Caurums kā drošības līdzeklis - 2 jeb kā noķert APT "uz dzīvas ēsmas"

(paldies Sergejam G. Bresteram par nosaukuma ideju sebres)

Kolēģi, šī raksta mērķis ir dalīties pieredzē par gadu ilgušu jaunas IDS risinājumu klases, kas balstītas uz Deception tehnoloģijām, testa darbību.

Lai saglabātu materiāla izklāsta loģisko saskaņotību, uzskatu par nepieciešamu sākt ar telpām. Tātad, problēma:

1. Mērķtiecīgi uzbrukumi ir visbīstamākais uzbrukumu veids, neskatoties uz to, ka to īpatsvars kopējā draudu skaitā ir neliels.
2. Vēl nav izgudrots neviens garantēts efektīvs perimetra aizsardzības līdzeklis (vai šādu līdzekļu kopums).
3. Parasti mērķtiecīgi uzbrukumi notiek vairākos posmos. Perimetra pārvarēšana ir tikai viens no sākuma posmiem, kas (var man mest ar akmeņiem) lielu kaitējumu “upurim” nenodara, ja vien tas, protams, nav DEoS (Destruction of service) uzbrukums (šifrētāji utt. .). Īstās “sāpes” sākas vēlāk, kad notvertos līdzekļus sāk izmantot pagrieziena un “dziļuma” uzbrukuma attīstīšanai, un mēs to nepamanījām.
4. Tā kā mēs sākam ciest reālus zaudējumus brīdī, kad uzbrucēji beidzot sasniedz uzbrukuma mērķus (lietojumprogrammu serverus, DBVS, datu noliktavas, repozitorijus, kritiskās infrastruktūras elementus), ir loģiski, ka viens no informācijas drošības dienesta uzdevumiem ir pārtraukt uzbrukumus pirms šo skumjo notikumu. Bet, lai kaut ko pārtrauktu, vispirms par to ir jānoskaidro. Un jo ātrāk, jo labāk.
5. Attiecīgi veiksmīgai riska pārvaldībai (tas ir, lai samazinātu mērķuzbrukumu radītos bojājumus), ir ļoti svarīgi, lai būtu rīki, kas nodrošinās minimālo TTD (laiks atklāšanai — laiks no ielaušanās brīža līdz uzbrukuma atklāšanas brīdim). Atkarībā no nozares un reģiona šis periods ir vidēji 99 dienas ASV, 106 dienas EMEA reģionā, 172 dienas APAC reģionā (M-Trends 2017, A View From the Front Lines, Mandiant).
6. Ko piedāvā tirgus?
   • "Smilšu kastes". Vēl viena profilaktiska kontrole, kas ir tālu no ideāla. Ir daudz efektīvu paņēmienu, kā noteikt un apiet smilškastes vai risinājumus baltajā sarakstā. Puiši no “tumšās puses” šeit joprojām ir soli priekšā.
   • UEBA (sistēmas uzvedības profilēšanai un noviržu noteikšanai) – teorētiski var būt ļoti efektīva. Bet, manuprāt, tas ir kaut kad tālā nākotnē. Praksē tas joprojām ir ļoti dārgs, neuzticams un prasa ļoti nobriedušu un stabilu IT un informācijas drošības infrastruktūru, kurā jau ir visi rīki, kas ģenerēs datus uzvedības analīzei.
   • SIEM ir labs rīks izmeklēšanām, taču tas nespēj laicīgi ieraudzīt un parādīt kaut ko jaunu un oriģinālu, jo korelācijas noteikumi ir tādi paši kā parakstiem.

7. Tā rezultātā ir nepieciešams rīks, kas:
   • veiksmīgi strādājis jau apdraudēta perimetra apstākļos,
   • gandrīz reāllaikā atklāja veiksmīgus uzbrukumus neatkarīgi no izmantotajiem rīkiem un ievainojamībām,
   • nebija atkarīgs no parakstiem/noteikumiem/skriptiem/politikām/profiliem un citām statiskām lietām,
   • analīzei nebija nepieciešams liels datu apjoms un to avoti,
   • ļautu uzbrukumus definēt nevis kā kaut kādu riska vērtēšanu “labākās pasaulē, patentētās un tāpēc slēgtās matemātikas” darba rezultātā, kas prasa papildus izpēti, bet praktiski kā bināru notikumu – “Jā, mums uzbrūk” vai „Nē, viss ir kārtībā”,
   • bija universāls, efektīvi mērogojams un iespējams ieviest jebkurā neviendabīgā vidē neatkarīgi no izmantotās fiziskās un loģiskās tīkla topoloģijas.

