(nga mihi ki a Sergey G. Brester mo te whakaaro taitara )
E nga hoa mahi, ko te kaupapa o tenei tuhinga ko te whakapuaki i nga wheako o te mahi whakamatautau mo te tau mo tetahi akomanga hou o nga otinga IDS i runga i nga hangarau tinihanga.
Kia mau tonu ai te hononga arorau o te whakaaturanga o nga rauemi, ki taku whakaaro me timata ki te waahi. Na, ko te raruraru:
- Ko nga whakaeke i whaaia te momo whakaeke tino kino, ahakoa he iti to ratou wahanga i roto i te katoa o nga whakatuma.
- Karekau ano he huarahi whai hua hei tiaki i te paenga (he huinga ranei o aua momo tikanga) i hangaia.
- Hei tikanga, ko nga whakaeke kua whakaritea i roto i nga waahanga maha. Ko te wikitoria i te waahi ko tetahi noa o nga waahanga tuatahi, e (ka taea e koe te maka kohatu ki ahau) kaore e nui te kino o te "painga", mena, mena, he whakaekenga DEoS (Destruction of service) (whakamuna, etc. .). Ko te tino "mamae" ka timata i muri mai, i te wa ka timata nga taonga kua mau ki te whakamahi mo te pivoting me te whakawhanake i te whakaeke "hohonu", a kaore matou i kite i tenei.
- I te mea ka timata tatou ki te tino mate i te wa ka tae atu nga kaiwhaiwhai ki nga whaainga o te whakaeke (kaitono tono, DBMS, whare putunga raraunga, whare putunga, huānga hanganga tino nui), he mea tika ko tetahi o nga mahi a te ratonga haumaru korero ko te aukati i nga whakaeke i mua tenei huihuinga pouri. Engari ki te haukoti i tetahi mea, me mohio koe i te tuatahi. A ko te tere, ko te pai ake.
- No reira, mo te whakahaerenga morearea angitu (ara, te whakaheke i te kino mai i nga whakaeke kua whaaia), he mea nui kia mau nga taputapu ka iti te TTD (te wa ki te kite - te wa mai i te wa o te urunga ki te wa ka kitea te whakaeke). I runga i te ahumahi me te rohe, ko tenei waa he 99 ra i te US, 106 ra i te rohe EMEA, 172 ra i te rohe APAC (M-Trends 2017, He Tirohanga Mai i nga Raina o mua, Mandiant).
- He aha ta te maakete e tuku?
- "Nga pouaka kirikiri". Ko tetahi atu mana aukati, kei tawhiti atu i te pai. He maha nga tikanga whai hua mo te kimi me te karo i nga pouaka kirikiri, i nga otinga whakamaarama ranei. Ko nga taangata mai i te "taha pouri" kei mua tonu i konei.
- UEBA (nga punaha mo te whakaatu i nga whanonga me te tautuhi i nga rereke) - i roto i te ariā, ka tino whai hua. Engari, ki taku whakaaro, he waahi tenei kei te heke mai. I roto i nga mahi, he tino utu nui tenei, he kore pono, me te tino pakari me te pumau o te IT me nga hanganga haumaru korero, kei a ia nga taputapu katoa ka whakaputa raraunga mo te tātari whanonga.
- Ko te SIEM he taputapu pai mo te tirotiro, engari kaore e taea e ia te kite me te whakaatu i tetahi mea hou me te mea taketake i te wa tika, na te mea he rite nga ture honohono ki nga hainatanga.
- Ko te mutunga, he hiahia mo tetahi taputapu e:
- i pai te mahi i roto i nga ahuatanga o te waahi kua taupatupatuhia,
- i kitea nga whakaeke angitu i roto i te waa tino tata, ahakoa nga taputapu me nga whakaraeraetanga i whakamahia,
- kaore i whakawhirinaki ki nga hainatanga / ture / tuhinga / kaupapa here / tohu me etahi atu mea pateko,
- kaore i hiahiatia he raraunga nui me o raatau puna mo te tātari,
- ka whakaaehia kia tautuhia nga whakaeke ehara i te mea he momo tohu morearea na runga i nga mahi a "te mea pai rawa atu o te ao, kua araihia, na reira ka kati te pangarau", e hiahia ana ki te whakatewhatewha atu, engari ka rite ki te huihuinga rua - "Ae, kei te whakaekehia matou" ranei "Kao, kei te pai nga mea katoa",
- he ao katoa, he pai te tauine me te taea ki te whakatinana i roto i tetahi taiao rerekee, ahakoa te ahua o te topology whatunga tinana me te arorau i whakamahia.
