Foramen ut instrumentum securitatis - 2, vel quomodo capere APT "on vivunt esca"

(Gratias Sergey G. Brester pro titulo idea sebres)

Collegi, huius articuli propositum est experientiam communicare in operatione experimenti anni longi solutionis novae classis IDS solutionum technologiarum deceptio innixae.

Ad cohaerentiam logicam praesentationis materiae conservandam, necessarium censeo a praemissis incipere. Ita, quaestio;

1. Impetus oppugnationis periculosissimi generis oppugnationis sunt, non obstante quod eorum participes in numero minarum parvus est.
2. Nulla significatio efficacia tutandi perimetri (vel tali instrumenti statuto) adhuc inventa est.
3. Pro regula iaculis impetus pluribus gradibus fiunt. Perimeter superans una tantum est ex gradibus initialibus, quae (lapides in me mittere potes) non multum damni "victimatis" inferunt, nisi forte DEoS (Destructio servitii) impetus (encryptors, etc. .). Realis "dolor" postea incipit, cum res captae incipiunt adhiberi ad impetum vovendi et "profundum" explicandum, quod nos non animadvertimus.
4. Quoniam vera damna pati incipimus cum oppugnatores tandem ad scopos oppugnationis perveniunt (applicationes, DBMS, apothecae, repositoria, elementa critica infrastructurae), consentaneum est unum e muneribus informationis securitatis officium esse ut impetus interrumperet antequam tristior eventu. Sed ut aliquid interpelles, prius quaerendum est. et citius, quo melius.
5. Quocirca pro felici periculo administratione (id est damnum ab oppugnationibus iaculis minuendis), criticum est instrumenta habere quae minimum TTD praebebit (tempus deprehendendi - tempus a momento intrusionis usque ad momentum deprehenditur). Secundum industriam et regionem, hoc tempus averages 99 dies in US, 106 dies in MEA regione, 172 dies in regione APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
6. Quod in foro non habet offerre?
   • "Sandboxes". Aliud praecavendum imperium, quod abest a idealibus. Multae sunt artes efficaces ad deprehendendas et praetermittendas sandboxes vel solutiones dealbatio. Guys ex "latere tenebroso" adhuc unus gradus hic antecedit.
   • UEBA (systemas ad mores prolificationes et deviationes cognoscendas) - in theoria efficacissima esse potest. Sed, ut opinor, hoc in longinquo interdum. In praxi, hoc est adhuc valde sumptuosum, leve et valde maturam et stabilem IT et requirit securitatem infrastructuram informationis, quae iam omnia instrumenta habet quae notitias pro analysi gerendi generabit.
   • SIEM instrumentum investigationum bonum est, sed opportune modo aliquid novum et originale videre et ostendere non potest, quia relatio regulae eaedem sunt cum subscriptionibus.

7. Quam ob rem opus est instrumento quo vellet;
   • feliciter laboravit in conditionibus perimetri iam suspecti;
   • deprehenduntur prosperos impetus in tempore reali proximi, cujuscumque instrumenta et vulnerabilitates adhibentur;
   • non dependet ex subscriptionibus / praecepta / scripta / consilia / perfiles et alia static omnia,
   • magna copia notitiarum eorumque fontes ad analysim non requirebat;
   • impetus definiri permitteret non quasi periculum quoddam scor- pionis propter opera "optimi in mundo, patentia et ideo clausa mathematica", quae investigationem additionalem requirit, sed ut eventus binarius - "Ita; oppugnamur" vel "Non, omnia OK";
   • erat universalis, efficaciter scalabilis et factibilis ad efficiendum in quavis ambitu heterogeneo, cuiuscumque retis physicis et logicis topologia adhibita est.

Sic dictae deceptiones solutiones nunc tali instrumenti munere certant. Id est, solutiones ex antiqua ratione honeypots, sed omnino alio gradu elit. Locus hic in ortum nunc certus est.

Secundum eventus Gartner Securitatis & Risc administratione culmen 2017 Solutiones deceptiones comprehenduntur in capite 3 strategies et instrumenta quae commendantur utendum est.

Secundum fama TAG Cybersecurity Annual 2017 Deceptio una est e principalibus directionibus evolutionis IDS Intrusionis Detection Systems) solutionum.

Tota pars eius Cisco rei publicae IT Securitatis ReportSCADA dicata, notitia ab uno principum in hoc foro, TrapX Securitatis (Israel), cuius solutio laboravit in area per annum laborata est.

