(ačiū Sergejui G. Bresteriui už pavadinimo idėją )
Kolegos, šio straipsnio tikslas – pasidalinti metus trukusio naujos klasės IDS sprendimų, pagrįstų Deception technologijomis, bandomojo veikimo patirtimi.
Norint išlaikyti logišką medžiagos pateikimo nuoseklumą, manau, kad reikia pradėti nuo patalpų. Taigi, problema:
- Tikslinės atakos yra pavojingiausia atakų rūšis, nepaisant to, kad jų dalis bendrame grėsmių skaičiuje yra nedidelė.
- Garantuotai veiksmingos perimetro apsaugos priemonės (ar tokių priemonių rinkinys) dar nebuvo išrastas.
- Paprastai tikslinės atakos vyksta keliais etapais. Perimetro įveikimas yra tik vienas iš pradinių etapų, kuris (galite mėtyti į mane akmenis) didelės žalos „aukai“ nepadaro, nebent, žinoma, tai būtų DEoS (Destruction of service) ataka (šifratoriai ir pan. .). Tikrasis „skausmas“ prasideda vėliau, kai pagautas turtas pradedamas naudoti sukimuisi ir „gilio“ atakai plėtoti, o mes to nepastebėjome.
- Kadangi realius nuostolius pradedame patirti tada, kai užpuolikai pagaliau pasiekia atakos tikslus (aplikacijų serverius, DBVS, duomenų saugyklas, saugyklas, kritinės infrastruktūros elementus), logiška, kad viena iš informacijos saugos tarnybos užduočių yra nutraukti atakas prieš šis liūdnas įvykis. Tačiau norėdami ką nors nutraukti, pirmiausia turite apie tai sužinoti. Ir kuo anksčiau, tuo geriau.
- Atitinkamai, norint sėkmingai valdyti riziką (ty sumažinti tikslinių atakų padarytą žalą), labai svarbu turėti įrankius, kurie užtikrintų minimalų TTD (laiką aptikti – laikas nuo įsibrovimo iki atakos aptikimo momento). Priklausomai nuo pramonės ir regiono, šis laikotarpis vidutiniškai yra 99 dienos JAV, 106 dienos EMEA regione, 172 dienos APAC regione (M-Trends 2017, A View From the Front Lines, Mandiant).
- Ką siūlo rinka?
- „Smėlio dėžės“. Dar viena prevencinė kontrolė, kuri toli gražu nėra ideali. Yra daug veiksmingų smėlio dėžių aptikimo ir apėjimo metodų arba sprendimų įtraukimo į baltąjį sąrašą. Vaikinai iš „tamsiosios pusės“ čia vis dar yra žingsniu priekyje.
- UEBA (elgesio profiliavimo ir nukrypimų nustatymo sistemos) – teoriškai gali būti labai efektyvi. Bet, mano nuomone, tai kažkada tolimoje ateityje. Praktiškai tai vis dar labai brangu, nepatikima ir reikalauja labai brandžios bei stabilios IT ir informacijos saugumo infrastruktūros, kuri jau turi visus įrankius, kurie generuos duomenis elgesio analizei.
- SIEM yra geras įrankis tyrimams, tačiau jis negali laiku pamatyti ir parodyti kažko naujo ir originalaus, nes koreliacijos taisyklės yra tokios pat kaip parašai.
- Todėl reikia įrankio, kuris:
- sėkmingai dirbo jau pažeisto perimetro sąlygomis,
- aptiko sėkmingas atakas beveik realiu laiku, nepaisant naudojamų įrankių ir pažeidžiamumų,
- nepriklausė nuo parašų/taisyklių/scenarijų/politikos/profilių ir kitų statiškų dalykų,
- analizei nereikėjo didelių duomenų ir jų šaltinių,
- leistų atakas apibrėžti ne kaip kažkokį rizikos įvertinimą dėl „geriausios pasaulyje, patentuotos ir todėl uždaros matematikos“ darbo, reikalaujančio papildomo tyrimo, o praktiškai kaip dvejetainį įvykį – „Taip, mus puola“ arba „Ne, viskas gerai“,
- buvo universalus, efektyviai keičiamas ir gali būti įgyvendinamas bet kurioje nevienalytėje aplinkoje, neatsižvelgiant į naudojamą fizinę ir loginę tinklo topologiją.
