(Тақырып идеясы үшін Сергей Г. Брестерге рахмет )
Әріптестер, бұл мақаланың мақсаты - Deception технологияларына негізделген IDS шешімдерінің жаңа класының бір жылдық сынақ жұмысының тәжірибесімен бөлісу.
Материалды баяндаудың логикалық үйлесімділігін сақтау үшін мен оны үй-жайдан бастау қажет деп санаймын. Мәселен, мәселе:
- Қауіптердің жалпы санындағы үлесі аз болғанымен, мақсатты шабуылдар шабуылдың ең қауіпті түрі болып табылады.
- Периметрді қорғаудың кепілдік берілген тиімді құралы (немесе осындай құралдардың жиынтығы) әлі ойлап табылған жоқ.
- Әдетте, мақсатты шабуылдар бірнеше кезеңде жүзеге асырылады. Периметрді еңсеру бастапқы кезеңдердің бірі ғана, ол (сіз маған тас лақтыра аласыз) «жәбірленушіге» көп зиян келтірмейді, егер бұл, әрине, DEoS (қызметтің жойылуы) шабуылы (шифрлағыштар және т. .). Нағыз «ауыру» кейінірек, басып алынған активтер «тереңдік» шабуылын айналдыру және дамыту үшін пайдаланыла бастағанда басталады және біз мұны байқамадық.
- Біз шабуылдаушылар шабуылдың мақсаттарына (қолданбалы серверлер, ДҚБЖ, деректер қоймалары, репозиторийлер, маңызды инфрақұрылым элементтері) жеткенде, біз нақты шығындарға ұшырай бастайтындықтан, ақпараттық қауіпсіздік қызметінің міндеттерінің бірі шабуылдарды жою алдында тоқтату болып табылады. бұл қайғылы оқиға. Бірақ бір нәрсені үзу үшін алдымен ол туралы білу керек. Және неғұрлым ерте болса, соғұрлым жақсы.
- Тиісінше, тәуекелді сәтті басқару үшін (яғни мақсатты шабуылдардан болатын залалды азайту) ең аз TTD қамтамасыз ететін құралдардың болуы өте маңызды (анықтау уақыты - шабуыл сәтінен шабуыл анықталғанға дейінгі уақыт). Сала мен аймаққа байланысты бұл кезең АҚШ-та орташа 99 күн, EMEA аймағында 106 күн, APAC аймағында 172 күн (M-Trends 2017, A View From the Front Lines, Mandiant).
- Нарық не ұсынады?
- «Құм жәшіктері». Басқа профилактикалық бақылау, ол идеалдан алыс. Құм жәшіктерін немесе ақ тізім шешімдерін анықтау және айналып өтудің көптеген тиімді әдістері бар. «Қара жақтың» жігіттері мұнда әлі бір қадам алда.
- UEBA (мінез-құлықты профильдеу және ауытқуларды анықтау жүйелері) - теорияда өте тиімді болуы мүмкін. Бірақ, менің ойымша, бұл алыс болашақта. Іс жүзінде бұл әлі де өте қымбат, сенімсіз және өте жетілген және тұрақты АТ және ақпараттық қауіпсіздік инфрақұрылымын талап етеді, онда мінез-құлықты талдау үшін деректерді генерациялайтын барлық құралдар бар.
- SIEM зерттеуге арналған жақсы құрал, бірақ ол жаңа және түпнұсқаны дер кезінде көре және көрсете алмайды, өйткені корреляция ережелері қолтаңбалармен бірдей.
- Нәтижесінде мынандай құрал қажет:
- қазірдің өзінде бұзылған периметр жағдайында сәтті жұмыс істеді,
- қолданылатын құралдар мен осалдықтарға қарамастан, нақты уақытта сәтті шабуылдарды анықтады,
- қолтаңбаларға/ережелерге/скрипттерге/саясаттарға/профильдерге және басқа статикалық заттарға тәуелді емес,
- талдау үшін үлкен көлемдегі деректер мен олардың көздерін қажет етпеді,
- шабуылдарды қосымша зерттеуді қажет ететін «әлемдегі ең жақсы, патенттелген, сондықтан жабық математика» жұмысының нәтижесінде тәуекелді бағалаудың қандай да бір түрі ретінде емес, іс жүзінде екілік оқиға ретінде анықтауға мүмкіндік береді - «Иә, бізге шабуыл жасалуда» немесе «Жоқ, бәрі жақсы»,
- қолданылатын физикалық және логикалық желі топологиясына қарамастан, әмбебап, тиімді масштабталатын және кез келген гетерогенді ортада іске асыруға болатын еді.
