(misaotra an'i Sergey G. Brester tamin'ny hevitra anaram-boninahitra )
Ry mpiara-miasa, ny tanjon'ity lahatsoratra ity dia ny hizara ny traikefan'ny fanandramana naharitra herintaona momba ny kilasy vaovao momba ny vahaolana IDS mifototra amin'ny teknolojian'ny Deception.
Mba hitazonana ny firindrana lojika amin'ny fanolorana ny fitaovana dia heveriko fa ilaina ny manomboka amin'ny toerana. Noho izany, ny olana:
- Ny fanafihana nokendrena no karazana fanafihana mampidi-doza indrindra, na dia kely aza ny anjarany amin'ny fitambaran'ny fandrahonana.
- Tsy mbola noforonina ny fomba mahomby azo antoka amin'ny fiarovana ny vakim-paritra (na karazana fitaovana toy izany).
- Amin'ny maha-fitsipika, ny fanafihana lasibatra dia mitranga amin'ny dingana maromaro. Ny fandresena ny perimeter dia iray amin'ireo dingana voalohany ihany, izay (azonao atao ny mitora-bato ahy) dia tsy miteraka fahasimbana be amin'ny "niharan'ny herisetra", raha tsy hoe, mazava ho azy, fa fanafihana DEoS (Fandringanana ny serivisy) (encryptors, sns). .). Ny tena "fanaintainana" dia manomboka any aoriana, rehefa manomboka ampiasaina amin'ny fihodinana sy fampivoarana fanafihana "lalina" ireo fananana voasambotra, ary tsy nahatsikaritra izany izahay.
- Koa satria manomboka miaritra fatiantoka tena izy rehefa tonga any amin'ny lasibatry ny fanafihana ny mpanafika (mpizara fampiharana, DBMS, trano fanatobiana data, fitehirizana, singa fotodrafitrasa manan-danja), dia lojika fa ny iray amin'ireo andraikitry ny serivisy fiarovana ny fampahalalana dia ny manapaka ny fanafihana alohan'ny ity tranga mampalahelo ity. Fa raha te hanapaka zavatra iray dia tsy maintsy fantarinao aloha ilay izy. Ary ny haingana, ny tsara kokoa.
- Noho izany, ho an'ny fitantanana ny risika mahomby (izany hoe ny fampihenana ny fahasimbana amin'ny fanafihana nokendrena), dia zava-dehibe ny fananana fitaovana izay hanome TTD kely indrindra (fotoana hamantarana - ny fotoana manomboka amin'ny fotoana idirana ka hatramin'ny fotoana nahitana ny fanafihana). Miankina amin'ny indostria sy ny faritra, io vanim-potoana io dia eo ho eo amin'ny 99 andro any Etazonia, 106 andro any amin'ny faritra EMEA, 172 andro any amin'ny faritra APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
- Inona no atolotry ny tsena?
- "Sandboxes". Fanaraha-maso fisorohana iray hafa, izay lavitra ny idealy. Maro ny teknika mahomby hamantarana sy handosirana ireo boaty fasika na vahaolana amin'ny lisitra fotsy. Mbola misy dingana iray eto ry zalahy avy amin'ny "lafy maizina".
- UEBA (rafitra momba ny fitondran-tena momba ny mombamomba sy ny famantarana ny fiviliana) - raha ny teoria, dia mety hahomby tokoa. Saingy, raha ny hevitro, dia any amin'ny hoavy lavitra izany. Amin'ny fampiharana, mbola lafo be izany, tsy azo ianteherana ary mitaky fotodrafitrasa IT sy fiarovana amin'ny fampahalalam-baovao tena matotra sy maharitra, izay efa manana ny fitaovana rehetra hamokatra angona ho an'ny fanadihadiana momba ny fitondran-tena.
- Ny SIEM dia fitaovana tsara hanaovana fanadihadiana, saingy tsy afaka mahita sy mampiseho zava-baovao sy tany am-boalohany ara-potoana, satria mitovy amin'ny sonia ny fitsipiky ny fifandraisana.
