(spas ji Sergey G. Brester re ji bo ramana sernavê )
Hevalno, mebesta vê gotarê parvekirina ezmûna ceribandinek salek dirêj a çînek nû ya çareseriyên IDS-ê yên li ser bingeha teknolojiyên Xapandinê ye.
Ji bo ku hevrêziya mantiqî ya pêşkêşkirina materyalê bidomîne, ez hewce dibînim ku ez bi cîhan dest pê bikim. Ji ber vê yekê, pirsgirêk:
- Êrîşên bi armanca êrîşan cureya herî xeternak a êrîşan e, tevî ku para wan di hejmara giştî ya gefan de hindik e.
- Hê jî rêgezek bi bandor a garantîkirî ya ji bo parastina perimeterê (an komek rêgezên weha) nehatiye îcad kirin.
- Wek qaîde, êrîşên armanckirî di çend qonaxan de pêk tên. Derbaskirina derdor tenê yek ji qonaxên destpêkê ye, ku (hûn dikarin keviran bavêjin min) zêde zirarê nade "mexdûrê", heya ku, bê guman, ew êrîşek DEoS (Xerabkirina karûbarê) be (şîfrevan, hwd. .). "Êşa" rastîn paşê dest pê dike, dema ku malzemeyên ku hatine girtin dest bi karanîna ji bo vegirtin û pêşvebirina êrişek "kûr" dikin, û me guh neda vê.
- Ji ber ku dema ku êrîşkar di dawiyê de digihîjin armancên êrîşê (pêşkêşkerên serîlêdanê, DBMS, depoyên daneyan, depo, hêmanên binesaziya krîtîk) em dest bi zirarên rastîn dikin, mentiqî ye ku yek ji peywirên karûbarê ewlehiya agahdariyê ew e ku pêşî li êrîşan bigire. ev bûyera xemgîn. Lê ji bo ku hûn tiştek asteng bikin, divê hûn pêşî li ser wê fêr bibin. Û zûtirîn, çêtir e.
- Li gorî vê yekê, ji bo rêveberiya xeterê ya serketî (ango, kêmkirina zirarê ji êrişên armanckirî), girîng e ku amûrên ku dê kêmtirîn TTD peyda bikin (dema kifşkirinê - dema ji dema destwerdanê heya dema ku êriş tê dîtin). Li gorî pîşesazî û herêmê ve girêdayî, ev heyam li Dewletên Yekbûyî 99 roj, li herêma EMEA 106 roj, li herêma APAC 172 roj (M-Trends 2017, Nêrînek Ji Xetên Pêşîn, Mandiant) navînî ye.
- Sûkê çi pêşkêşî dike?
- "Sandbox". Kontrolek din a pêşîlêgirtinê, ku ji îdealê dûr e. Gelek teknîkên bi bandor hene ji bo tespîtkirin û derbaskirina sandboxes an çareseriyên navnîşa spî. Xortên ji "aliyê tarî" hê jî li vir gavekê li pêş in.
- UEBA (pergalên ji bo profîla behr û tespîtkirina devjêran) - di teoriyê de, dikare pir bi bandor be. Lê, bi dîtina min, ev di demek dûr de ye. Di pratîkê de, ev hîn jî pir biha ye, ne pêbawer e û pêdivî bi binesaziyek IT û ewlehiya agahdariyê ya pir gihîştî û stabîl heye, ku jixwe hemî amûrên ku dê daneyan ji bo analîza behre çêbike hene.
- SIEM ji bo lêkolînan amûrek baş e, lê ew nekare tiştek nû û orîjînal di wextê xwe de bibîne û nîşan bide, ji ber ku qaîdeyên pêwendiyê wekî îmzeyan in.
- Wekî encamek, pêdivî ye ku amûrek ku dê:
- bi serfirazî di şert û mercên perimeterek jixwe lihevkirî de xebitî,
- bêyî ku amûr û lawaziyên hatine bikar anîn, di demek nêz de êrişên serketî tespît kirin,
- bi îmzeyan / qaîdeyan / nivîsan / polîtîka / profîl û tiştên din ên statîk ve girêdayî nebû,
- ji bo analîzê hewcedarî mîqdarên mezin ên daneyan û çavkaniyên wan nebû,
- dê bihêle ku êrîş ne wekî celebek xeternak were pênase kirin ku di encama xebata "ya herî baş a cîhanê de, matematîkî ya patented û ji ber vê yekê girtî" ye, ku lêkolînek zêde hewce dike, lê bi pratîkî wekî bûyerek binary - "Erê, êrîşî me dikin" an jî "Na, her tişt baş e",
- gerdûnî bû, bi karîgerî berbelav bû û pêkan bû ku di her hawîrdorek heterojen de were bicîh kirin, bêyî ku topolojiya torê ya laşî û mentiqî ya hatî bikar anîn.