Алдаудың шешімдері деп аталатындар қазір мұндай құралдың рөліне таласып жатыр. Яғни, бал құмыралары туралы ескі жақсы тұжырымдамаға негізделген шешімдер, бірақ жүзеге асырудың мүлде басқа деңгейімен. Бұл тақырып қазір көтеріліп жатқаны сөзсіз.
Нәтижелері бойынша Алдау шешімдері пайдалану ұсынылатын ТОП 3 стратегиялар мен құралдарға енгізілген.
Есепке сәйкес Алдау IDS Intrusion Detection Systems) шешімдерін әзірлеудің негізгі бағыттарының бірі болып табылады.
Соңғысының тұтас бір бөлімі , SCADA-ға арналған, осы нарықтағы көшбасшылардың бірі TrapX Security (Израиль) деректеріне негізделген, оның шешімі біздің сынақ аймағымызда бір жыл бойы жұмыс істейді.
TrapX Deception Grid лицензиялау жүктемесін және аппараттық ресурстарға қойылатын талаптарды арттырмай, жаппай таратылған IDS құнын орталықтандыруға және басқаруға мүмкіндік береді. Шын мәнінде, TrapX - бұл қолданыстағы АТ-инфрақұрылымының элементтерінен кәсіпорын ауқымындағы шабуылдарды анықтаудың бір үлкен механизмін, үлестірілген желі «дабыл» түрін жасауға мүмкіндік беретін конструктор.
Шешім құрылымы
Біздің зертханада біз IT қауіпсіздік саласындағы әртүрлі жаңа өнімдерді үнемі зерттеп, сынақтан өткіземіз. Қазіргі уақытта мұнда шамамен 50 түрлі виртуалды серверлер, соның ішінде TrapX Deception Grid құрамдастары орналастырылған.
Сонымен, жоғарыдан төменге қарай:
- TSOC (TrapX Security Operation Console) жүйенің миы болып табылады. Бұл конфигурациялау, шешімді орналастыру және барлық күнделікті операциялар жүзеге асырылатын орталық басқару консолі. Бұл веб-қызмет болғандықтан, оны кез келген жерде – периметрде, бұлтта немесе MSSP провайдерінде орналастыруға болады.
- TrapX Appliance (TSA) - біз бақылаумен қамтуды қалайтын ішкі желілерді магистральдық порт арқылы қосатын виртуалды сервер. Сондай-ақ, біздің барлық желілік сенсорлар осы жерде «өмір сүреді».
Біздің зертханада бір TSA орнатылған (mwsapp1), бірақ іс жүзінде олардың саны көп болуы мүмкін. Бұл сегменттер арасында L2 байланысы жоқ үлкен желілерде қажет болуы мүмкін («Холдинг және еншілес ұйымдар» немесе «Банктің бас кеңсесі және филиалдары» типтік мысал) немесе желіде оқшауланған сегменттер болса, мысалы, процестерді басқарудың автоматтандырылған жүйелері. Әрбір осындай филиалда/сегментте сіз өзіңіздің жеке TSA-ны орналастыра аласыз және оны барлық ақпарат орталықтандырылған өңделетін жалғыз TSOC-қа қоса аласыз. Бұл архитектура желіні түбегейлі қайта құрылымдауды немесе бар сегменттеуді бұзуды қажет етпей-ақ бөлінген бақылау жүйелерін құруға мүмкіндік береді.
Сондай-ақ TSA/SPAN арқылы шығыс трафиктің көшірмесін жібере аламыз. Егер біз белгілі ботнеттермен, командалық және басқару серверлерімен немесе TOR сеанстарымен қосылымдарды анықтасақ, нәтижені консольде де аламыз. Бұл үшін Network Intelligence Sensor (NIS) жауапты. Біздің ортада бұл функция брандмауэрде жүзеге асырылады, сондықтан біз оны мұнда пайдаланбадық.
- Application Traps (Full OS) – Windows серверлеріне негізделген дәстүрлі бал құмыралары. Сізге олардың көпшілігі қажет емес, өйткені бұл серверлердің негізгі мақсаты келесі сенсорлар деңгейіне АТ қызметтерін ұсыну немесе Windows ортасында орналастырылуы мүмкін іскери қолданбаларға шабуылдарды анықтау болып табылады. Біздің зертханада осындай бір сервер орнатылған (FOS01)
- Эмуляцияланған тұзақтар шешімнің негізгі құрамдас бөлігі болып табылады, ол бізге бір виртуалды машинаны пайдаланып, шабуылдаушылар үшін өте тығыз «мина алаңын» жасауға және кәсіпорын желісін, оның барлық вландарын біздің сенсорлармен қанықтыруға мүмкіндік береді. Шабуылдаушы мұндай сенсорды немесе фантомдық хостты нақты Windows компьютері немесе сервері, Linux сервері немесе біз оған көрсетуге шешім қабылдаған басқа құрылғы ретінде көреді.
