Аюулгүй байдлын хэрэгсэл болох нүх - 2, эсвэл "амьд уур хилэн дээр" APT-г хэрхэн барих вэ

(Сергей Г. Брестерт гарчгийн санаа өгсөнд баярлалаа sebres)

Хамтран ажиллагсад аа, энэ нийтлэлийн зорилго нь хууран мэхлэлт технологид суурилсан IDS шийдлүүдийн шинэ ангиллын жилийн турш туршилтын ажиллагааны туршлагаас хуваалцах явдал юм.

Материалын танилцуулгын логик уялдаа холбоог хадгалахын тулд байрнаас эхлэх шаардлагатай гэж би бодож байна. Тэгэхээр асуудал:

1. Зорилтот халдлага нь нийт аюулын тоонд эзлэх хувь бага ч гэсэн хамгийн аюултай халдлага юм.
2. Периметрийг (эсвэл ийм хэрэгслийн багц) хамгаалах баталгаатай үр дүнтэй арга хэрэгслийг хараахан зохион бүтээгээгүй байна.
3. Дүрмээр бол зорилтот халдлага хэд хэдэн үе шаттайгаар явагддаг. Периметрийг даван туулах нь эхний үе шатуудын зөвхөн нэг нь (та над руу чулуу шидэж болно) "хохирогч"-д тийм ч их хохирол учруулахгүй, хэрэв энэ нь мэдээжийн хэрэг DEoS (үйлчилгээг устгах) халдлага (шифрлэгч гэх мэт) биш бол. .). Жинхэнэ "өвдөлт" нь хожим нь баригдсан хөрөнгийг "гүнзгий" довтолгоонд ашиглаж эхлэхэд эхэлдэг бөгөөд бид үүнийг анзаарсангүй.
4. Халдагчид эцсийн эцэст халдлагын зорилгод (програмын сервер, DBMS, мэдээллийн агуулах, хадгалах газар, дэд бүтцийн чухал элементүүд) хүрэх үед бид бодит хохирол амсаж эхэлдэг тул мэдээллийн аюулгүй байдлын үйлчилгээний нэг үүрэг бол халдлагыг устгахаас өмнө таслан зогсоох явдал юм. энэ гунигтай үйл явдал. Гэхдээ ямар нэг зүйлийг тасалдуулахын тулд эхлээд түүний талаар олж мэдэх хэрэгтэй. Мөн эрт байх тусмаа сайн.
5. Үүний дагуу эрсдэлийг амжилттай удирдахын тулд (өөрөөр хэлбэл зорилтот халдлагаас учирсан хохирлыг бууруулах) хамгийн бага TTD (илрүүлэх хугацаа - халдлагаас эхлээд халдлагыг илрүүлэх хүртэлх хугацаа) хангах хэрэгслүүдтэй байх нь чухал юм. Үйлдвэр, бүс нутгаас хамааран энэ хугацаа нь АНУ-д дунджаар 99 хоног, EMEA бүс нутагт 106 хоног, APAC бүсэд 172 хоног байна (M-Trends 2017, A View From the Front Lines, Mandiant).
6. Зах зээл нь юу санал болгодог вэ?
   • "Элсэн хайрцаг". Өөр нэг урьдчилан сэргийлэх хяналт нь хамгийн тохиромжтой зүйл биш юм. Хамгаалагдсан хязгаарлагдмал орчинд эсвэл зөвшөөрөгдсөн жагсаалтад оруулах шийдлүүдийг илрүүлэх, тойрч гарах олон үр дүнтэй аргууд байдаг. “Харанхуй талын” залуус энд нэг алхам урагшилсаар л байна.
   • UEBA (зан төлөвийг тодорхойлох, хазайлтыг тодорхойлох систем) - онолын хувьд маш үр дүнтэй байж болно. Гэхдээ миний бодлоор энэ бол алс холын ирээдүйд юм. Практикт энэ нь маш үнэтэй, найдваргүй хэвээр байгаа бөгөөд маш боловсронгуй, тогтвортой мэдээллийн технологи, мэдээллийн аюулгүй байдлын дэд бүтцийг шаарддаг бөгөөд энэ нь зан үйлийн дүн шинжилгээ хийх өгөгдлийг бий болгох бүх хэрэгсэлтэй болсон.
   • SIEM нь мөрдөн байцаалтын сайн хэрэгсэл боловч корреляцийн дүрэм нь гарын үсэгтэй ижил байдаг тул шинэ, анхны зүйлийг цаг тухайд нь харж, харуулах боломжгүй юм.