Çareseriyên bi navê xapandinê niha ji bo rola amûrek wiha têdikoşin. Ango, çareseriyên li ser bingeha konsepta kevn a baş a honeypots, lê bi astek bi tevahî cîhêreng a bicîhkirinê. Bê guman ev mijar niha zêde dibe.
Li gorî encamên Çareseriyên xapandinê di nav stratejiyên TOP 3 û amûrên ku têne pêşniyar kirin de têne bikar anîn hene.
Li gorî raporê Xapandin yek ji rêgezên sereke yên pêşkeftina çareseriyên Pergalên Teşhîskirina Desthilatdariya IDS ye.
Beşek tevahî ya paşîn , ku ji bo SCADA ve hatî veqetandin, li ser bingeha daneyên yek ji pêşengên vê sûkê, TrapX Security (Îsraîl) ye, çareseriya ku salek li qada ceribandina me dixebite.
TrapX Deception Grid dihêle hûn lêçûn û xebitandina IDS-a bi girseyî ya navendê, bêyî zêdekirina barkirina lîsansê û hewcedariyên çavkaniyên hardware. Di rastiyê de, TrapX çêkerek e ku dihêle hûn ji hêmanên binesaziya IT-ya heyî mekanîzmayek mezin ji bo tespîtkirina êrişan li ser astek pargîdaniyek berfireh, celebek "alarm" a torê ya belavkirî biafirînin.
Structure Çareseriyê
Di laboratûara xwe de em bi berdewamî di warê ewlehiya IT de hilberên nû yên cihêreng dixwînin û ceribandin. Heya nuha, nêzîkê 50 serverên cihêreng ên virtual li vir têne bicîh kirin, tevî pêkhateyên TrapX Deception Grid.
Ji ber vê yekê, ji serî heta binî:
- TSOC (Konsola Operasyona Ewlekariya TrapX) mêjiyê pergalê ye. Ev konsolê rêveberiya navendî ye ku bi navgîniya veavakirinê, bicîhkirina çareseriyê û hemî karûbarên rojane têne kirin. Ji ber ku ev karûbarek malperê ye, ew dikare li her deverê were bicîh kirin - li ser perimeter, ewr an li pêşkêşkerek MSSP.
- TrapX Appliance (TSA) serverek virtual e ku em tê de, bi karanîna porta trunk, wan jêrtorên ku em dixwazin bi çavdêriyê veşêrin ve girêdidin. Di heman demê de, hemî senzorên torê yên me bi rastî li vir "dijîn".
Di laboratûara me de yek TSA heye (mwsapp1), lê di rastiyê de dibe ku gelek hebin. Dibe ku ev di torên mezin de ku têkiliyek L2 di navbera beşan de tune be (nimûneyek tîpîk "Holding û pargîdanî" an "Bergeha sereke û şaxên bankê" ye) hewce be) an heke torê beşên veqetandî hebe, mînakî, pergalên kontrolkirina pêvajoyê ya otomatîk. Di her şax / beşek weha de, hûn dikarin TSA-ya xwe bicîh bikin û wê bi yek TSOC-ê ve girêbidin, ku hemî agahdarî dê bi navendî ve bêne pêvajo kirin. Ev mîmarî dihêle hûn pergalên çavdêriyê yên belavkirî ava bikin bêyî ku hewce bike ku ji nû ve torgilokê bi radîkal vesaz bikin an dabeşkirina heyî têk bibin.
Di heman demê de, em dikarin kopiyek seyrûsefera derketinê ji TSA re bi riya TAP/SPAN re bişînin. Ger em girêdanên bi botnetên naskirî, pêşkêşkerên ferman û kontrolê, an danişînên TOR-ê re bibînin, em ê di konsolê de jî encamê bistînin. Sensor Intelligence Network (NIS) ji vê yekê berpirsiyar e. Di hawîrdora me de, ev fonksiyon li ser dîwarê agir tête bicîh kirin, ji ber vê yekê me ew li vir bikar neanî.
- Kelepên Serlêdanê (OS-ya tije) - honeypotên kevneşopî yên ku li ser serverên Windows-ê ne. Hûn ne hewceyî gelek ji wan in, ji ber ku armanca sereke ya van serveran peydakirina karûbarên IT-ê ji qata paşîn a senzoran re an tespîtkirina êrişên li ser sepanên karsaziyê yên ku dibe ku di hawîrdorek Windows-ê de werin bicîh kirin e. Di laboratûara me de serverek wusa heye (FOS01)
- Xefikên emûlkirî hêmana sereke ya çareseriyê ne, ku dihêle me, bi karanîna yek makîneyek virtual, ji bo êrîşkaran "qadeke mayinkirî" pir hişk biafirînin û tora pargîdanî, hemî vlanên wê, bi senzorên xwe têr bikin. Êrîşkar sensorek wusa, an mêvandarek xeyalî, wekî PC-ya Windows-ê an serverek rastîn, serverek Linux an amûrek din a ku em biryar didin ku wî nîşan bidin dibîne.