Par šāda rīka lomu tagad pretendē tā sauktie maldināšanas risinājumi. Tas ir, risinājumi, kas balstīti uz veco labo meduspodu koncepciju, bet ar pavisam citu realizācijas līmeni. Šis temats šobrīd noteikti ir uzplaukums.

Saskaņā ar rezultātiem Gartner Security&Risc vadības samits 2017 Maldināšanas risinājumi ir iekļauti TOP 3 stratēģijās un instrumentos, kurus ieteicams izmantot.

Saskaņā ar ziņojumu TAG kiberdrošības gads 2017 Maldināšana ir viens no galvenajiem IDS Intrusion Detection Systems) risinājumu attīstības virzieniem.

Vesela sadaļa no pēdējās Cisco IT drošības stāvokļa ziņojums, kas veltīta SCADA, ir balstīta uz datiem no viena no šī tirgus līderiem TrapX Security (Izraēla), kura risinājums mūsu testa zonā darbojas jau gadu.

TrapX Deception Grid ļauj maksāt un centralizēti darbināt masveidā izplatītu IDS, nepalielinot licencēšanas slodzi un prasības aparatūras resursiem. Faktiski TrapX ir konstruktors, kas ļauj no esošās IT infrastruktūras elementiem izveidot vienu lielu mehānismu, lai noteiktu visa uzņēmuma mēroga uzbrukumus, sava veida izkliedētā tīkla “trauksmi”.

Risinājuma struktūra

Savā laboratorijā pastāvīgi pētām un testējam dažādus jaunus produktus IT drošības jomā. Pašlaik šeit ir izvietoti aptuveni 50 dažādi virtuālie serveri, tostarp TrapX Deception Grid komponenti.

Tātad, no augšas uz leju:

1. TSOC (TrapX drošības operāciju konsole) ir sistēmas smadzenes. Šī ir centrālā pārvaldības konsole, ar kuras palīdzību tiek veikta konfigurēšana, risinājuma izvietošana un visas ikdienas darbības. Tā kā šis ir tīmekļa pakalpojums, to var izvietot jebkur – perimetrā, mākonī vai pie MSSP nodrošinātāja.
2. TrapX Appliance (TSA) ir virtuāls serveris, kuram mēs, izmantojot maģistrālo portu, savienojam tos apakštīklus, kurus vēlamies nodrošināt ar uzraudzību. Turklāt visi mūsu tīkla sensori faktiski “dzīvo” šeit.

   Mūsu laboratorijā ir izvietota viena TSA (mwsapp1), taču patiesībā to varētu būt daudz. Tas var būt nepieciešams lielos tīklos, kur starp segmentiem nav L2 savienojuma (tipisks piemērs ir “Holding and meitasuzņēmumi” vai “Bankas galvenais birojs un filiāles”) vai ja tīklā ir izolēti segmenti, piemēram, automatizētas procesu vadības sistēmas. Katrā šādā filiālē/segmentā varat izvietot savu TSA un savienot to ar vienu TSOC, kur visa informācija tiks centralizēti apstrādāta. Šī arhitektūra ļauj izveidot sadalītas uzraudzības sistēmas bez nepieciešamības radikāli pārstrukturēt tīklu vai izjaukt esošo segmentāciju.

   Mēs varam arī iesniegt izejošās trafika kopiju TSA, izmantojot TAP/SPAN. Ja konstatēsim savienojumus ar zināmiem robottīkliem, komandu un vadības serveriem vai TOR sesijām, rezultātu saņemsim arī konsolē. Par to atbild Network Intelligence Sensor (NIS). Mūsu vidē šī funkcionalitāte ir ieviesta uz ugunsmūra, tāpēc šeit to neizmantojām.

