(paldies Sergejam G. Bresteram par nosaukuma ideju
KolÄÄ£i, Ŕī raksta mÄrÄ·is ir dalÄ«ties pieredzÄ par gadu ilguÅ”u jaunas IDS risinÄjumu klases, kas balstÄ«tas uz Deception tehnoloÄ£ijÄm, testa darbÄ«bu.
Lai saglabÄtu materiÄla izklÄsta loÄ£isko saskaÅotÄ«bu, uzskatu par nepiecieÅ”amu sÄkt ar telpÄm. TÄtad, problÄma:
- MÄrÄ·tiecÄ«gi uzbrukumi ir visbÄ«stamÄkais uzbrukumu veids, neskatoties uz to, ka to Ä«patsvars kopÄjÄ draudu skaitÄ ir neliels.
- VÄl nav izgudrots neviens garantÄts efektÄ«vs perimetra aizsardzÄ«bas lÄ«dzeklis (vai Å”Ädu lÄ«dzekļu kopums).
- Parasti mÄrÄ·tiecÄ«gi uzbrukumi notiek vairÄkos posmos. Perimetra pÄrvarÄÅ”ana ir tikai viens no sÄkuma posmiem, kas (var man mest ar akmeÅiem) lielu kaitÄjumu āupurimā nenodara, ja vien tas, protams, nav DEoS (Destruction of service) uzbrukums (Å”ifrÄtÄji utt. .). ÄŖstÄs āsÄpesā sÄkas vÄlÄk, kad notvertos lÄ«dzekļus sÄk izmantot pagrieziena un ādziļumaā uzbrukuma attÄ«stÄ«Å”anai, un mÄs to nepamanÄ«jÄm.
- TÄ kÄ mÄs sÄkam ciest reÄlus zaudÄjumus brÄ«dÄ«, kad uzbrucÄji beidzot sasniedz uzbrukuma mÄrÄ·us (lietojumprogrammu serverus, DBVS, datu noliktavas, repozitorijus, kritiskÄs infrastruktÅ«ras elementus), ir loÄ£iski, ka viens no informÄcijas droŔības dienesta uzdevumiem ir pÄrtraukt uzbrukumus pirms Å”o skumjo notikumu. Bet, lai kaut ko pÄrtrauktu, vispirms par to ir jÄnoskaidro. Un jo ÄtrÄk, jo labÄk.
- AttiecÄ«gi veiksmÄ«gai riska pÄrvaldÄ«bai (tas ir, lai samazinÄtu mÄrÄ·uzbrukumu radÄ«tos bojÄjumus), ir ļoti svarÄ«gi, lai bÅ«tu rÄ«ki, kas nodroÅ”inÄs minimÄlo TTD (laiks atklÄÅ”anai ā laiks no ielauÅ”anÄs brīža lÄ«dz uzbrukuma atklÄÅ”anas brÄ«dim). AtkarÄ«bÄ no nozares un reÄ£iona Å”is periods ir vidÄji 99 dienas ASV, 106 dienas EMEA reÄ£ionÄ, 172 dienas APAC reÄ£ionÄ (M-Trends 2017, A View From the Front Lines, Mandiant).
- Ko piedÄvÄ tirgus?
- "SmilÅ”u kastes". VÄl viena profilaktiska kontrole, kas ir tÄlu no ideÄla. Ir daudz efektÄ«vu paÅÄmienu, kÄ noteikt un apiet smilÅ”kastes vai risinÄjumus baltajÄ sarakstÄ. PuiÅ”i no ātumÅ”Äs pusesā Å”eit joprojÄm ir soli priekÅ”Ä.
- UEBA (sistÄmas uzvedÄ«bas profilÄÅ”anai un noviržu noteikÅ”anai) ā teorÄtiski var bÅ«t ļoti efektÄ«va. Bet, manuprÄt, tas ir kaut kad tÄlÄ nÄkotnÄ. PraksÄ tas joprojÄm ir ļoti dÄrgs, neuzticams un prasa ļoti nobrieduÅ”u un stabilu IT un informÄcijas droŔības infrastruktÅ«ru, kurÄ jau ir visi rÄ«ki, kas Ä£enerÄs datus uzvedÄ«bas analÄ«zei.
