Lach als Sécherheetsinstrument - 2, oder wéi Dir APT "mat Live Köder" fënnt

(Merci dem Sergey G. Brester fir d'Titelidee sebres)

Kollegen, den Zweck vun dësem Artikel ass d'Erfahrung vun engem Joer laang Testoperatioun vun enger neier Klass vun IDS-Léisungen op Basis vun Täuschungstechnologien ze deelen.

Fir déi logesch Kohärenz vun der Presentatioun vum Material ze erhalen, betruecht ech et néideg mat de Raimlechkeeten unzefänken. Also, de Problem:

1. Geziilt Attacke sinn déi geféierlechst Aart vun Attack, trotz der Tatsaach, datt hiren Undeel an der Gesamtzuel vun de Gefore kleng ass.
2. Kee garantéiert effektiv Mëttel fir de Perimeter ze schützen (oder eng Rei vun esou Mëttelen) ass nach erfonnt ginn.
3. In der Regel, geziilte Attacke sinn an e puer Etappe statt. De Perimeter iwwerwannen ass nëmmen eng vun den initialen Etappe, déi (Dir kënnt Steng op mech werfen) net vill Schued fir d'"Affer" verursaacht, ausser et ass natierlech en DEoS (Zerstéierung vum Service) Attack (Encryptoren, etc. .). De richtege "Péng" fänkt méi spéit un, wann d'gefangen Verméigen ufänken ze benotzen fir ze pivotéieren an eng "Déift" Attack z'entwéckelen, a mir hunn dat net gemierkt.
4. Zënter mir fänken u wierkleche Verloschter ze leiden wann Ugräifer endlech d'Ziler vum Attack erreechen (Applikatiounsserver, DBMS, Datelager, Repositories, kritesch Infrastrukturelementer), ass et logesch datt eng vun den Aufgaben vum Informatiounssécherheetsservice ass Attacken ze ënnerbriechen ier dëst traureg Evenement. Awer fir eppes z'ënnerbriechen, musst Dir fir d'éischt doriwwer erausfannen. A wat méi fréi, wat besser.
5. Deementspriechend, fir erfollegräich Risikomanagement (dat ass, Schued vu geziilten Attacken ze reduzéieren), ass et kritesch Tools ze hunn déi e Minimum TTD ubidden (Zäit fir z'entdecken - d'Zäit vum Moment vun der Andréngen bis zum Moment wou den Attack festgestallt gëtt). Ofhängeg vun der Industrie a Regioun ass dës Period duerchschnëttlech 99 Deeg an den USA, 106 Deeg an der EMEA Regioun, 172 Deeg an der APAC Regioun (M-Trends 2017, A View From the Front Lines, Mandiant).
6. Wat bitt de Maart?
   • "Sandboxen". Eng aner präventiv Kontroll, déi wäit vun ideal ass. Et gi vill effektiv Techniken fir Sandboxen oder Whitelisting Léisungen z'entdecken an z'iwwergoen. D'Jongen vun der "däischter Säit" sinn hei nach e Schrëtt vir.
   • UEBA (Systemer fir Verhalen ze profiléieren an Ofwäichungen z'identifizéieren) - an der Theorie kënne ganz effektiv sinn. Awer menger Meenung no ass dat iergendwann an der wäiter Zukunft. An der Praxis ass dëst nach ëmmer ganz deier, onzouverlässeg a erfuerdert eng ganz reift a stabil IT- an Informatiounssécherheetsinfrastruktur, déi schonn all Tools huet, déi Daten fir Verhalensanalyse generéieren.
   • SIEM ass e gutt Tool fir Ermëttlungen, awer et ass net fäeg eppes Neies an originellt op eng fristgerecht Manéier ze gesinn an ze weisen, well d'Korrelatiounsregele sinn d'selwecht wéi Ënnerschrëften.

7. Als Resultat gëtt et e Besoin fir en Tool dat géif:
   • erfollegräich geschafft an Konditioune vun engem scho kompromittéierte Perimeter,
   • erfollegräich Attacken a bal Echtzäit entdeckt, onofhängeg vun den Tools a Schwachstelle benotzt,
   • huet net vun Ënnerschrëften / Regelen / Scripten / Politiken / Profiler an aner statesch Saachen ofhängeg,
   • hu keng grouss Quantitéiten un Daten an hir Quelle fir Analyse erfuerdert,
   • géif erlaben Attacken ze definéieren net als eng Zort vu Risiko-Scoring als Resultat vun der Aarbecht vun "déi bescht vun der Welt, patentéiert an dofir zougemaach Mathematik", déi zousätzlech Enquête verlaangt, mä praktesch als binär Event - "Jo, mir ginn ugegraff" oder "Nee, alles ass OK",
   • war universell, effizient skalierbar a machbar fir an all heterogen Ëmfeld ëmzesetzen, onofhängeg vun der kierperlecher a logescher Netzwierktopologie déi benotzt gëtt.