Ji bo qenciya karsaziyê û ji bo meraqê, me "cotek ji her mexlûqê" - PC-yên Windows û serverên guhertoyên cihêreng, pêşkêşkerên Linux, ATM-yek bi Windows-ê vegirtî, SWIFT Access Web, çaperek torê, Cisco-yek bi cih kirin. mifteyê, kamerayeke Axis IP, MacBook, PLC -device û heta ampûleke jîr. Bi tevahî 13 hoste hene. Bi gelemperî, firoşkar pêşniyar dike ku senzorên weha bi qasî 10% ji hejmara mêvandarên rastîn bicîh bikin. Barê jorîn cîhê navnîşana berdest e.Xalek pir girîng ev e ku her mêvandarek wusa ne makîneyek virtual ya bêkêmasî ye ku jêder û lîsans hewce dike. Ev pêvajoyek li ser TSA-yê, ku xwedan rêzek parametre û navnîşek IP-yê ye, pêvajoyek e, emûlasyon e. Ji ber vê yekê, bi arîkariya yek TSA-yê jî, em dikarin torê bi sedan hosteyên xeyalî yên weha têr bikin, ku dê di pergala alarmê de wekî senzor bixebitin. Ev teknolojiyek e ku gengaz dike ku meriv têgeha honeypot-ê li ser her pargîdaniyek mezin a belavkirî bi lêçûn-bandor mezin bike.
Ji nihêrîna êrîşkarek, ev mêvandar balkêş in ji ber ku di wan de qelsî hene û xuya dikin ku hedefên nisbeten hêsan in. Êrîşkar karûbarên li ser van mêvandaran dibîne û dikare bi wan re têkilî daynin û bi karanîna amûr û protokolên standard (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, hwd.) êrîşî wan bikin. Lê ne mimkûn e ku meriv van mêvandaran bikar bîne da ku êrîşek pêşve bibe an koda xwe bimeşîne.
- Kombûna van her du teknolojiyên (FullOS û xefikên emûlkirî) dihêle ku em bi îhtîmalek statîstîkî ya bilind bigihîjin ku êrîşkar zû an dereng bi hin hêmanên tora meya nîşangiran re rû bi rû bimîne. Lê em çawa dikarin piştrast bikin ku ev îhtimal nêzî %100 e?
Bi navê nîşaneyên Xapandinê dikevin şer. Bi saya wan, em dikarin hemî PC-ya heyî û serverên pargîdaniyê di nav IDS-ya xweya belavkirî de bihewînin. Token li ser PC-yên rastîn ên bikarhêneran têne danîn. Girîng e ku meriv fêm bike ku token ne ajanên ku çavkaniyan dixwin û dikarin bibin sedema pevçûnan in. Token hêmanên agahdariya pasîf in, celebek "nan" ji bo aliyê êrîşkar ku wê dixin xefikê. Mînakî, ajokarên torê yên nexşekirî, nîşangirên rêvebirên malperê yên sexte yên di gerokê de û şîfreyên ji bo wan hatine tomarkirin, danişînên ssh/rdp/winscp hatine tomarkirin, xefikên me yên bi şîroveyên di pelên mêvandar de, şîfreyên ku di bîranînê de hatine tomarkirin, pêbaweriyên bikarhênerên neheyî, ofîs pelan, vekirina ku dê pergalê bixebitîne, û hêj bêtir. Ji ber vê yekê, em êrîşkar di nav jîngehek berovajîkirî de, bi vektorên êrîşê ve têrbûyî bi cîh dikin ku bi rastî ji me re xeternakin, lê berevajî vê yekê. Û wî çu rê nîne ku diyar bike ka agahî li ku derê rast in û li ku derê derew in. Bi vî rengî, em ne tenê tespîtkirina bilez a êrîşek piştrast dikin, lê di heman demê de pêşveçûna wê jî bi girîngî hêdî dikin.
Mînakek çêkirina xefikek torê û sazkirina tokenan. Têkiliya dostane û guheztina destan a mîhengan, nivîsan, hwd.
Di hawîrdora xwe de, me çend nîşaneyên weha mîheng kirin û danîn ser FOS01-ê ku Windows Server 2012R2 dimeşîne û PC-ya ceribandinê ya Windows 7-ê dixebitîne. RDP li ser van makîneyan dimeşîne û em dem bi dem wan li DMZ-ê, ku hejmarek ji senzorên xwe tê de, "daleqandin". (xefikên emûlkirî) jî têne xuyang kirin. Ji ber vê yekê em herikînek domdar a bûyeran distînin, bi awayekî xwezayî.
