan, nanging uga Ngartekno alon kemajuan sawijining.

Conto nggawe jebakan jaringan lan nyetel token. Antarmuka sing ramah lan ora ana panyuntingan manual, skrip, lsp.

Ing lingkungan kita, kita ngatur lan nyelehake sawetara token kasebut ing FOS01 sing nganggo Windows Server 2012R2 lan PC test sing mlaku Windows 7. RDP mlaku ing mesin kasebut lan kita sacara periodik "nyumerepi" ing DMZ, ing ngendi sawetara sensor kita. (traps emulated) uga ditampilake. Dadi, kita entuk kedadeyan terus-terusan, kanthi alami.

Dadi, ing ngisor iki sawetara statistik cepet kanggo taun:

56 - kedadeyan sing direkam,
2 - host sumber serangan dideteksi.

Interaktif, peta serangan sing bisa diklik

Ing wektu sing padha, solusi kasebut ora ngasilake sawetara jinis mega-log utawa feed acara, sing butuh wektu suwe kanggo ngerti. Nanging, solusi kasebut dhewe nggolongake acara miturut jinise lan ngidini tim keamanan informasi fokus utamane ing sing paling mbebayani - nalika panyerang nyoba ngunggahake sesi kontrol (interaksi) utawa nalika muatan binar (infeksi) katon ing lalu lintas kita.

Kabeh informasi babagan acara bisa diwaca lan diwenehi, miturut pendapatku, ing wangun sing gampang dingerteni sanajan kanggo pangguna sing duwe kawruh dhasar ing bidang keamanan informasi.

Umume kedadeyan sing direkam minangka upaya kanggo mindai host utawa sambungan siji.

Utawa nyoba kanggo brute force sandhi kanggo RDP

Nanging ana uga kasus sing luwih menarik, utamane nalika panyerang "bisa" ngira sandhi kanggo RDP lan entuk akses menyang jaringan lokal.

Penyerang nyoba nglakokake kode nggunakake psexec.

Penyerang nemokake sesi sing disimpen, sing ndadekake dheweke dadi jebakan ing wangun server Linux. Sanalika sawise nyambungake, kanthi siji set printah sing wis disiapake, dheweke nyoba ngrusak kabeh file log lan variabel sistem sing cocog.

Penyerang nyoba nindakake injeksi SQL ing honeypot sing niru Akses Web SWIFT.

Saliyane serangan "alami", kita uga nindakake sawetara tes dhewe. Salah siji sing paling mbukak yaiku nguji wektu deteksi cacing jaringan ing jaringan. Kanggo nindakake iki, kita nggunakake alat saka GuardiCore sing diarani Kethek Kethek. Iki minangka cacing jaringan sing bisa mbajak Windows lan Linux, nanging tanpa "muatan".
We disebaraké pusat printah lokal, dibukak Kayata pisanan saka cacing ing salah siji mesin, lan nampa tandha pisanan ing console TrapX kurang saka menit lan setengah. TTD rata-rata 90 detik lawan 106 dina...

Thanks kanggo kemampuan kanggo nggabungake karo kelas solusi liyane, kita bisa pindhah saka mung cepet ndeteksi ancaman kanggo nanggapi kanthi otomatis.

Contone, integrasi karo sistem NAC (Network Access Control) utawa karo CarbonBlack bakal ngidini sampeyan kanthi otomatis medhot PC sing kompromi saka jaringan kasebut.

Integrasi karo kothak wedhi ngidini file sing melu serangan bisa dikirim kanthi otomatis kanggo dianalisis.

Integrasi McAfee

Solusi kasebut uga duwe sistem korélasi acara sing dibangun.

Nanging kita ora puas karo kemampuane, mula kita nggabungake karo HP ArcSight.

Sistem tiket sing dibangun mbantu jagad iki ngatasi ancaman sing dideteksi.

Wiwit solusi kasebut dikembangake "wiwit wiwitan" kanggo kabutuhan instansi pemerintah lan segmen perusahaan gedhe, mesthine ngetrapake model akses adhedhasar peran, integrasi karo AD, sistem laporan lan pemicu sing dikembangake (tandha acara), orkestrasi kanggo struktur nyekeli gedhe utawa panyedhiya MSSP.

Tinimbang resume

Yen ana sistem ngawasi, sing, kanthi kiasan, nutupi punggung kita, banjur kanthi kompromi perimeter, kabeh mung diwiwiti. Ingkang paling penting yaiku ana kesempatan nyata kanggo ngatasi insiden keamanan informasi, lan ora kanggo ngatasi akibate.

Source: www.habr.com