Sougenannte Täuschungsléisungen kämpfen elo ëm d'Roll vun esou engem Tool. Dat ass, Léisungen baséiert op der gutt al Konzept vun honeypots, mä mat engem komplett aneren Niveau vun Ëmsetzung. Dëst Thema ass definitiv op der Lut elo.

Laut de Resultater Gartner Security & Risc Management Sommet 2017 Täuschungsléisungen sinn an den TOP 3 Strategien an Tools abegraff déi recommandéiert sinn ze benotzen.

Laut dem Bericht TAG Cybersecurity Annual 2017 Täuschung ass eng vun den Haaptrichtungen vun der Entwécklung vun IDS Intrusion Detection Systems) Léisungen.

Eng ganz Sektioun vun der leschter Cisco Staat vun IT Sécherheet Rapport, gewidmet fir SCADA, baséiert op Daten vun engem vun de Leader an dësem Maart, TrapX Security (Israel), d'Léisung vun deenen an eisem Testgebitt fir e Joer geschafft huet.

TrapX Deception Grid erlaabt Iech massiv verdeelt IDS zentral ze kaschten an ze bedreiwen, ouni d'Lizenzbelaaschtung an Ufuerderunge fir Hardware Ressourcen ze erhéijen. Tatsächlech ass TrapX e Konstruktor deen Iech erlaabt aus Elementer vun der existéierender IT-Infrastruktur ee grousse Mechanismus ze kreéieren fir Attacken op enger Entreprise-breet Skala z'entdecken, eng Aart vun verdeelt Netzwierk "Alarm".

Léisung Struktur

An eisem Labo studéieren an testen mir permanent verschidden nei Produkter am Beräich vun der IT Sécherheet. De Moment sinn ongeféier 50 verschidde virtuell Serveren hei ofgesat, dorënner TrapX Deception Grid Komponenten.

Also, vun uewe bis ënnen:

1. TSOC (TrapX Security Operation Console) ass d'Gehir vum System. Dëst ass déi zentral Gestiounskonsole, duerch déi d'Konfiguratioun, d'Deployment vun der Léisung an all alldeeglechen Operatiounen duerchgefouert ginn. Well dëst e Webservice ass, kann et iwwerall agesat ginn - um Perimeter, an der Wollek oder bei engem MSSP Provider.
2. TrapX Appliance (TSA) ass e virtuelle Server, an dee mir mat dem Trunkport verbannen, déi Subnetzer déi mir mat Iwwerwaachung ofdecken wëllen. Och all eis Netzwierksensoren "liewen" tatsächlech hei.

   Eise Labo huet eng TSA ofgesat (mwsapp1), awer a Wierklechkeet kéint et vill sinn. Dëst kann a grousse Netzwierker néideg sinn, wou et keng L2 Konnektivitéit tëscht Segmenter ass (en typescht Beispill ass "Holding a Filialen" oder "Bank Sëtz a Filialen") oder wann d'Netz isoléiert Segmenter huet, zum Beispill automatiséiert Prozesskontrollsystemer. An all esou Branche / Segment kënnt Dir Ären eegene TSA ofsetzen an et mat engem eenzegen TSOC verbannen, wou all Informatioun zentral veraarbecht gëtt. Dës Architektur erlaabt Iech verdeelt Iwwerwaachungssystemer ze bauen ouni d'Noutwendegkeet d'Netzwierk radikal ze strukturéieren oder existent Segmentatioun ze stéieren.

   Och kënne mir eng Kopie vum erausginn Traffic op TSA iwwer TAP / SPAN ofginn. Wa mir Verbindunge mat bekannte Botnets, Kommando- a Kontrollserver oder TOR-Sessiounen erkennen, kréie mir och d'Resultat an der Konsole. Network Intelligence Sensor (NIS) ass dofir verantwortlech. An eisem Ëmfeld gëtt dës Funktionalitéit op der Firewall ëmgesat, also hu mir se net hei benotzt.

3. Applikatiounsfalle (Voll OS) – traditionell Honeypots baséiert op Windows-Serveren. Et gi net vill gebraucht, well den Haaptzweck vun dëse Serveren ass, IT-Servicer un déi nächst Schicht vu Sensoren ze liwweren oder Attacken op Geschäftsapplikatiounen z'entdecken, déi eventuell agesat kënne ginn. Windows-Mëttwoch. Mir hunn esou ee Server (FOS01) an eisem Laboratoire installéiert.