Ji ber vê yekê, li vir çend statîstîkên bilez ên salê hene:
56 - bûyerên hatine tomarkirin,
2 - mêvandarên çavkaniya êrîşê hatin dîtin.
Nexşeya êrîşê ya înteraktîf, klîk
Di heman demê de, çareserî celebek mega-log an feed bûyerê çêdike, ku têgihîştina wê demek dirêj digire. Di şûna wê de, çareserî bixwe bûyeran li gorî celebên wan dabeş dike û rê dide tîmê ewlehiya agahdariyê ku di serî de balê bikişîne ser yên herî xeternak - dema ku êrîşkar hewl dide ku danişînên kontrolê bilind bike (têkilî) an dema ku bargiranên binary (vegirtin) di seyrûsefera me de xuya dibin.
Hemî agahdariya di derbarê bûyeran de tê xwendin û pêşkêş kirin, bi dîtina min, bi rengek hêsan tê fêm kirin jî ji bo bikarhênerek xwedan zanîna bingehîn di warê ewlehiya agahdariyê de.
Piraniya bûyerên hatine tomarkirin hewildan in ku mêvandarên me an girêdanên yekane bişopînin.
An jî hewil dide ku şîfreyên zorê yên ji bo RDP-yê bişewitîne
Lê dozên balkêştir jî hebûn, nemaze dema ku êrîşkaran "rêvebirin" şîfreya RDP texmîn kirin û gihîştina tora herêmî.
Êrîşkarek hewl dide ku kodê bi karanîna psexec bi kar bîne.
Êrîşkar rûniştinek xilaskirî dît, ku ew di forma serverek Linux de xist xefikek. Di cih de piştî girêdanê, bi yek komek fermanên pêş-amadekirî, hewl da ku hemî pelên têketinê û guhêrbarên pergalê yên têkildar tune bike.
Êrîşkarek hewl dide ku derzîlêdana SQL li ser honeypotek ku SWIFT Access Web-ê teqlîd dike pêk bîne.
Ji bilî van êrîşên "xwezayî", me gelek ceribandinên xwe jî kirin. Yek ji yên herî eşkere ceribandina dema tespîtkirina kurmê torê ya li ser torê ye. Ji bo vê yekê me amûrek ji GuardiCore bi navê bikar anî . Ev kurmê torê ye ku dikare Windows û Linux-ê birevîne, lê bêyî "bargiran".
Me navendek fermandariya herêmî bicîh kir, yekem mînaka kurmê li ser yek ji makîneyan da destpêkirin, û di kêmtirî deqe û nîvekê de yekem hişyariya di konsolê TrapX de wergirt. TTD 90 saniye li hember 106 rojan bi navînî ...
Bi saya şiyana yekbûna bi çînên din ên çareseriyê re, em dikarin ji zû tespîtkirina xetereyan berbi bersivdana bixweber a wan ve biçin.
Mînakî, entegrasyona bi pergalên NAC (Kontrola Gihîştina Torgilokê) an bi CarbonBlack re dê bihêle ku hûn bixweber PC-yên têkçûyî ji torê qut bikin.
Yekbûna bi sandboxan re dihêle ku pelên ku di êrîşê de beşdar bûne bixweber ji bo analîzê bêne şandin.
entegrasyona McAfee
Çareserî di heman demê de pergala xweya pêwendiya bûyerê ya çêkirî jî heye.
Lê em ji kapasîteyên wê ne razî bûn, ji ber vê yekê me ew bi HP ArcSight re yek kir.
Pergala bilêtê ya çêkirî ji hemî cîhanê re dibe alîkar ku bi xetereyên naskirî re rû bi rû bimîne.
Ji ber ku çareserî "ji destpêkê ve" ji bo hewcedariyên saziyên hukûmetê û beşek mezin a pargîdanî hate pêşve xistin, ew bi xwezayî modelek gihîştina-bingeha rolê, entegrasyona bi AD-ê re, pergalek pêşkeftî ya rapor û destanan (hişyariyên bûyeran), orkestrayê pêk tîne. strukturên xwedîkirina mezin an pêşkêşkerên MSSP.
Li ser veguhestinê
Ger pergalek çavdêriyê ya wusa hebe, ku bi awakî mecazî pişta me veşêre, wê hingê bi lihevkirina perîvan re her tişt nû dest pê dike. Ya herî girîng ev e ku derfetek rast heye ku meriv bi bûyerên ewlehiya agahdariyan re mijûl bibe, û ne bi encamên wan re mijûl bibe.
Source: www.habr.com