- Vokatr'izany dia ilaina ny fitaovana izay mety:
- niasa tamim-pahombiazana tao anatin'ny toetry ny perimeter efa simba,
- nahita fanafihana nahomby tao anatin'ny fotoana fohy, na inona na inona fitaovana sy fahalemena ampiasaina,
- tsy miankina amin'ny sonia/fitsipika/scripts/politique/profiles sy zavatra hafa static,
- tsy nitaky angon-drakitra be dia be sy ny loharanon'izy ireo ho an'ny famakafakana,
- dia hamela ny fanafihana hamaritana fa tsy ho karazana loza mety hitranga vokatry ny asan'ny "tsara indrindra eto amin'izao tontolo izao, matematika vita amin'ny patanty ary noho izany dia mihidy", izay mitaky fanadihadiana fanampiny, fa saika toy ny hetsika binary - "Eny, voatafika isika" na "Tsia, milamina ny zava-drehetra",
- dia manerana izao rehetra izao, azo tanterahina tsara ary azo ampiharina amin'ny tontolo samihafa, na inona na inona topolojia tambajotra ara-batana sy lojika ampiasaina.
Mifaninana amin’ny andraikitry ny fitaovana toy izao ny antsoina hoe vahaolana amin’ny fitaka. Izany hoe, vahaolana mifototra amin`ny tsara fahiny hevitra ny honeypots, fa amin`ny ambaratonga hafa tanteraka ny fampiharana. Tena mirongatra tokoa io lohahevitra io ankehitriny.
Araka ny valiny Ny vahaolana amin'ny famitahana dia tafiditra ao anatin'ny paikady sy fitaovana TOP 3 izay aroso hampiasaina.
Araka ny tatitra Ny famitahana dia iray amin'ireo toromarika lehibe amin'ny famolavolana vahaolana IDS Intrusion Detection Systems).
Fizarana iray manontolo amin'ity farany , natokana ho an'ny SCADA, dia mifototra amin'ny angon-drakitra avy amin'ny iray amin'ireo mpitarika ao amin'ity tsena ity, TrapX Security (Israel), ny vahaolana izay niasa tao amin'ny faritra fitsapana anay nandritra ny herintaona.
Ny TrapX Deception Grid dia mamela anao handany vola sy hampiasana IDS miparitaka be eo afovoany, tsy mampitombo ny enta-mavesatry ny fahazoan-dàlana sy ny fepetra takiana amin'ny loharanon-karena. Raha ny marina, ny TrapX dia mpanamboatra izay ahafahanao mamorona avy amin'ireo singa ao amin'ny fotodrafitrasa IT misy mekanika lehibe iray hamantarana ny fanafihana amin'ny ambaratongan'ny orinasa iray, karazana tambajotra "fanairana".
Vahaolana Structure
Ao amin'ny laboratoara dia mandalina sy mitsapa vokatra vaovao isan-karazany izahay amin'ny sehatry ny fiarovana IT. Amin'izao fotoana izao, mpizara virtoaly 50 eo ho eo no apetraka eto, ao anatin'izany ny singa TrapX Deception Grid.
Noho izany, avy any ambony ka hatrany ambany:
- TSOC (TrapX Security Operation Console) no atidohan'ny rafitra. Ity no console fitantanana foibe izay anaovana ny fanamafisana, ny fametrahana ny vahaolana ary ny asa rehetra isan'andro. Satria serivisy tranonkala ity, dia azo apetraka na aiza na aiza - amin'ny vakim-paritra, amin'ny rahona na amin'ny mpamatsy MSSP.
- Ny TrapX Appliance (TSA) dia mpizara virtoaly izay ifandraisantsika, amin'ny fampiasana ny seranan-tsambo, ireo zana-tsipìka tiantsika horakofana amin'ny fanaraha-maso. Ary koa, "miaina" eto daholo ny sensor-tambajotsika rehetra.