Бизнестің игілігі үшін және қызығушылық үшін біз «әр жаратылыстың жұбын» қолдандық - Windows компьютерлері мен әртүрлі нұсқалардың серверлері, Linux серверлері, Windows енгізілген банкоматы, SWIFT Web Access, желілік принтер, Cisco коммутатор, Axis IP камерасы, MacBook, PLC құрылғысы және тіпті смарт шам шамы. Барлығы 13 хост бар. Жалпы алғанда, сатушы мұндай сенсорларды нақты хосттар санының кемінде 10% мөлшерінде орналастыруды ұсынады. Жоғарғы жолақ қол жетімді мекенжай кеңістігі болып табылады.Өте маңызды мәселе, әрбір мұндай хост ресурстар мен лицензияларды талап ететін толыққанды виртуалды машина емес. Бұл параметрлер жиынтығы және IP мекенжайы бар TSA-дағы алдау, эмуляция, бір процесс. Сондықтан, тіпті бір TSA көмегімен біз желіні дабыл жүйесінде сенсор ретінде жұмыс істейтін жүздеген осындай фантомдық хосттармен қанықтыра аламыз. Дәл осы технология бал құмырасы тұжырымдамасын кез келген ірі таратылған кәсіпорында үнемді масштабтауға мүмкіндік береді.
Шабуылдаушының көзқарасы бойынша бұл хосттар тартымды, өйткені оларда осалдықтар бар және салыстырмалы түрде оңай нысана болып көрінеді. Шабуыл жасаушы осы хосттардағы қызметтерді көреді және олармен өзара әрекеттесіп, стандартты құралдар мен протоколдар (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, т.б.) арқылы оларға шабуыл жасай алады. Бірақ бұл хосттарды шабуыл жасау немесе жеке кодты іске қосу үшін пайдалану мүмкін емес.
- Осы екі технологияның комбинациясы (FullOS және эмуляцияланған тұзақтар) шабуылдаушы ерте ме, кеш пе біздің сигналдық желінің қандай да бір элементімен кездесуінің жоғары статистикалық ықтималдығына қол жеткізуге мүмкіндік береді. Бірақ бұл ықтималдықтың 100% жақын екеніне қалай көз жеткізуге болады?
Алдаудың белгілері деп аталатындар шайқасқа кіреді. Олардың арқасында біз таратылған IDS-ке кәсіпорынның барлық қолданыстағы дербес компьютерлері мен серверлерін қоса аламыз. Токендер пайдаланушылардың нақты компьютерлеріне орналастырылады. Токендер ресурстарды тұтынатын және қақтығыстар тудыруы мүмкін агенттер емес екенін түсіну маңызды. Токендер - пассивті ақпараттық элементтер, шабуылдаушы тарап үшін оны тұзаққа апаратын «нан үгіндісі» түрі. Мысалы, салыстырылған желілік дискілер, браузердегі жалған веб-әкімшілерге арналған бетбелгілер және олар үшін сақталған құпия сөздер, сақталған ssh/rdp/winscp сеанстары, хост файлдарындағы түсініктемелері бар тұзақтар, жадта сақталған құпия сөздер, жоқ пайдаланушылардың тіркелгі деректері, кеңсе файлдар, жүйені іске қосатын ашу және т.б. Осылайша, біз шабуылдаушыны бізге шын мәнінде қауіп төндірмейтін, керісінше, шабуыл векторларымен қаныққан бұрмаланған ортаға орналастырамыз. Ал ол ақпараттың қай жерде шын, қай жерде жалған екенін анықтауға мүмкіндігі жоқ. Осылайша, біз шабуылды жылдам анықтауды қамтамасыз етіп қана қоймай, оның барысын айтарлықтай бәсеңдетеміз.
Желі тұзағын құру және таңбалауыштарды орнату мысалы. Ыңғайлы интерфейс және конфигурацияларды, сценарийлерді және т.б. қолмен өңдеу жоқ.
Біздің ортада біз Windows Server 01R2012 жүйесімен жұмыс істейтін FOS2 және Windows 7 жүйесімен жұмыс істейтін сынақ компьютерінде осындай таңбалауыштардың бірқатарын конфигурацияладық және орналастырдық. Бұл машиналарда RDP жұмыс істейді және біз оларды бірқатар сенсорларымыз бар DMZ-ге мезгіл-мезгіл «іліп қоямыз». (эмуляцияланған тұзақтар) да көрсетіледі. Осылайша, біз табиғи түрде айтқанда, оқиғалардың үнемі ағынын аламыз.