- SIEM ir labs rÄ«ks izmeklÄÅ”anÄm, taÄu tas nespÄj laicÄ«gi ieraudzÄ«t un parÄdÄ«t kaut ko jaunu un oriÄ£inÄlu, jo korelÄcijas noteikumi ir tÄdi paÅ”i kÄ parakstiem.
- TÄ rezultÄtÄ ir nepiecieÅ”ams rÄ«ks, kas:
- veiksmÄ«gi strÄdÄjis jau apdraudÄta perimetra apstÄkļos,
- gandrÄ«z reÄllaikÄ atklÄja veiksmÄ«gus uzbrukumus neatkarÄ«gi no izmantotajiem rÄ«kiem un ievainojamÄ«bÄm,
- nebija atkarÄ«gs no parakstiem/noteikumiem/skriptiem/politikÄm/profiliem un citÄm statiskÄm lietÄm,
- analīzei nebija nepiecieŔams liels datu apjoms un to avoti,
- ļautu uzbrukumus definÄt nevis kÄ kaut kÄdu riska vÄrtÄÅ”anu ālabÄkÄs pasaulÄ, patentÄtÄs un tÄpÄc slÄgtÄs matemÄtikasā darba rezultÄtÄ, kas prasa papildus izpÄti, bet praktiski kÄ binÄru notikumu ā āJÄ, mums uzbrÅ«kā vai āNÄ, viss ir kÄrtÄ«bÄā,
- bija universÄls, efektÄ«vi mÄrogojams un iespÄjams ieviest jebkurÄ neviendabÄ«gÄ vidÄ neatkarÄ«gi no izmantotÄs fiziskÄs un loÄ£iskÄs tÄ«kla topoloÄ£ijas.
Par Å”Äda rÄ«ka lomu tagad pretendÄ tÄ sauktie maldinÄÅ”anas risinÄjumi. Tas ir, risinÄjumi, kas balstÄ«ti uz veco labo meduspodu koncepciju, bet ar pavisam citu realizÄcijas lÄ«meni. Å is temats Å”obrÄ«d noteikti ir uzplaukums.
SaskaÅÄ ar rezultÄtiem
SaskaÅÄ ar ziÅojumu
Vesela sadaļa no pÄdÄjÄs
TrapX Deception Grid ļauj maksÄt un centralizÄti darbinÄt masveidÄ izplatÄ«tu IDS, nepalielinot licencÄÅ”anas slodzi un prasÄ«bas aparatÅ«ras resursiem. Faktiski TrapX ir konstruktors, kas ļauj no esoÅ”Äs IT infrastruktÅ«ras elementiem izveidot vienu lielu mehÄnismu, lai noteiktu visa uzÅÄmuma mÄroga uzbrukumus, sava veida izkliedÄtÄ tÄ«kla ātrauksmiā.
RisinÄjuma struktÅ«ra
SavÄ laboratorijÄ pastÄvÄ«gi pÄtÄm un testÄjam dažÄdus jaunus produktus IT droŔības jomÄ. PaÅ”laik Å”eit ir izvietoti aptuveni 50 dažÄdi virtuÄlie serveri, tostarp TrapX Deception Grid komponenti.
TÄtad, no augÅ”as uz leju:
- TSOC (TrapX droŔības operÄciju konsole) ir sistÄmas smadzenes. Å Ä« ir centrÄlÄ pÄrvaldÄ«bas konsole, ar kuras palÄ«dzÄ«bu tiek veikta konfigurÄÅ”ana, risinÄjuma izvietoÅ”ana un visas ikdienas darbÄ«bas. TÄ kÄ Å”is ir tÄ«mekļa pakalpojums, to var izvietot jebkur ā perimetrÄ, mÄkonÄ« vai pie MSSP nodroÅ”inÄtÄja.
- TrapX Appliance (TSA) ir virtuÄls serveris, kuram mÄs, izmantojot maÄ£istrÄlo portu, savienojam tos apakÅ”tÄ«klus, kurus vÄlamies nodroÅ”inÄt ar uzraudzÄ«bu. TurklÄt visi mÅ«su tÄ«kla sensori faktiski ādzÄ«voā Å”eit.