Ny laboratoara dia manana TSA iray napetraka (mwsapp1), fa raha ny tena izy dia mety ho maro. Mety ilaina izany amin'ny tambajotra lehibe izay tsy misy fifandraisana L2 eo anelanelan'ny fizarana (ohatra mahazatra dia ny "Fihazonana sy ny sampana" na ny "Banky foibe sy ny sampana") na raha manana sehatra mitoka-monina ny tambajotra, ohatra, rafitra fanaraha-maso ny fizotran'ny mandeha ho azy. Any amin'ny sampana/sehatra tsirairay toy izany, azonao atao ny mametraka ny TSA anao manokana ary mampifandray izany amin'ny TSOC tokana, izay handrafetana ny fampahalalana rehetra. Ity maritrano ity dia ahafahanao manangana rafitra fanaraha-maso zaraina nefa tsy mila fanavaozana tanteraka ny tambajotra na manakorontana ny fizarana efa misy.
Ary koa, afaka mandefa dika mitovy amin'ny fifamoivoizana mivoaka amin'ny TSA amin'ny alàlan'ny TAP/SPAN izahay. Raha mahita fifandraisana amin'ny botnets fantatra, mpizara baiko sy fanaraha-maso, na fivoriana TOR isika, dia hahazo ny valiny ao amin'ny console ihany koa. Ny Network Intelligence Sensor (NIS) no tompon'andraikitra amin'izany. Ao amin'ny tontolo iainantsika, ity fampiasa ity dia ampiharina amin'ny firewall, noho izany dia tsy nampiasainay teto.
- Application Traps (Full OS) - tantely nentim-paharazana mifototra amin'ny mpizara Windows. Tsy mila maro amin'izy ireo ianao, satria ny tanjon'ireo mpizara ireo dia ny hanome serivisy IT amin'ny sosona sensor manaraka na hamantatra ny fanafihana amin'ny rindranasa fandraharahana izay mety apetraka amin'ny tontolo Windows. Manana mpizara iray napetraka ao amin'ny laboratoara izahay (FOS01)
- Ny fandrika nalain-tahaka no singa fototra amin'ny vahaolana, izay ahafahantsika mampiasa milina virtoaly tokana, mamorona “tanim-boaloboka” be dia be ho an'ny mpanafika ary mahavoky ny tambajotran'ny orinasa, ny vlans rehetra, miaraka amin'ny sensor-tsika. Ny mpanafika dia mahita izany sensor izany, na mpampiantrano phantom, ho toy ny PC Windows tena izy na mpizara, mpizara Linux na fitaovana hafa izay tapa-kevitra ny hampiseho azy.
Ho tombontsoan'ny orinasa sy ho an'ny te hahafanta-javatra, dia nametraka “amboarin'ny zavaboary tsirairay” izahay - Windows PC sy servers amin'ny dikan-teny isan-karazany, Linux servers, ATM misy Windows embedded, SWIFT Web Access, mpanonta tambajotra, Cisco. switch, fakan-tsary Axie IP, MacBook, PLC -fitaovana ary na takamoa marani-tsaina aza. Miisa 13 ny fitambarany. Amin'ny ankapobeny, ny mpivarotra dia manoro hevitra ny fametrahana sensor toy izany amin'ny 10% farafahakeliny amin'ny isan'ny mpampiantrano tena izy. Ny bara ambony dia ny toerana misy ny adiresy.Ny teboka iray tena manan-danja dia ny hoe ny mpampiantrano tsirairay toy izany dia tsy milina virtoaly feno izay mitaky loharano sy fahazoan-dàlana. Ity dia fandokoana, emulation, dingana iray ao amin'ny TSA, izay misy marika maromaro sy adiresy IP. Noho izany, miaraka amin'ny fanampian'ny TSA iray ihany, dia afaka mahavoky ny tambajotra amin'ny mpampiantrano phantom an-jatony toy izany isika, izay hiasa toy ny sensor ao amin'ny rafitra fanairana. Io teknôlôjia io no ahafahana manenjana ny foto-kevitry ny honeypot amin'ny lafiny rehetra amin'ny orinasa lehibe mizara.