3. Lietojumprogrammu slazdi (Pilna OS) – tradicionālie meduspodi, kuru pamatā ir Windows serveri. Jums nav vajadzīgi daudzi no tiem, jo ​​šo serveru galvenais mērķis ir nodrošināt IT pakalpojumus nākamajam sensoru slānim vai atklāt uzbrukumus biznesa lietojumprogrammām, kuras var tikt izvietotas Windows vidē. Mūsu laboratorijā ir uzstādīts viens šāds serveris (FOS01)

   

4. Emulēti slazdi ir galvenā risinājuma sastāvdaļa, kas ļauj mums, izmantojot vienu virtuālo mašīnu, izveidot ļoti blīvu “mīnu lauku” uzbrucējiem un piesātināt uzņēmuma tīklu, visus tā vlanus ar mūsu sensoriem. Uzbrucējs šādu sensoru jeb fantoma saimniekdatoru uztver kā īstu Windows datoru vai serveri, Linux serveri vai citu ierīci, kuru mēs nolemjam viņam parādīt.

   
   
   Biznesa labā un ziņkārības labad mēs izvietojām “katru radījumu pāri” - Windows datorus un dažādu versiju serverus, Linux serverus, bankomātu ar iegultu Windows, SWIFT Web Access, tīkla printeri, Cisco. slēdzi, Axis IP kameru, MacBook, PLC ierīci un pat viedo spuldzi. Kopā ir 13 saimnieki. Kopumā pārdevējs iesaka izvietot šādus sensorus vismaz 10% apmērā no reālo saimniekdatoru skaita. Augšējā josla ir pieejamā adreses telpa.

   Ļoti svarīgs punkts ir tas, ka katrs šāds resursdators nav pilnvērtīga virtuālā mašīna, kurai nepieciešami resursi un licences. Šis ir māneklis, emulācija, viens process TSA, kuram ir parametru kopa un IP adrese. Tāpēc ar kaut vai viena TSA palīdzību varam piesātināt tīklu ar simtiem šādu fantoma saimnieku, kas signalizācijas sistēmā darbosies kā sensori. Tieši šī tehnoloģija ļauj rentabli mērogot Houspot koncepciju jebkurā lielā izplatītā uzņēmumā.

   No uzbrucēja viedokļa šie resursdatori ir pievilcīgi, jo tajos ir ievainojamības un šķiet, ka tie ir salīdzinoši viegli mērķi. Uzbrucējs redz pakalpojumus šajos resursdatoros un var mijiedarboties ar tiem un uzbrukt tiem, izmantojot standarta rīkus un protokolus (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus utt.). Taču nav iespējams izmantot šos saimniekdatorus, lai izstrādātu uzbrukumu vai palaistu savu kodu.

5. Šo divu tehnoloģiju (FullOS un emulētās slazdu) kombinācija ļauj mums sasniegt augstu statistisko varbūtību, ka uzbrucējs agrāk vai vēlāk saskarsies ar kādu mūsu signalizācijas tīkla elementu. Bet kā mēs varam pārliecināties, ka šī varbūtība ir tuvu 100%?

   Cīņā iekļūst tā sauktie Maldināšanas žetoni. Pateicoties viņiem, mēs varam iekļaut visus esošos uzņēmuma personālos datorus un serverus mūsu izplatītajā IDS. Tokeni tiek ievietoti lietotāju reālajos datoros. Ir svarīgi saprast, ka žetoni nav aģenti, kas patērē resursus un var izraisīt konfliktus. Žetoni ir pasīvi informācijas elementi, sava veida “rīvmaize” uzbrūkošajai pusei, kas to ieved slazdā. Piemēram, kartēti tīkla diski, viltotu tīmekļa administratoru grāmatzīmes pārlūkprogrammā un saglabātās paroles, saglabātas ssh/rdp/winscp sesijas, mūsu slazdi ar komentāriem hosts failos, atmiņā saglabātas paroles, neesošu lietotāju akreditācijas dati, birojs failus, atverot, kas aktivizēs sistēmu, un daudz ko citu. Tādējādi mēs ievietojam uzbrucēju izkropļotā vidē, kas ir piesātināta ar uzbrukuma vektoriem, kas patiesībā mūs neapdraud, bet gan tieši pretēji. Un viņam nav iespējas noteikt, kur informācija ir patiesa un kur nepatiesa. Tādējādi mēs ne tikai nodrošinām ātru uzbrukuma atklāšanu, bet arī būtiski palēninām tā norisi.

Tīkla slazda izveides un marķieru iestatīšanas piemērs. Draudzīgs interfeiss un nav manuālas konfigurāciju, skriptu utt. rediģēšanas.