MÅ«su laboratorijÄ ir izvietota viena TSA (mwsapp1), taÄu patiesÄ«bÄ to varÄtu bÅ«t daudz. Tas var bÅ«t nepiecieÅ”ams lielos tÄ«klos, kur starp segmentiem nav L2 savienojuma (tipisks piemÄrs ir āHolding and meitasuzÅÄmumiā vai āBankas galvenais birojs un filiÄlesā) vai ja tÄ«klÄ ir izolÄti segmenti, piemÄram, automatizÄtas procesu vadÄ«bas sistÄmas. KatrÄ Å”ÄdÄ filiÄlÄ/segmentÄ varat izvietot savu TSA un savienot to ar vienu TSOC, kur visa informÄcija tiks centralizÄti apstrÄdÄta. Å Ä« arhitektÅ«ra ļauj izveidot sadalÄ«tas uzraudzÄ«bas sistÄmas bez nepiecieÅ”amÄ«bas radikÄli pÄrstrukturÄt tÄ«klu vai izjaukt esoÅ”o segmentÄciju.
MÄs varam arÄ« iesniegt izejoÅ”Äs trafika kopiju TSA, izmantojot TAP/SPAN. Ja konstatÄsim savienojumus ar zinÄmiem robottÄ«kliem, komandu un vadÄ«bas serveriem vai TOR sesijÄm, rezultÄtu saÅemsim arÄ« konsolÄ. Par to atbild Network Intelligence Sensor (NIS). MÅ«su vidÄ Å”Ä« funkcionalitÄte ir ieviesta uz ugunsmÅ«ra, tÄpÄc Å”eit to neizmantojÄm.
- Lietojumprogrammu slazdi (Pilna OS) ā tradicionÄlie meduspodi, kuru pamatÄ ir Windows serveri. Jums nav vajadzÄ«gi daudzi no tiem, jo āāÅ”o serveru galvenais mÄrÄ·is ir nodroÅ”inÄt IT pakalpojumus nÄkamajam sensoru slÄnim vai atklÄt uzbrukumus biznesa lietojumprogrammÄm, kuras var tikt izvietotas Windows vidÄ. MÅ«su laboratorijÄ ir uzstÄdÄ«ts viens Å”Äds serveris (FOS01)
- EmulÄti slazdi ir galvenÄ risinÄjuma sastÄvdaļa, kas ļauj mums, izmantojot vienu virtuÄlo maŔīnu, izveidot ļoti blÄ«vu āmÄ«nu laukuā uzbrucÄjiem un piesÄtinÄt uzÅÄmuma tÄ«klu, visus tÄ vlanus ar mÅ«su sensoriem. UzbrucÄjs Å”Ädu sensoru jeb fantoma saimniekdatoru uztver kÄ Ä«stu Windows datoru vai serveri, Linux serveri vai citu ierÄ«ci, kuru mÄs nolemjam viÅam parÄdÄ«t.
Biznesa labÄ un ziÅkÄrÄ«bas labad mÄs izvietojÄm ākatru radÄ«jumu pÄriā - Windows datorus un dažÄdu versiju serverus, Linux serverus, bankomÄtu ar iegultu Windows, SWIFT Web Access, tÄ«kla printeri, Cisco. slÄdzi, Axis IP kameru, MacBook, PLC ierÄ«ci un pat viedo spuldzi. KopÄ ir 13 saimnieki. KopumÄ pÄrdevÄjs iesaka izvietot Å”Ädus sensorus vismaz 10% apmÄrÄ no reÄlo saimniekdatoru skaita. AugÅ”ÄjÄ josla ir pieejamÄ adreses telpa.Ä»oti svarÄ«gs punkts ir tas, ka katrs Å”Äds resursdators nav pilnvÄrtÄ«ga virtuÄlÄ maŔīna, kurai nepiecieÅ”ami resursi un licences. Å is ir mÄneklis, emulÄcija, viens process TSA, kuram ir parametru kopa un IP adrese. TÄpÄc ar kaut vai viena TSA palÄ«dzÄ«bu varam piesÄtinÄt tÄ«klu ar simtiem Å”Ädu fantoma saimnieku, kas signalizÄcijas sistÄmÄ darbosies kÄ sensori. TieÅ”i Ŕī tehnoloÄ£ija ļauj rentabli mÄrogot Houspot koncepciju jebkurÄ lielÄ izplatÄ«tÄ uzÅÄmumÄ.
No uzbrucÄja viedokļa Å”ie resursdatori ir pievilcÄ«gi, jo tajos ir ievainojamÄ«bas un Ŕķiet, ka tie ir salÄ«dzinoÅ”i viegli mÄrÄ·i. UzbrucÄjs redz pakalpojumus Å”ajos resursdatoros un var mijiedarboties ar tiem un uzbrukt tiem, izmantojot standarta rÄ«kus un protokolus (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus utt.). TaÄu nav iespÄjams izmantot Å”os saimniekdatorus, lai izstrÄdÄtu uzbrukumu vai palaistu savu kodu.