Amin'ny fomba fijerin'ny mpanafika dia manintona ireo mpampiantrano ireo satria misy vulnerability ary toa mora lasibatra. Ny mpanafika dia mahita serivisy amin'ireo mpampiantrano ireo ary afaka mifandray amin'izy ireo ary manafika azy ireo amin'ny fampiasana fitaovana sy protocole mahazatra (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, sns.). Saingy tsy azo atao ny mampiasa ireo mpampiantrano ireo hamolavola fanafihana na hampandeha ny kaody anao manokana.
- Ny fampifangaroana ireo teknolojia roa ireo (FullOS sy fandrika alaina) dia ahafahantsika manatratra ny mety hisian'ny statistika avo lenta fa na ho ela na ho haingana dia hisy mpanafika hifanehatra amin'ny singa sasany amin'ny tambajotra famantarana antsika. Ahoana anefa no ahazoantsika antoka fa efa ho 100% izany mety hitranga?
Miditra amin'ny ady ireo antsoina hoe famantarana famitahana. Misaotra azy ireo, afaka mampiditra ny PC sy ny mpizara rehetra misy an'ny orinasa ao amin'ny IDS nozarainay izahay. Ny mari-pamantarana dia apetraka amin'ny PC tena izy. Zava-dehibe ny mahatakatra fa ny famantarana dia tsy mpandraharaha mandany loharanon-karena ary mety hiteraka fifandirana. Ny famantarana dia singa fampahalalam-baovao passive, karazana "mofo" ho an'ny lafiny manafika izay mitarika azy ao anaty fandrika. Ohatra, ny kapila tamba-jotra voasokajy, tsoratadidy ho an'ny mpitantana tranonkala sandoka ao amin'ny navigateur ary voatahiry ny tenimiafina ho azy ireo, voatahiry ny ssh/rdp/winscp sessions, ny fandrika misy antsika amin'ny fanehoan-kevitra ao amin'ny rakitra mpampiantrano, ny tenimiafina voatahiry ao amin'ny fitadidiana, ny fahazoan'ny mpampiasa tsy misy, ny birao rakitra, fanokafana izay hanosika ny rafitra, sy ny maro hafa. Noho izany, mametraka ny mpanafika amin'ny tontolo mikorontana isika, tototry ny vectors fanafihana izay tsy tena mampidi-doza ho antsika, fa ny mifanohitra amin'izany. Ary tsy manana fomba hamaritana hoe aiza no marina ny vaovao ary aiza no diso. Noho izany, tsy vitan'ny hoe miantoka ny fisavana haingana ny fanafihana iray izahay, fa koa mampiadana ny fivoarany.
Ohatra iray amin'ny famoronana fandrika tambajotra sy fametrahana marika. Interface tsara ary tsy misy fanitsiana manual ny configs, scripts, sns.
Ao amin'ny tontolo iainantsika, dia nanamboatra sy nametraka marika maromaro toy izany izahay tamin'ny FOS01 mihazakazaka Windows Server 2012R2 ary PC fitsapana mandeha Windows 7. Ny RDP dia mandeha amin'ireo milina ireo ary "manantona" azy ireo tsindraindray ao amin'ny DMZ, izay misy ny sensory maromaro. (fandrika alaina) dia aseho ihany koa. Noho izany dia mahazo tranga tsy mitsaha-mitombo isika, mazava ho azy.
Noho izany, ireto misy antontan'isa haingana ho an'ny taona:
56 - tranga voarakitra,
2 - hita ny mpampiantrano loharanon'ny fanafihana.
Sarintany fanafihana azo tsindriana, azo kitihina
Mandritra izany fotoana izany, ny vahaolana dia tsy miteraka karazana mega-log na fahana hetsika, izay maharitra ela ny fahazoana azy. Ny vahaolana kosa dia manasokajy hetsika amin'ny karazany avy ary mamela ny ekipan'ny fiarovana ny vaovao hifantoka indrindra amin'ireo mampidi-doza indrindra - rehefa manandrana manangana fotoam-pifehezana (fifandraisana) na rehefa miseho ny entana mimari-droa (infection) ny mpanafika.