Сонымен, міне, осы жылдың бірнеше жылдам статистикасы:
56 208 – оқиғалар тіркелді,
2 – шабуыл көзі хосттары анықталды.
Интерактивті, басуға болатын шабуыл картасы
Сонымен қатар, шешім түсіну үшін көп уақытты қажет ететін мега-лог немесе оқиғалар арнасының қандай да бір түрін жасамайды. Оның орнына, шешімнің өзі оқиғаларды түрлері бойынша жіктейді және ақпараттық қауіпсіздік тобына ең алдымен ең қауіптілеріне назар аударуға мүмкіндік береді - шабуылдаушы басқару сеанстарын (өзара әрекеттесу) көтеруге тырысқанда немесе біздің трафикте екілік пайдалы жүктемелер (инфекция) пайда болғанда.
Оқиғалар туралы барлық ақпарат оқуға болады және менің ойымша, ақпараттық қауіпсіздік саласында базалық білімі бар пайдаланушы үшін де түсінікті түрде ұсынылады.
Жазылған оқиғалардың көпшілігі біздің хосттарды немесе жалғыз қосылымдарды сканерлеу әрекеттері болып табылады.
Немесе RDP үшін құпия сөздерді дөрекі күшпен қолдану әрекеті
Бірақ одан да қызықты жағдайлар болды, әсіресе шабуылдаушылар RDP паролін тауып, жергілікті желіге қол жеткізуге «басқарған».
Шабуылдаушы psexec көмегімен кодты орындауға әрекет жасайды.
Шабуылдаушы сақталған сеансты тапты, бұл оны Linux сервері түріндегі тұзаққа түсірді. Қосылғаннан кейін бірден алдын ала дайындалған пәрмендер жиынтығымен ол барлық журнал файлдарын және сәйкес жүйелік айнымалы мәндерді жоюға әрекет жасады.
Шабуылдаушы SWIFT Web Access бағдарламасына еліктейтін бал құмырасында SQL инъекциясын орындауға әрекеттенеді.
Осындай «табиғи» шабуылдардан басқа, біз өзіміздің бірқатар сынақтарымызды да өткіздік. Ең маңыздыларының бірі - желідегі желі құртын анықтау уақытын тексеру. Мұны істеу үшін біз GuardiCore деп аталатын құралды қолдандық . Бұл Windows және Linux жүйелерін ұрлай алатын желілік құрт, бірақ ешқандай «пайдалы жүктеме» жоқ.
Біз жергілікті басқару орталығын орналастырдық, құрылғының бірінде құрттың бірінші данасын іске қостық және TrapX консоліндегі алғашқы ескертуді бір жарым минуттан аз уақыт ішінде алдық. Орташа алғанда 90 күнге қарсы TTD 106 секунд...
Шешімдердің басқа сыныптарымен біріктіру мүмкіндігінің арқасында біз қауіптерді жылдам анықтаудан оларға автоматты түрде жауап беруге көшеміз.
Мысалы, NAC (Network Access Control) жүйелерімен немесе CarbonBlack-пен біріктіру бұзылған компьютерлерді желіден автоматты түрде ажыратуға мүмкіндік береді.
Құм жәшіктермен біріктіру шабуылға қатысқан файлдарды талдауға автоматты түрде жіберуге мүмкіндік береді.
McAfee интеграциясы
Шешімде сонымен бірге оқиғаның корреляциясының өзінің кірістірілген жүйесі бар.
Бірақ оның мүмкіндіктері бізді қанағаттандырмады, сондықтан біз оны HP ArcSight бағдарламасымен біріктірдік.
Кірістірілген билет жүйесі бүкіл әлемге анықталған қауіптермен күресуге көмектеседі.
Шешім мемлекеттік органдардың және үлкен корпоративтік сегменттің қажеттіліктері үшін «басынан бастап» әзірленгендіктен, ол, әрине, рөлге негізделген қол жеткізу моделін, AD-мен интеграцияны, есептер мен триггерлердің дамыған жүйесін (оқиғалар туралы ескертулер), басқаруды жүзеге асырады. ірі холдинг құрылымдары немесе MSSP провайдерлері.
Түйіндеме орнына
Бейнелеп айтқанда, арқамызды жауып тұратын осындай бақылау жүйесі болса, периметрдің ымырасымен бәрі енді ғана басталып жатыр. Ең бастысы, оның салдарымен күреспей, ақпараттық қауіпсіздік инциденттерімен күресуге нақты мүмкіндік бар.
Ақпарат көзі: www.habr.com