- Å o divu tehnoloÄ£iju (FullOS un emulÄtÄs slazdu) kombinÄcija ļauj mums sasniegt augstu statistisko varbÅ«tÄ«bu, ka uzbrucÄjs agrÄk vai vÄlÄk saskarsies ar kÄdu mÅ«su signalizÄcijas tÄ«kla elementu. Bet kÄ mÄs varam pÄrliecinÄties, ka Ŕī varbÅ«tÄ«ba ir tuvu 100%?
CÄ«ÅÄ iekļūst tÄ sauktie MaldinÄÅ”anas žetoni. Pateicoties viÅiem, mÄs varam iekļaut visus esoÅ”os uzÅÄmuma personÄlos datorus un serverus mÅ«su izplatÄ«tajÄ IDS. Tokeni tiek ievietoti lietotÄju reÄlajos datoros. Ir svarÄ«gi saprast, ka žetoni nav aÄ£enti, kas patÄrÄ resursus un var izraisÄ«t konfliktus. Žetoni ir pasÄ«vi informÄcijas elementi, sava veida ārÄ«vmaizeā uzbrÅ«koÅ”ajai pusei, kas to ieved slazdÄ. PiemÄram, kartÄti tÄ«kla diski, viltotu tÄ«mekļa administratoru grÄmatzÄ«mes pÄrlÅ«kprogrammÄ un saglabÄtÄs paroles, saglabÄtas ssh/rdp/winscp sesijas, mÅ«su slazdi ar komentÄriem hosts failos, atmiÅÄ saglabÄtas paroles, neesoÅ”u lietotÄju akreditÄcijas dati, birojs failus, atverot, kas aktivizÄs sistÄmu, un daudz ko citu. TÄdÄjÄdi mÄs ievietojam uzbrucÄju izkropļotÄ vidÄ, kas ir piesÄtinÄta ar uzbrukuma vektoriem, kas patiesÄ«bÄ mÅ«s neapdraud, bet gan tieÅ”i pretÄji. Un viÅam nav iespÄjas noteikt, kur informÄcija ir patiesa un kur nepatiesa. TÄdÄjÄdi mÄs ne tikai nodroÅ”inÄm Ätru uzbrukuma atklÄÅ”anu, bet arÄ« bÅ«tiski palÄninÄm tÄ norisi.
TÄ«kla slazda izveides un marÄ·ieru iestatÄ«Å”anas piemÄrs. DraudzÄ«gs interfeiss un nav manuÄlas konfigurÄciju, skriptu utt. rediÄ£ÄÅ”anas.
MÅ«su vidÄ mÄs konfigurÄjÄm un ievietojÄm vairÄkus Å”Ädus marÄ·ierus uz FOS01, kurÄ darbojas operÄtÄjsistÄma Windows Server 2012R2, un testa datorÄ, kurÄ darbojas sistÄma Windows 7. Å ajÄs iekÄrtÄs darbojas RDP, un mÄs tos periodiski āpakarinÄmā DMZ, kur atrodas vairÄki mÅ«su sensori. (emulÄti slazdi) tiek parÄdÄ«ti arÄ«. TÄtad mÄs saÅemam pastÄvÄ«gu incidentu plÅ«smu, protams, tÄ sakot.
TÄtad, Å”eit ir neliela statistika par gadu:
56 208 ā reÄ£istrÄti incidenti,
2 ā konstatÄti uzbrukuma avota saimnieki.
InteraktÄ«va, klikŔķinÄma uzbrukuma karte
TajÄ paÅ”Ä laikÄ risinÄjums neÄ£enerÄ kaut kÄdu mega žurnÄlu vai notikumu plÅ«smu, kuras izpratnei nepiecieÅ”ams ilgs laiks. TÄ vietÄ pats risinÄjums klasificÄ notikumus pÄc to veidiem un ļauj informÄcijas droŔības komandai galvenokÄrt koncentrÄties uz visbÄ«stamÄkajiem ā kad uzbrucÄjs mÄÄ£ina paaugstinÄt kontroles sesijas (mijiedarbÄ«ba) vai kad mÅ«su trafikÄ parÄdÄs binÄrÄs slodzes (infekcija).