Dėl tokio įrankio vaidmens dabar varžosi vadinamieji apgaulės sprendimai. Tai yra sprendimai, pagrįsti sena gera medaus puodų koncepcija, tačiau su visiškai kitokiu įgyvendinimo lygiu. Ši tema dabar tikrai daugėja.
Pagal rezultatus Apgaulės sprendimai yra įtraukti į TOP 3 strategijas ir priemones, kurias rekomenduojama naudoti.
Anot pranešimo Apgaulė yra viena iš pagrindinių IDS Intrusion Detection Systems) sprendimų kūrimo krypčių.
Visa pastarojo dalis , skirta SCADA, paremta vienos iš šios rinkos lyderių TrapX Security (Izraelis), kurios sprendimas mūsų testavimo srityje veikia jau metus, duomenimis.
„TrapX Deception Grid“ leidžia kainuoti ir centralizuotai valdyti masiškai paskirstytą IDS, nepadidinant licencijavimo apkrovos ir reikalavimų aparatinės įrangos ištekliams. Tiesą sakant, „TrapX“ yra konstruktorius, leidžiantis iš esamos IT infrastruktūros elementų sukurti vieną didelį mechanizmą, skirtą visos įmonės mastu aptikti atakas, savotišką paskirstyto tinklo „pavojaus signalą“.
Sprendimo struktūra
Savo laboratorijoje nuolat tiriame ir testuojame įvairius naujus produktus IT saugumo srityje. Šiuo metu čia yra įdiegta apie 50 skirtingų virtualių serverių, įskaitant „TrapX Deception Grid“ komponentus.
Taigi, iš viršaus į apačią:
- TSOC (TrapX Security Operation Console) yra sistemos smegenys. Tai yra centrinė valdymo konsolė, per kurią atliekama konfigūracija, sprendimo diegimas ir visos kasdienės operacijos. Kadangi tai žiniatinklio paslauga, ją galima įdiegti bet kur – perimetre, debesyje arba pas MSSP teikėją.
- „TrapX Appliance“ (TSA) yra virtualus serveris, prie kurio, naudodami magistralinį prievadą, jungiame tuos potinklius, kuriuos norime stebėti. Be to, visi mūsų tinklo jutikliai iš tikrųjų „gyvena“ čia.
Mūsų laboratorijoje įdiegta viena TSA (mwsapp1), tačiau iš tikrųjų jų gali būti daug. To gali prireikti dideliuose tinkluose, kuriuose nėra L2 ryšio tarp segmentų (tipiškas pavyzdys yra „Holding ir dukterinės įmonės“ arba „Banko pagrindinė buveinė ir filialai“) arba jei tinkle yra atskirti segmentai, pavyzdžiui, automatizuotos procesų valdymo sistemos. Kiekviename tokiame filiale / segmente galite įdiegti savo TSA ir prijungti jį prie vieno TSOC, kuriame visa informacija bus apdorojama centralizuotai. Ši architektūra leidžia kurti paskirstytas stebėjimo sistemas, nereikia radikaliai pertvarkyti tinklo ar netrikdyti esamo segmentavimo.
Taip pat galime pateikti išeinančio srauto kopiją TSA per TAP/SPAN. Jei aptiksime ryšius su žinomais botnetais, komandų ir valdymo serveriais arba TOR seansais, rezultatą taip pat gausime konsolėje. Už tai atsakingas tinklo intelekto jutiklis (NIS). Mūsų aplinkoje ši funkcija yra įdiegta ugniasienėje, todėl čia jos nenaudojome.
- „Application Traps“ (visa OS) – tradiciniai „Windows“ serverių pagrindu veikiantys „honeypots“. Jums jų nereikia daug, nes pagrindinis šių serverių tikslas yra teikti IT paslaugas kitam jutiklių sluoksniui arba aptikti atakas prieš verslo programas, kurios gali būti įdiegtos Windows aplinkoje. Mūsų laboratorijoje yra įdiegtas vienas toks serveris (FOS01)
- Emuliuoti spąstai yra pagrindinis sprendimo komponentas, leidžiantis mums naudojant vieną virtualią mašiną sukurti labai tankų „minų lauką“ užpuolikams ir prisotinti įmonės tinklą, visus jo vlanus mūsų jutikliais. Užpuolikas tokį jutiklį arba fantominį pagrindinį kompiuterį mato kaip tikrą Windows kompiuterį ar serverį, Linux serverį ar kitą įrenginį, kurį mes nusprendžiame jam parodyti.