   

4. Emuléiert Fallen sinn den Haaptkomponent vun der Léisung, déi et eis erlaben, e ganz dicht Minefeld fir Attacker mat enger eenzeger virtueller Maschinn ze kreéieren an den Entreprisenetz, inklusiv all seng VLANs, mat eise Sensoren ze saturéieren. Den Attacker gesäit sou e Sensor, oder Phantomhost, als e richtegen. Windows PC oder Server, Linux Server oder en aneren Apparat, op deen mir entscheeden, en ze weisen.

   
   
   Aus Grënn vun der Geschäftswelt an der Virwëtzegkeet hu mir "e Puer vun all Kreatur" agesat - Windows PCs a Serveren vu verschiddene Versiounen, Linux-Serveren, Geldautomaten Windows Embedded, SWIFT Web Access, en Netzwierkdrucker, e Cisco Switch, eng Axis IP Kamera, e MacBook, e PLC-Apparat, a souguer eng intelligent Glühbir. Dat sinn am Ganzen 13 Hosts. Am Allgemengen recommandéiert den Hiersteller, sou Sensoren op d'mannst 10% vun der Gesamtzahl vun den aktuellen Hosts ze setzen. Déi iewescht Limit ass de verfügbaren Adressraum.

   E ganz wichtege Punkt ass datt all esou Host net eng vollwäerteg virtuell Maschinn ass déi Ressourcen a Lizenzen erfuerdert. Dëst ass en Decoy, Emulatioun, ee Prozess op der TSA, deen eng Rei vu Parameteren an eng IP Adress huet. Dofir, mat der Hëllef vun souguer engem TSA, kënne mir d'Netzwierk mat Honnerte vu sou Phantomhosten saturéieren, déi als Sensoren am Alarmsystem funktionnéieren. Et ass dës Technologie déi et méiglech mécht d'Honeypot Konzept op all grouss verdeelt Entreprise kosteneffizient ze skaléieren.

   Aus der Siicht vun engem Ugräifer sinn dës Hosten attraktiv well se Schwachstelle enthalen a schéngen relativ einfach Ziler ze sinn. Den Ugräifer gesäit Servicer op dësen Hosten a ka mat hinnen interagéieren an se mat Standard Tools a Protokoller attackéieren (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, etc.). Awer et ass onméiglech dës Hosten ze benotzen fir en Attack z'entwéckelen oder Ären eegene Code auszeféieren.

5. D'Kombinatioun vun dësen zwou Technologien (FullOS an emuléiert Fallen) erlaabt eis eng héich statistesch Wahrscheinlechkeet z'erreechen datt en Ugräifer fréier oder spéider e puer Elementer vun eisem Signalnetz begéint. Awer wéi kënne mir sécher sinn datt dës Wahrscheinlechkeet no bei 100% ass?

   Déi sougenannt Deception Tokens ginn an d'Schluecht. Dank hinnen kënne mir all existent PCs a Serveren vun der Entreprise an eiser verdeelt IDS enthalen. Tokens ginn op de richtege PCs vun de Benotzer gesat. Et ass wichteg ze verstoen datt Tokens keng Agenten sinn déi Ressourcen verbrauchen a Konflikter verursaachen. Tokens sinn passiv Informatiounselementer, eng Aart vu "Broutkriibs" fir d'Attack Säit, déi et an eng Fal féieren. Zum Beispill kartéiert Netzwierkfuerer, Lieszeechen fir gefälschte Webadministrateuren am Browser a gespäichert Passwierder fir si, gespäichert ssh/rdp/winscp Sessiounen, eis Fallen mat Kommentaren an Hostdateien, Passwierder gespäichert an Erënnerung, Umeldungsinformatiounen vun net existente Benotzer, Büro Dateien, Ouverture déi de System ausléisen, a vill méi. Sou placéiere mir den Ugräifer an engem verzerrten Ëmfeld, gesättegt mat Attackvektoren, déi eis eigentlech keng Gefor stellen, mä éischter de Géigendeel. An hien huet kee Wee fir ze bestëmmen wou d'Informatioun richteg ass a wou se falsch ass. Sou suerge mir net nëmme fir eng séier Erkennung vun engem Attack, mee och de Fortschrëtt wesentlech verlangsamen.

E Beispill fir eng Netzwierkfall ze kreéieren an Tokens opzestellen. Frëndschaftlech Interface a keng manuell Redaktioun vu Konfiguratiounen, Scripten, asw.

An eiser Ëmfeld hu mir eng Rei vun esou Tokens op FOS01 ënner der Kontroll vun konfiguréiert an installéiert. Windows Server 2012R2 an en Test-PC ënner Windows 7. Dës Maschinnen lafen RDP, a mir "hänken" se periodesch an der DMZ op, wou och eng Rei vun eise Sensoren (emuléiert Fallen) sinn. Sou kréie mir souzesoen natierlech e stännege Stroum vun Incidenter.