TrapX Deceptio Grid te permittit ut sumptus et operas IDS centraliter massive distributas, sine licentia licentiae onere ac requisitis pro ferramentis augendis. Re vera, TrapX constructor est qui permittit te ex elementis IT existentibus infrastructuram creare unam magnam mechanismum ad deprehendendas impetus in inceptis magnitudine, quaedam retis "terroris distributa".

Solutio

In laboratorio nostro constanter studemus et varias novas res emendas in agro IT securitatis. In statu, circiter 50 diversis servientibus virtualis hic explicantur, inter TrapX Deception Grid components.

Itaque a summo usque deorsum;

1. TSOC (Opera Securitatis TrapX Console) est cerebrum systematis. Haec est centralis administratio consolatoria, per quam conformatio, instruere solutionis et operationes quotidie exercentur. Cum haec religio interretialis sit, alicubi explicari potest — in perimetro, in nube vel in provisore MSSP.
2. TrapX Appliance (TSA) est virtualis server in quod coniungimus, portum trunci adhibito, subnets illis quae vigilantia operire volumus. Etiam, omnes nostri retis sensoriis actu "vivere" hic.

   Noster lab unum TSA explicavit (mwsapp1), sed re vera esse plures potuerunt. Hoc in magnis reticulis necessarium esse potest ubi nulla L2 inter segmenta connectivity (exemplum typicum est "tenere et subsidiaria" vel "Bank caput et ramos"), vel si reticulum segmenta separata habet, exempli gratia, processus systematis moderandi automated. In unoquoque genere/segmenti, proprium TSA explicari potes et cum uno TSOC coniunge, ubi omnia notitia centraliter processit. Haec architectura tibi permittit ut systemata vigilantia distributa aedifices sine necessitate ut retiaculum funditus restringas vel segmentatio existentium laxet.

   Etiam exemplum exitu negotiationis cum TSA per TAP/SPAN submittere possumus. Si nexus cum notis botnets deprehenderimus, ministris imperamus ac potestates, vel TOR sessiones, eventum etiam in console accipiemus. Retis Intelligence Sensor (NIS) huius responsalis est. In ambitu nostro, haec officiatio in muro inclusa est, unde hic non utimur.

3. Application pedicas (Full OS) - traditional honeypots substructio in Fenestra servientibus. Pluribus illis non opus est, cum praecipuum propositum horum ministrantium IT officia proximo sensoriis praebere est vel impetus in applicationibus negotiatorum deprehendere quae in Fenestra environment explicari possunt. Talem servitorem unum habemus in officina nostra installatum (FOS01)

   

4. Insidiae aemulatae sunt principale solutionis pars, quae nobis permittit utens una machina virtuali densissima oppugnatoribus "minefield" creare et inceptis retis saturare, omnia sua vlans, cum sensoriis nostris. Oppugnator talem sensorem, vel phantasma exercitum videt, sicut verus Windows PC vel server, Linux server vel alia machinamenta quae ei monstrare decernimus.

   
   
   Ad bonum negotii et curiositatis causa, "par cuiusque creaturae" - Windows PCs et ministratores variarum versionum, Linux servitores, machina argentaria cum Fenestra fixa, PRAECEPS Web Access, retis typographus, a Cisco switch, axis IP camera, MacBook, PLC - machina et etiam bulbus acri. There are 13 exercituum in total. In genere, venditor commendat tales sensores disponere in copia saltem 10% numeri exercituum realium. Summitatem vectis est spatium inscriptionis praesto.

   Magni ponderis punctum est quod quisque talis exercitus non est plena arma virtualis armatura quae facultates et licentias requirit. Haec inlecebra, aemulatio, processus in TSA unus est, qui ambitum et locum IP habet. Ergo, una vel una TSA ope, retiaculis centenis exercitiorum phantasticorum talium saturare possumus, quae sensores in systematis terroris operabuntur. Haec technica haec est, quae efficit ut efficaciter sumptus-efficax scandat conceptus mellis per quamlibet rem magnam distributam.

   Ex parte impugnantis, hae exercitus attractivae sunt quia vulnerabilitates continent et scuta facilia esse videntur. Percussor officia in his exercitibus videt et cum eis se agere potest et eos oppugnare utentes instrumenta et protocolla vexillum (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, etc.). Impossibile est autem his exercitiis uti ad impetum faciendum vel proprium codicem elaborandum.

5. Harum duarum technologiarum coniunctio (FullOS et laqueos aemulatus) nobis permittit ut probabilitatem statisticam altam consequamur, ut oppugnator citius aut serius occurrat aliquod elementum retis nostrae significationis. Sed quomodo efficere possumus ut haec probabilitas prope % c?