Verslo labui ir smalsumo sumetimais įdiegėme „kiekvieno padaro porą“ – „Windows“ kompiuterius ir įvairių versijų serverius, „Linux“ serverius, bankomatą su įterptu „Windows“, „SWIFT Web Access“, tinklo spausdintuvą, „Cisco“ jungiklis, Axis IP kamera, MacBook, PLC įrenginys ir net išmanioji lemputė. Iš viso yra 13 šeimininkų. Apskritai pardavėjas rekomenduoja tokius jutiklius diegti bent 10% tikrųjų pagrindinių kompiuterių skaičiaus. Viršutinėje juostoje yra galima adreso vieta.Labai svarbus dalykas yra tai, kad kiekvienas toks kompiuteris nėra visavertė virtuali mašina, kuriai reikia išteklių ir licencijų. Tai yra apgaulė, emuliacija, vienas TSA procesas, turintis parametrų rinkinį ir IP adresą. Todėl net ir vienos TSA pagalba galime tinklą prisotinti šimtais tokių fantominių šeimininkų, kurie signalizacijos sistemoje veiks kaip jutikliai. Būtent ši technologija leidžia ekonomiškai efektyviai pritaikyti medaus puodo koncepciją bet kurioje didelėje paskirstytoje įmonėje.
Žvelgiant už užpuoliko požiūriu, šie pagrindiniai kompiuteriai yra patrauklūs, nes juose yra pažeidžiamumų ir jie atrodo gana lengvi taikiniai. Užpuolikas mato paslaugas šiuose pagrindiniuose kompiuteriuose ir gali su jais sąveikauti bei atakuoti naudodamas standartinius įrankius ir protokolus (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus ir kt.). Tačiau neįmanoma naudoti šių kompiuterių atakai sukurti ar savo kodui paleisti.
- Šių dviejų technologijų (FullOS ir emuliuotų spąstų) derinys leidžia pasiekti didelę statistinę tikimybę, kad užpuolikas anksčiau ar vėliau susidurs su kokiu nors mūsų signalizacijos tinklo elementu. Bet kaip galime įsitikinti, kad ši tikimybė yra beveik 100%?
Į mūšį patenka vadinamieji apgaulės žetonai. Jų dėka į paskirstytą IDS galime įtraukti visus esamus įmonės kompiuterius ir serverius. Žetonai dedami į tikrus vartotojų kompiuterius. Svarbu suprasti, kad žetonai nėra agentai, kurie vartoja resursus ir gali sukelti konfliktus. Žetonai yra pasyvūs informacijos elementai, savotiški „džiūvėsėliai“ atakuojančiai pusei, vedantys ją į spąstus. Pavyzdžiui, susieti tinklo diskai, žymės, skirtos netikriems žiniatinklio administratoriams naršyklėje ir išsaugoti slaptažodžiai, išsaugoti ssh/rdp/winscp seansai, mūsų spąstai su komentarais hostų failuose, atmintyje išsaugoti slaptažodžiai, neegzistuojančių vartotojų kredencialai, biuras. failus, atidarius, kurie suaktyvins sistemą, ir daug daugiau. Taigi mes patalpiname užpuoliką į iškreiptą aplinką, prisotintą atakos vektorių, kurie iš tikrųjų nekelia mums grėsmės, o veikiau atvirkščiai. Ir jis negali nustatyti, kur informacija yra teisinga, o kur klaidinga. Taigi mes ne tik užtikriname greitą atakos aptikimą, bet ir gerokai sulėtiname jo eigą.
Tinklo spąstų kūrimo ir žetonų nustatymo pavyzdys. Draugiška sąsaja ir jokio rankinio konfigūracijų, scenarijų ir kt. redagavimo.
Savo aplinkoje sukonfigūravome ir įdėjome daugybę tokių žetonų į FOS01, kuriame veikia Windows Server 2012R2, ir bandomąjį kompiuterį, kuriame veikia Windows 7. Šiuose įrenginiuose veikia RDP ir mes periodiškai juos „pakabiname“ DMZ, kur yra daugybė mūsų jutiklių. (imuliuoti spąstai) taip pat rodomi. Taigi, natūraliai taip sakant, gauname nuolatinį incidentų srautą.