Ko nga mea e kiia nei ko nga otinga tinihanga kei te whakataetae inaianei mo te mahi o taua taputapu. Arā, ko nga otinga e pa ana ki te ariā tawhito pai o nga honeypots, engari me te taumata tino rereke o te whakatinanatanga. Ko tenei kaupapa kei te piki haere inaianei.
Hei ki nga hua Ko nga otinga tinihanga kei roto i nga rautaki TOP 3 me nga taputapu e taunaki ana kia whakamahia.
E ai ki te ripoata Ko te tinihanga tetahi o nga huarahi matua mo te whanaketanga o nga IDS Intrusion Detection Systems) otinga.
He waahanga katoa o muri , i whakatapua ki te SCADA, i runga i nga raraunga mai i tetahi o nga rangatira o tenei maakete, TrapX Security (Israel), ko te otinga e mahi ana i roto i ta maatau waahi whakamatautau mo te tau.
Ka taea e TrapX Deception Grid ki a koe te utu me te whakahaere i nga IDS kua tohatohahia ki waenganui, me te kore e piki ake te kawenga raihana me nga whakaritenga mo nga rauemi taputapu. Ko te mea pono, ko TrapX he kaihanga e taea ai e koe te hanga mai i nga waahanga o te hanganga IT o naianei tetahi tikanga nui mo te kite i nga whakaeke i runga i te umanga-whanui, he momo whatunga tohatoha "whakaoho."
Hanganga Otinga
I roto i ta maatau taiwhanga ka ako tonu me te whakamatautau i nga momo hua hou i roto i te waahi o te haumaru IT. I tenei wa, tata ki te 50 nga kaitoro mariko rereke kua tukuna ki konei, tae atu ki nga waahanga TrapX Deception Grid.
Na, mai i runga ki raro:
- Ko TSOC (TrapX Security Operation Console) te roro o te punaha. Koinei te papatohu whakahaere matua e whakahaerea ai te whirihoranga, te horahanga o te otinga me nga mahi katoa o ia ra. I te mea he ratonga tukutuku tenei, ka taea te hora ki hea - i te paenga, i te kapua, i te kaiwhakarato MSSP ranei.
- Ko te TrapX Appliance (TSA) he tūmau mariko e hono ai matou, ma te whakamahi i te tauranga o te kātua, aua kupenga iti e hiahia ana matou ki te hipoki ki te aroturuki. I tua atu, ko o tatou pūoko whatunga katoa "e ora" ana i konei.
Ko ta matou taiwhanga he TSA kotahi kua tukuna (mwsapp1), engari he maha tonu pea. Ka tika pea tenei i roto i nga whatunga nui kaore he hononga L2 i waenga i nga waahanga (he tauira angamaheni ko te "Holding and subsidiaries" ranei "Bank head office and branches") ranei mena kua wehea e te whatunga nga waahanga, hei tauira, nga punaha whakahaere whakahaere aunoa. I ia peka/wahanga pera, ka taea e koe te toha i to ake TSA me te hono atu ki te TSOC kotahi, kei reira nga korero katoa ka tukatutuhia. Ma tenei hoahoanga ka taea e koe te hanga i nga punaha aroturuki toha me te kore e hiahia ki te whakatikatika i te whatunga, ki te whakakore ranei i nga waahanga o mua.
Ano, ka taea e matou te tuku kape o nga waka puta atu ki a TSA ma te TAP/SPAN. Mena ka kitea e matou he hononga ki nga botnets e mohiotia ana, nga kaiwhakarato whakahau me te whakahaere, me nga waahi TOR ranei, ka whiwhi ano matou i te hua i roto i te papatohu. Ko te Network Intelligence Sensor (NIS) te kawenga mo tenei. I roto i to maatau taiao, ka whakatinanahia tenei mahi ki runga i te papangaahi, no reira kaore matou i whakamahi i konei.
- Nga Rore Taupānga (Full OS) – nga honeypots tuku iho i runga i nga tūmau Windows. Kaore koe e hiahia kia maha o raatau, na te mea ko te kaupapa matua o enei tuunga ko te whakarato ratonga IT ki te paparanga o muri o nga pukoro, ki te kite ranei i nga whakaeke i runga i nga tono pakihi ka tukuna ki roto i te taiao Windows. Kua whakauruhia e matou tetahi o nga tūmau pera i roto i ta maatau taiwhanga (FOS01)
- Ko nga mahanga kua peehia te waahanga matua o te otinga, e taea ai e tatou, ma te whakamahi i tetahi miihini mariko kotahi, ki te hanga i tetahi "maara maina" tino nui mo nga kaiwhaiwhai me te whakakii i te whatunga hinonga, ona vlans katoa, me o tatou puoro. Ka kite te kaitukino i taua pukoro, he kaihautu phantom ranei, he tino PC Windows, he tūmau ranei, he tūmau Linux me etahi atu taputapu ka whakatauhia e matou ki te whakaatu ki a ia.