Also, hei sinn e puer séier Statistike fir d'Joer:

56 - Tëschefäll opgeholl,
2 - Attack Quell Hosten entdeckt.

Interaktiv, klickbar Attack Kaart

Zur selwechter Zäit generéiert d'Léisung keng Aart vu Mega-Log oder Event Feed, wat laang Zäit brauch fir ze verstoen. Amplaz klasséiert d'Léisung selwer Eventer no hiren Typen an erlaabt d'Informatiounssécherheetsteam sech haaptsächlech op déi geféierlechst ze konzentréieren - wann den Ugräifer probéiert Kontrollsessiounen (Interaktioun) ze erhéijen oder wann binär Notzlaascht (Infektioun) an eisem Traffic erscheinen.

All Informatioun iwwer Eventer ass liesbar a presentéiert, menger Meenung no, an enger einfach ze verstoen Form och fir e Benotzer mat Basiskenntnisser am Beräich vun der Informatiounssécherheet.

Déi meescht vun den opgehollen Tëschefäll sinn Versuche fir eis Hosten oder eenzel Verbindungen ze scannen.

Oder probéiert Passwierder fir RDP ze bruten

Awer et waren och méi interessant Fäll, besonnesch wann Ugräifer "gepackt" hunn d'Passwuert fir RDP ze roden an Zougang zum lokalen Netzwierk ze kréien.

En Ugräifer probéiert de Code mat Psexec auszeféieren.

Den Ugräifer huet eng gespäichert Sessioun fonnt, déi hien an eng Fal gefouert huet a Form vun Linux-server. Direkt nom Verbindungsprozess gouf mat Hëllef vun engem eenzege virbereete Set vu Kommandoen probéiert, all Logdateien an déi entspriechend Systemvariablen ze zerstéieren.

En Ugräifer probéiert SQL Injektioun op engem Hunnegpot ze maachen deen SWIFT Web Access imitéiert.

Nieft esou "natierlechen" Attacken hu mir och eng Rei vun eisen eegenen Tester gemaach. Ee vun de meeschten offenbaren ass d'Erkennungszäit vun engem Netzwierkwurm op engem Netzwierk ze testen. Fir dëst ze maachen hu mir en Tool vu GuardiCore genannt Infektioun MonkeyDëst ass e Netzwierkwurm, deen et fäerdeg bréngt ze fänken Windows и Linux, awer ouni "nëtzlech" Laascht.
Mir hunn e lokalen Kommandozenter ofgesat, déi éischt Instanz vum Wuerm op enger vun de Maschinnen lancéiert an déi éischt Alarm an der TrapX Konsole a manner wéi enger Minutt an eng hallef kritt. TTD 90 Sekonnen versus 106 Deeg am Duerchschnëtt ...

Dank der Fäegkeet fir mat anere Klassen vu Léisungen z'integréieren, kënne mir vu just séier Bedrohungen z'entdecken fir automatesch op hinnen ze reagéieren.

Zum Beispill, Integratioun mat NAC (Network Access Control) Systemer oder mat CarbonBlack erlaabt Iech automatesch kompromittéiert PCs aus dem Netz ze trennen.

Integratioun mat Sandboxen erlaabt datt Dateien, déi an engem Attack involvéiert sinn, automatesch fir Analyse ofginn.

McAfee Integratioun

D'Léisung huet och säin eegene agebaute Event Korrelatiounssystem.

Awer mir waren net zefridden mat senge Fäegkeeten, also hu mir et mat HP ArcSight integréiert.

Den agebaute Ticketsystem hëlleft der ganzer Welt mat detektéierte Bedrohungen ze këmmeren.

Zënter datt d'Léisung "vun Ufank un" fir d'Bedierfnesser vun de Regierungsbehörden an e grousse Firmensegment entwéckelt gouf, implementéiert se natierlech e Roll-baséiert Zougangsmodell, Integratioun mat AD, en entwéckelte System vu Berichter an Ausléiser (Event Alarm), Orchestratioun fir grouss Holding Strukturen oder MSSP Ubidder.

Amplaz e Rezoud

Wann et esou e Iwwerwaachungssystem gëtt, deen, bildlech gesi, eise Réck ofdeckt, dann mam Kompromëss vum Perimeter fänkt alles just un. Dat Wichtegst ass, datt et eng reell Méiglechkeet gëtt mat Informatiounssécherheetsvirfäll ze këmmeren, an net mat hire Konsequenzen ze këmmeren.

Source: will.com