Taigi, trumpa metų statistika:
56 208 – užfiksuoti incidentai,
2 912 – aptikti atakos šaltinio kompiuteriai.
Interaktyvus, paspaudžiamas puolimo žemėlapis
Tuo pačiu metu sprendimas negeneruoja kažkokio mega žurnalo ar įvykių informacijos santraukos, kurią suprasti reikia ilgai. Vietoje to pats sprendimas klasifikuoja įvykius pagal jų tipus ir leidžia informacijos saugos komandai pirmiausia sutelkti dėmesį į pačius pavojingiausius – kai užpuolikas bando pakelti valdymo seansus (sąveiką) arba kai mūsų sraute atsiranda dvejetainių naudingųjų apkrovų (infekcija).
Visa informacija apie įvykius yra skaitoma ir pateikiama, mano nuomone, lengvai suprantama forma net ir vartotojui, turinčiam elementarių žinių informacijos saugumo srityje.
Dauguma užfiksuotų incidentų yra bandymai nuskaityti mūsų pagrindinius kompiuterius arba atskirus ryšius.
Arba bando žiauriai priverstinai sunaikinti KPP slaptažodžius
Tačiau buvo ir įdomesnių atvejų, ypač kai užpuolikai „sugebėjo“ atspėti KPP slaptažodį ir gauti prieigą prie vietinio tinklo.
Užpuolikas bando vykdyti kodą naudodamas psexec.
Užpuolikas rado išsaugotą seansą, dėl kurio jis atsidūrė „Linux“ serverio spąstuose. Iš karto po prisijungimo su vienu iš anksto paruoštų komandų rinkiniu jis bandė sunaikinti visus žurnalo failus ir atitinkamus sistemos kintamuosius.
Užpuolikas bando įterpti SQL į „HowPot“, imituojančią SWIFT Web Access.
Be tokių „natūralių“ atakų, mes taip pat atlikome daugybę savo bandymų. Vienas iš labiausiai atskleidžiančių yra tinklo kirmino aptikimo laiko patikrinimas tinkle. Norėdami tai padaryti, naudojome „GuardiCore“ įrankį . Tai tinklo kirminas, galintis užgrobti „Windows“ ir „Linux“, bet be jokios „naudingosios apkrovos“.
Mes įdiegėme vietinį komandų centrą, paleidome pirmąjį kirmino egzempliorių viename iš mašinų ir per mažiau nei pusantros minutės gavome pirmąjį įspėjimą „TrapX“ konsolėje. TTD vidutiniškai 90 sekundžių, palyginti su 106 dienomis...
Dėl galimybės integruotis su kitų klasių sprendimais galime pereiti nuo tiesiog greito grėsmių aptikimo prie automatinio atsako į jas.
Pavyzdžiui, integracija su NAC (Network Access Control) sistemomis arba su CarbonBlack leis automatiškai atjungti pažeistus kompiuterius nuo tinklo.
Integracija su smėlio dėžėmis leidžia automatiškai pateikti analizei su ataka susijusius failus.
„McAfee“ integracija
Sprendimas taip pat turi savo integruotą įvykių koreliacijos sistemą.
Tačiau mūsų netenkino jo galimybės, todėl integravome jį su HP ArcSight.
Integruota bilietų pardavimo sistema padeda visam pasauliui susidoroti su aptiktomis grėsmėmis.
Kadangi sprendimas buvo sukurtas „nuo pat pradžių“ vyriausybinių agentūrų ir didelio verslo segmento poreikiams, jame natūraliai įgyvendinamas vaidmenimis pagrįstas prieigos modelis, integracija su AD, sukurta ataskaitų ir trigerių (įspėjimų apie įvykius) sistema, orkestravimas didelės holdingo struktūros arba MSSP teikėjai.
Vietoj atnaujinimo
Jeigu yra tokia stebėjimo sistema, kuri, vaizdžiai tariant, dengia mūsų nugarą, tai su perimetro kompromisu viskas tik prasideda. Svarbiausia, kad būtų reali galimybė susitvarkyti su informacijos saugumo incidentais, o ne kovoti su jų pasekmėmis.
Šaltinis: www.habr.com