Mo te pai o te pakihi me te pai o te hiahia, ka tukuna e matou "he takirua o ia mea hanga" - Windows PC me nga tūmau o nga momo momo putanga, nga tūmau Linux, he ATM me te Windows whakauru, SWIFT Tukutuku Uru, he kaituhi whatunga, he Cisco whakakā, he kāmera IP Tuaka, he MacBook, PLC -pūrere me te ara he rama rama atamai. He 13 nga kaihautu katoa. I te nuinga o te waa, ka kii te kaihoko ki te tuku i nga pukoro penei i te iti rawa o te 10% o te maha o nga kaihautu tuuturu. Ko te pae o runga ko te waahi wahitau e waatea ana.Ko tetahi mea tino nui ko ia kaihautu ehara i te miihini mariko katoa e hiahia ana ki nga rauemi me nga raihana. He whakapohehe tenei, he tauira, kotahi te tukanga i runga i te TSA, he huinga tawhā me tetahi wahitau IP. Na reira, ma te awhina o te TSA kotahi, ka taea e tatou te whakakii i te whatunga me nga rau o nga ope phantom penei, ka mahi hei puoro i roto i te punaha whakaoho. Ma tenei hangarau e taea ai te whakatau i te kaupapa o te honeypot puta noa i tetahi hinonga toha nui.
Mai i te tirohanga a te kaitukino, he ataahua enei kaihautu na te mea kei a ratou nga whakaraeraetanga me te ahua he ngawari noa nga whaainga. Ka kite te kaiwhaiwhai i nga ratonga i runga i enei kaihautu ka taea e ia te taunekeneke ki a raatau me te whakaeke i a raatau ma te whakamahi i nga taputapu me nga tikanga paerewa (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, etc.). Engari kaore e taea te whakamahi i enei kaihautu ki te whakawhanake i te whakaeke, ki te whakahaere i to ake waehere.
- Ko te whakakotahitanga o enei hangarau e rua (FullOS me nga mahanga kua peehia) ka taea e tatou te whakatutuki i te nui o te tatauranga tauanga ka tupono tetahi kaitukino ki etahi waahanga o to tatou whatunga tohu. Engari me pehea e mohio ai kei te tata ki te 100% tenei tūponotanga?
Ko nga mea e kiia nei ko nga tohu tinihanga ka uru ki te pakanga. He mihi ki a raatau, ka taea e taatau te whakauru i nga PC katoa me nga kaitoro o te hinonga ki roto i a maatau IDS kua tohatohahia. Ka tukuna nga tohu ki runga i nga PC tuturu o nga kaiwhakamahi. He mea nui kia mohio ko nga tohu ehara i nga kaihoko ka pau i nga rawa, ka puta he raruraru. Ko nga tohu he huānga korero hāngū, he momo "paraoa" mo te taha whakaeke e arahi ana ki te mahanga. Hei tauira, ko nga puku whatunga kua mapi, tohu tohu ki nga kaiwhakahaere paetukutuku rūpahu i roto i te tirotiro me te penapena kupuhipa mo ratou, kua tiakina nga huihuinga ssh/rdp/winscp, a maatau mahanga me nga korero i roto i nga konae kaihautu, nga kupuhipa kua tiakina ki te mahara, nga tohu tohu o nga kaiwhakamahi kore, tari ko nga konae, ko te whakatuwheratanga ka tiimata te punaha, me te maha atu. No reira, ka tuuhia e matou te kaitukino ki roto i te taiao pohehe, kua kikii i nga vectors whakaeke e kore e tino whakatuma ki a matou, engari ko te ritenga ke. A, karekau he huarahi ki a ia ki te whakatau kei hea te pono o nga korero, kei hea hoki he teka. No reira, ehara i te mea ka tere te kite i te whakaekenga, engari ka tino whakahekehia te ahunga whakamua.
He tauira mo te hanga mahanga whatunga me te whakarite tohu. Atanga hoa me te kore whakatika a-ringa o nga whirihora, tuhinga tuhi, aha atu.
I roto i to maatau taiao, i whirihorahia e matou etahi momo tohu pera i runga i te FOS01 e whakahaere ana i te Windows Server 2012R2 me tetahi PC whakamatautau e whakahaere ana i te Windows 7. Kei te rere te RDP ki runga i enei miihini, a ka "whakairi" matou i etahi wa i roto i te DMZ, kei reira etahi o o maatau puoro. (mahanga emulated) ka whakaatuhia hoki. Na ka whiwhi tatou i te rere tonu o nga aitua, te tikanga ki te korero.