Mūsu vidē mēs konfigurējām un ievietojām vairākus šādus marķierus uz FOS01, kurā darbojas operētājsistēma Windows Server 2012R2, un testa datorā, kurā darbojas sistēma Windows 7. Šajās iekārtās darbojas RDP, un mēs tos periodiski “pakarinām” DMZ, kur atrodas vairāki mūsu sensori. (emulēti slazdi) tiek parādīti arī. Tātad mēs saņemam pastāvīgu incidentu plūsmu, protams, tā sakot.

Tātad, šeit ir neliela statistika par gadu:

56 208 — reģistrēti incidenti,
2 — konstatēti uzbrukuma avota saimnieki.

Interaktīva, klikšķināma uzbrukuma karte

Tajā pašā laikā risinājums neģenerē kaut kādu mega žurnālu vai notikumu plūsmu, kuras izpratnei nepieciešams ilgs laiks. Tā vietā pats risinājums klasificē notikumus pēc to veidiem un ļauj informācijas drošības komandai galvenokārt koncentrēties uz visbīstamākajiem – kad uzbrucējs mēģina paaugstināt kontroles sesijas (mijiedarbība) vai kad mūsu trafikā parādās binārās slodzes (infekcija).

Visa informācija par pasākumiem ir lasāma un pasniegta, manuprāt, viegli saprotamā formā pat lietotājam ar pamatzināšanām informācijas drošības jomā.

Lielākā daļa reģistrēto incidentu ir mēģinājumi skenēt mūsu saimniekdatorus vai atsevišķus savienojumus.

Vai arī mēģinājumi brutāli piespiest paroles RDP

Bet bija arī interesantāki gadījumi, it īpaši, kad uzbrucējiem “izdevās” uzminēt RDP paroli un piekļūt vietējam tīklam.

Uzbrucējs mēģina izpildīt kodu, izmantojot psexec.

Uzbrucējs atrada saglabātu sesiju, kas viņu noveda slazdā Linux servera veidā. Tūlīt pēc savienojuma izveidošanas ar vienu iepriekš sagatavotu komandu kopu tas mēģināja iznīcināt visus žurnālfailus un atbilstošos sistēmas mainīgos.

Uzbrucējs mēģina veikt SQL injekciju meduspodā, kas imitē SWIFT Web Access.

Papildus šādiem “dabiskiem” uzbrukumiem mēs veicām arī vairākus savus testus. Viens no atklājīgākajiem ir tīkla tārpa noteikšanas laika pārbaude tīklā. Lai to izdarītu, mēs izmantojām GuardiCore rīku Infekcijas pērtiķis. Šis ir tīkla tārps, kas var nolaupīt Windows un Linux, taču bez “lietderīgās slodzes”.
Mēs izvietojām vietējo komandcentru, palaidām pirmo tārpa gadījumu vienā no iekārtām un saņēmām pirmo brīdinājumu TrapX konsolē mazāk nekā pusotras minūtes laikā. TTD vidēji 90 sekundes pret 106 dienām...

Pateicoties spējai integrēties ar citām risinājumu klasēm, mēs varam pāriet no ātras draudu noteikšanas uz automātisku reaģēšanu uz tiem.

Piemēram, integrācija ar NAC (Network Access Control) sistēmām vai ar CarbonBlack ļaus automātiski atvienot apdraudētos datorus no tīkla.

Integrācija ar smilšu kastēm ļauj uzbrukumā iesaistītos failus automātiski iesniegt analīzei.

McAfee integrācija

Risinājumam ir arī sava iebūvēta notikumu korelācijas sistēma.

Bet mēs nebijām apmierināti ar tā iespējām, tāpēc mēs to integrējām ar HP ArcSight.

Iebūvētā biļešu pārdošanas sistēma palīdz visai pasaulei tikt galā ar atklātajiem draudiem.

Tā kā risinājums tika izstrādāts “no sākuma” valsts aģentūru un liela korporatīvā segmenta vajadzībām, tas, protams, ievieš uz lomām balstītu piekļuves modeli, integrāciju ar AD, izstrādātu atskaišu un trigeru (notikumu brīdinājumu) sistēmu, orķestrēšanu lielas holdinga struktūras vai MSSP nodrošinātāji.

Atsākšanas vietā

Ja ir tāda uzraudzības sistēma, kas, tēlaini izsakoties, aizsedz mūsu muguru, tad ar perimetra kompromisu viss tikai sākas. Pats galvenais, lai būtu reāla iespēja tikt galā ar informācijas drošības incidentiem, nevis risināt to sekas.

Avots: www.habr.com