Visa informÄcija par pasÄkumiem ir lasÄma un pasniegta, manuprÄt, viegli saprotamÄ formÄ pat lietotÄjam ar pamatzinÄÅ”anÄm informÄcijas droŔības jomÄ.
LielÄkÄ daļa reÄ£istrÄto incidentu ir mÄÄ£inÄjumi skenÄt mÅ«su saimniekdatorus vai atseviŔķus savienojumus.
Vai arÄ« mÄÄ£inÄjumi brutÄli piespiest paroles RDP
Bet bija arÄ« interesantÄki gadÄ«jumi, it Ä«paÅ”i, kad uzbrucÄjiem āizdevÄsā uzminÄt RDP paroli un piekļūt vietÄjam tÄ«klam.
UzbrucÄjs mÄÄ£ina izpildÄ«t kodu, izmantojot psexec.
UzbrucÄjs atrada saglabÄtu sesiju, kas viÅu noveda slazdÄ Linux servera veidÄ. TÅ«lÄ«t pÄc savienojuma izveidoÅ”anas ar vienu iepriekÅ” sagatavotu komandu kopu tas mÄÄ£inÄja iznÄ«cinÄt visus žurnÄlfailus un atbilstoÅ”os sistÄmas mainÄ«gos.
UzbrucÄjs mÄÄ£ina veikt SQL injekciju meduspodÄ, kas imitÄ SWIFT Web Access.
Papildus Å”Ädiem ādabiskiemā uzbrukumiem mÄs veicÄm arÄ« vairÄkus savus testus. Viens no atklÄjÄ«gÄkajiem ir tÄ«kla tÄrpa noteikÅ”anas laika pÄrbaude tÄ«klÄ. Lai to izdarÄ«tu, mÄs izmantojÄm GuardiCore rÄ«ku
MÄs izvietojÄm vietÄjo komandcentru, palaidÄm pirmo tÄrpa gadÄ«jumu vienÄ no iekÄrtÄm un saÅÄmÄm pirmo brÄ«dinÄjumu TrapX konsolÄ mazÄk nekÄ pusotras minÅ«tes laikÄ. TTD vidÄji 90 sekundes pret 106 dienÄm...
Pateicoties spÄjai integrÄties ar citÄm risinÄjumu klasÄm, mÄs varam pÄriet no Ätras draudu noteikÅ”anas uz automÄtisku reaÄ£ÄÅ”anu uz tiem.
PiemÄram, integrÄcija ar NAC (Network Access Control) sistÄmÄm vai ar CarbonBlack ļaus automÄtiski atvienot apdraudÄtos datorus no tÄ«kla.
IntegrÄcija ar smilÅ”u kastÄm ļauj uzbrukumÄ iesaistÄ«tos failus automÄtiski iesniegt analÄ«zei.
McAfee integrÄcija
RisinÄjumam ir arÄ« sava iebÅ«vÄta notikumu korelÄcijas sistÄma.
Bet mÄs nebijÄm apmierinÄti ar tÄ iespÄjÄm, tÄpÄc mÄs to integrÄjÄm ar HP ArcSight.
IebÅ«vÄtÄ biļeÅ”u pÄrdoÅ”anas sistÄma palÄ«dz visai pasaulei tikt galÄ ar atklÄtajiem draudiem.
TÄ kÄ risinÄjums tika izstrÄdÄts āno sÄkumaā valsts aÄ£entÅ«ru un liela korporatÄ«vÄ segmenta vajadzÄ«bÄm, tas, protams, ievieÅ” uz lomÄm balstÄ«tu piekļuves modeli, integrÄciju ar AD, izstrÄdÄtu atskaiÅ”u un trigeru (notikumu brÄ«dinÄjumu) sistÄmu, orÄ·estrÄÅ”anu lielas holdinga struktÅ«ras vai MSSP nodroÅ”inÄtÄji.
AtsÄkÅ”anas vietÄ
Ja ir tÄda uzraudzÄ«bas sistÄma, kas, tÄlaini izsakoties, aizsedz mÅ«su muguru, tad ar perimetra kompromisu viss tikai sÄkas. Pats galvenais, lai bÅ«tu reÄla iespÄja tikt galÄ ar informÄcijas droŔības incidentiem, nevis risinÄt to sekas.
Avots: www.habr.com