Ny fampahalalana rehetra momba ny hetsika dia azo vakiana ary aseho, araka ny hevitro, amin'ny endrika mora azo na dia ho an'ny mpampiasa manana fahalalana fototra eo amin'ny sehatry ny fiarovana ny vaovao aza.
Ny ankamaroan'ny zava-nitranga voarakitra dia fiezahana hijery ny mpampiantrano anay na ny fifandraisana tokana.
Na manandrana manakorontana ny tenimiafina ho an'ny RDP
Saingy nisy ihany koa ny tranga mahaliana kokoa, indrindra rehefa "nahay" naminavina ny tenimiafina ho an'ny RDP ny mpanafika ary nahazo ny fidirana amin'ny tambajotra eo an-toerana.
Ny mpanafika iray dia manandrana manatanteraka kaody mampiasa psexec.
Nahita fivoriana voavonjy ilay mpanafika, izay nitarika azy ho ao anaty fandrika amin'ny endrika mpizara Linux. Avy hatrany taorian'ny fampifandraisana, miaraka amin'ny andiana baiko iray efa nomanina, dia nanandrana nandrava ny rakitra rehetra sy ny fari-piadidiana mifandraika amin'izany.
Ny mpanafika iray dia manandrana manao tsindrona SQL amin'ny honeypot izay maka tahaka ny SWIFT Web Access.
Ho fanampin'ny fanafihana "voajanahary" toy izany, dia nanao fitsapana manokana ihany koa izahay. Ny iray amin'ireo miharihary indrindra dia ny fitsapana ny fotoana hahitana ny kankana tambajotra amin'ny tambajotra. Mba hanaovana izany dia nampiasa fitaovana iray avy amin'ny GuardiCore antsoina izahay . Ity dia kankana tamba-jotra afaka maka an-keriny Windows sy Linux, saingy tsy misy "payload".
Nametraka foibem-baiko teo an-toerana izahay, nandefa ny kankana voalohany tamin'ny milina iray, ary nahazo ny fanairana voalohany tao amin'ny console TrapX tao anatin'ny iray minitra sy sasany latsaka. TTD 90 segondra mifanohitra amin'ny 106 andro amin'ny antsalany...
Noho ny fahafahana miditra amin'ny sokajy vahaolana hafa dia afaka miala amin'ny fandrahonana haingana fotsiny isika ka mamaly azy ireo ho azy.
Ohatra, ny fampidirana amin'ny rafitra NAC (Network Access Control) na amin'ny CarbonBlack dia ahafahanao manapaka ho azy ireo PC simba amin'ny tambajotra.
Ny fampidirana amin'ny sandboxes dia ahafahan'ny rakitra voarohirohy amin'ny fanafihana alefa ho azy ho an'ny fanadihadiana.
Fampidirana McAfee
Ny vahaolana ihany koa dia manana ny rafitra fampifandraisana hetsika ao anatiny.
Saingy tsy afa-po tamin'ny fahaizany izahay, ka nampidirinay tamin'ny HP ArcSight izany.
Manampy an'izao tontolo izao hiatrika ny fandrahonana hita ny rafitra fanaovana tapakila anatiny.
Koa satria ny vahaolana dia novolavolaina "hatramin'ny voalohany" ho an'ny filan'ny sampan-draharaham-panjakana sy ny ampahany lehibe amin'ny orinasa, dia manatanteraka ho azy ny modely fidirana mifototra amin'ny anjara asa, ny fampidirana miaraka amin'ny AD, rafitra misy tatitra sy trigger (fampandrenesana hetsika), orkestra ho an'ny rafitra fitazonana lehibe na mpamatsy MSSP.
Raha tokony hamerina
Raha misy rafitra fanaraha-maso toy izany, izay, amin'ny teny ara-panoharana, manarona ny lamosintsika, dia miaraka amin'ny marimaritra iraisana amin'ny perimeter dia vao manomboka ny zava-drehetra. Ny zava-dehibe indrindra dia ny fisian'ny tena fahafahana hiatrehana ireo trangan-javatra momba ny fiarovana ny fampahalalam-baovao, fa tsy hiatrehana ny vokany.
Source: www.habr.com