   Sic dicta deceptio signa pugnam intrant. Gratias illis possumus omnes PCs existentes et ministros negotii in nostris distributis IDS includere. Signa ponuntur in users' PCs realis. Interest scire signa non esse agentium qui opes consumunt et conflictus causare possunt. Signa sunt elementa indicia passiva, quaedam "panis" pro parte oppugnationis quae eam in laqueum ducunt. Exempli causa, retis incisis agitet, notae ad telae fictae admins in navigatro et Tesserae pro eis servatae, sessiones ssh/rdp/winscp servatae, nostrae insidiae cum commentationibus in fasciculis exercituum, Tesserae in memoria servatae, documentorum usorum non exsistentium, officium. lima, foramen quod felis ratio erit, et multo magis. Ita collocamus impugnatorem in ambitu perverso, saturatum vectoribus oppugnantibus, qui nobis minas non actu, sed opposito ponunt. Et ipse nullo modo potest determinare ubi notitia est vera et ubi falsum est. Ita non solum celeriter impetus deprehendendi, sed etiam progressum eius significanter retardet.

Exemplum creandi retis laqueum et signa erigendi. Amica instrumenti et manualis edendis configs, scriptoribus, etc.

In nostra ambitu figuravimus et posuimus plura signa in FOS01 in Fenestra Servo 2012R2 currente et examinis PC currentis Fenestra 7. RDP in his machinis currit et nos periodice "pendemus" eas in DMZ, ubi plures sensoriis nostris (laquei aemulantes) monstrantur. Sic enim incidentes rivus assiduus fuat, quasi naturaliter.

Ita hic sunt quidam statisticae velox ad annum;

56 — res gestae expositae;
2.

Interactive, clickable impetum map

Eodem tempore solutio mega-loga vel eventum pascendi non generat, quod longum est intelligere. Sed ipsa solutio rerum per rationes suas indicat et informationes securitatis turmas suas imprimis in periculosissimas permittit - cum oppugnator sessiones moderari conatur vel cum binarii stipendiis (infectio) in negotiatione nostra apparent.

Omnes informationes de eventis lectae sunt et praesentantur, mea sententia, in forma facili intellectu etiam pro usuario cum notitia fundamentali in campo securitatis informationis.

Pleraque de actis incidentibus sunt conatus nostros exercituum vel singulares nexus lustrare.

Aut violente conatus passwords pro RDP

Sed casus etiam magis iucundus fuit, praesertim cum oppugnatores "acti" tesseram coniectare pro RDP et accessum ad network locali accederent.

Oppugnator conatus ad faciendum codice utens psexec.

Percussor sessionem servatam invenit quae eum in laqueum in forma Linux deduxit. Statim postquam iunctio, uno mandatorum ordine praeparato, omnes tabulas stipes et systematis variabilium respondentem delere conatus est.

Percussor iniectio SQL infusio in honeypot praestare conatur, quod PRAECEPS Web Access imitatur.

Praeter impetus "naturales", plures etiam proprias probationes deduxit. Una maxime revelationis tempus retis vermem in retis detectionem tentat. Ad hoc faciendum instrumentum a GuardiCore vocato usi sumus Simia infectio. Hic est vermis retis qui Fenestra et Linux hijack possunt, sed sine ullo "payload".
Praeceptum locale centrum explicavimus, primum exemplum vermis in una machinis deducimus, et primum vigilatum in TrapX consolando minus quam minutum et dimidium accepimus. TTD XC seconds versus CVI dierum in mediocris ...

Propter facultatem cum aliis solutionum generibus integrandi, movere possumus minas mox deprehendendas ut illis automatice respondeant.

Exempli gratia, integratio cum NAC (Network Access Control) systemata vel cum CarbonBlack sinet te automatice implicatum PCs a retis disiungere.

Integratio cum sandboxes permittit lima implicatas impetum ut sponte analysi subiciatur.

McAfee integration

Solutio etiam in eventu ratione systematis aedificata suam habet.

Sed nos suis facultatibus contenti non eramus, ita illud cum ArcSight HP integravimus.

Constructum-in tesseraing systema totum mundum minis detectis adiuvat.

Cum solutio "ab initio" evoluta est propter necessitates institutionum regiminis et segmentum magnum corporatum, natura sua consequitur munus secundum accessum exemplar, integratio cum AD, ratio evoluta relationum et triggers (eventi summis), orchestrationem magnas tenentes structuras vel MSSP providers.

Proin loco

Si talis ratio vigilantia est, quae figurate loquendo terga nostra tegit, tum cum circumscriptione perimetri omnia incipiunt. Praecipuum est, quod res est de notitia securitatis occasionem rei agere, et non agere cum consectariis.

Source: www.habr.com