Na, koinei etahi tatauranga tere mo te tau:
56 – nga maiki kua tuhia,
2 - ka kitea nga kaihautu puna whakaeke.
Tauwhitiwhiti, mahere whakaeke ka taea te panui
I te wa ano, kaore te otinga e whakaputa i etahi momo mega-log me te whangai takahanga, he roa te wa ki te mohio. Engari, ko te otinga ake ka whakarōpū i nga huihuinga ma o raatau momo ka taea e te roopu haumarutanga korero te aro nui ki nga mea tino kino - ka ngana te kaitukino ki te whakaara i nga waa whakahaere (whakawhitiwhiti) ka puta mai ranei nga utu-rua (mate) i roto i a maatau waka.
Ko nga korero katoa e pa ana ki nga huihuinga ka panuihia, ka whakaatuhia, ki taku whakaaro, i roto i te ahua ngawari ki te mohio ahakoa mo te kaiwhakamahi whai matauranga taketake i te waahi o te haumaru korero.
Ko te nuinga o nga aitua kua tuhia he ngana ki te matawai i o maatau kaihautu, hononga kotahi ranei.
Ka ngana ranei ki te whakakore i nga kupuhipa mo RDP
Engari he maha atu ano nga keehi, ina koa ka "whakahaere" nga kaiwhaiwhai ki te tohu i te kupuhipa mo te RDP me te uru atu ki te whatunga rohe.
Ka ngana tetahi kaitukino ki te mahi waehere ma te whakamahi i te psexec.
I kitea e te kaiwhaiwhai he huihuinga kua tiakina, i arahina ia ki roto i te mahanga i te ahua o te tūmau Linux. I muri tonu mai i te hono, me tetahi huinga whakahau kua oti te whakarite, ka ngana ki te whakangaro i nga konae raarangi me nga taurangi punaha e pa ana.
Ka ngana tetahi kaitukino ki te mahi i te werohanga SQL i runga i te honeypot e whai ana i te Uru Tukutuku SWIFT.
I tua atu i enei whakaeke "taiao", i whakahaerehia ano e matou etahi o a matou ake whakamatautau. Ko tetahi o nga tino whakakitenga ko te whakamatautau i te wa kitea o te kutukutu kupenga i runga i te whatunga. Hei mahi i tenei i whakamahia e matou he taputapu mai i a GuardiCore i kiia . He kutukutu whatunga tenei ka taea te hopu i a Windows me Linux, engari kaore he "utua".
I tukuna e matou he pokapū whakahau o te rohe, i whakarewahia te tauira tuatahi o te noke ki runga i tetahi o nga miihini, a ka whiwhi i te matohi tuatahi i roto i te papatohu TrapX iti iho i te meneti me te hawhe. TTD 90 hēkona ki te 106 rā te toharite...
He mihi ki te kaha ki te whakauru ki etahi atu momo rongoa, ka taea e tatou te neke mai i te kite tere i nga whakatuma ki te whakautu aunoa ki a raatau.
Hei tauira, ko te whakaurunga ki nga punaha NAC (Whakahaere Whakaaetanga Whatunga) me CarbonBlack ranei ka taea e koe te momotu aunoa i nga PC kua taupatupatuhia mai i te whatunga.
Ko te whakauru ki nga pouaka kirikiri ka taea te tuku aunoa i nga konae e uru ana ki te whakaeke mo te tātari.
whakauru McAfee
Kei roto ano i te otinga tana ake punaha honohono takahanga.
Engari kaore matou i makona ki ona kaha, no reira i whakauruhia e matou ki te HP ArcSight.
Ko te punaha tikiti kua hangaia hei awhina i te ao katoa ki te aro ki nga riri kua kitea.
I te mea i whakawhanakehia te otinga "mai i te timatanga" mo nga hiahia o nga tari a te kawanatanga me tetahi waahanga umanga nui, ka whakatinanahia e ia he tauira uru mai i runga i nga mahi, te whakauru ki te AD, he punaha kua whakawhanakehia o nga purongo me nga whakaoho (whakatupato kaupapa), te whakarite mo te nga hanganga pupuri nui, nga kaiwhakarato MSSP ranei.
Engari i te tīmatanga
Mena kei reira tetahi punaha aroturuki, e kii ana, e hipoki ana i o tatou tuara, katahi ka timata nga mea katoa ma te taupatupatu o te waahi. Ko te mea nui ko te tino whai waahi ki te whakatutuki i nga maiki haumarutanga korero, me te kore e pa ki o raatau hua.
Source: will.com