7. Үүний үр дүнд дараахь зүйлийг хийх хэрэгсэл хэрэгтэй болно.
   • аль хэдийн эвдэрсэн периметрийн нөхцөлд амжилттай ажилласан,
   • ашигласан хэрэгсэл, эмзэг байдлаас үл хамааран бодит цаг хугацаанд амжилттай халдлагыг илрүүлсэн;
   • гарын үсэг / дүрэм / скрипт / бодлого / профайл болон бусад статик зүйлээс хамааралгүй,
   • дүн шинжилгээ хийхэд их хэмжээний өгөгдөл, тэдгээрийн эх сурвалжийг шаарддаггүй;
   • Энэ нь халдлагыг нэмэлт судалгаа шаарддаг “дэлхийн шилдэг, патентлагдсан, тиймээс хаалттай математик”-ийн ажлын үр дүнд бий болсон эрсдэлийн үнэлгээ биш, харин хоёртын үйл явдал гэж тодорхойлох боломжийг олгоно. биднийг дайрч байна" эсвэл "Үгүй ээ, бүх зүйл зүгээр",
   • Ашигласан физик болон логик сүлжээний топологиос үл хамааран бүх нийтийн, үр ашигтай масштабтай, ямар ч гетероген орчинд хэрэгжүүлэх боломжтой байсан.

Хууран мэхлэлтийн шийдэл гэж нэрлэгддэг арга хэрэгсэл нь одоо ийм хэрэгслийн дүрийн төлөө өрсөлдөж байна. Өөрөөр хэлбэл, зөгийн балны тухай хуучин сайн ойлголт дээр суурилсан шийдлүүд, гэхдээ огт өөр түвшний хэрэгжилт. Энэ сэдэв одоо өсөх нь гарцаагүй.

Үр дүнгийн дагуу Gartner Security & Risc удирдлагын дээд хэмжээний уулзалт 2017 Хууран мэхлэлтийн шийдлүүд нь ашиглахыг зөвлөж буй ТОП 3 стратеги, арга хэрэгсэлд багтсан болно.

Мэдээллийн дагуу TAG Кибер аюулгүй байдлын жилийн 2017 Хууран мэхлэлт нь IDS халдлагыг илрүүлэх систем) шийдлийг хөгжүүлэх үндсэн чиглэлүүдийн нэг юм.

Сүүлчийн бүхэл бүтэн хэсэг Cisco мэдээллийн технологийн аюулгүй байдлын тайлан, SCADA-д зориулагдсан нь энэ зах зээлийн тэргүүлэгчдийн нэг TrapX Security (Израиль)-ийн мэдээлэлд үндэслэсэн бөгөөд шийдэл нь манай туршилтын бүсэд нэг жилийн турш ажиллаж байна.

TrapX Deception Grid нь лицензийн ачаалал болон техник хангамжийн нөөцөд тавигдах шаардлагыг нэмэгдүүлэхгүйгээр их хэмжээгээр тархсан IDS-ийг төвлөрсөн байдлаар үнэлж, ажиллуулах боломжийг олгодог. Үнэн хэрэгтээ TrapX бол одоо байгаа мэдээллийн технологийн дэд бүтцийн элементүүдээс аж ахуйн нэгжийн хэмжээнд халдлагыг илрүүлэх нэг том механизм, нэг төрлийн тархсан сүлжээний "дохиолол" үүсгэх боломжийг олгодог бүтээгч юм.

Шийдлийн бүтэц

Манай лабораторид бид мэдээллийн технологийн аюулгүй байдлын чиглэлээр төрөл бүрийн шинэ бүтээгдэхүүнийг байнга судалж, туршиж үздэг. Одоогоор энд TrapX Deception Grid бүрэлдэхүүн хэсгүүдийг багтаасан 50 орчим өөр виртуал сервер байрлуулсан байна.

Тиймээс, дээрээс доош:

1. TSOC (TrapX Security Operation Console) нь системийн тархи юм. Энэ бол тохиргоо, шийдлийг байршуулах, өдөр тутмын бүх үйл ажиллагааг гүйцэтгэдэг удирдлагын төв консол юм. Энэ нь вэб үйлчилгээ тул үүнийг периметр, үүлэн дотор эсвэл MSSP үйлчилгээ үзүүлэгч дээр хаана ч байрлуулж болно.
2. TrapX Appliance (TSA) нь бидний хяналтанд хамруулахыг хүссэн дэд сүлжээг trunk порт ашиглан холбодог виртуал сервер юм. Мөн манай бүх сүлжээний мэдрэгчүүд энд "амьд" байдаг.

   Манай лабораторид нэг TSA (mwsapp1) байрлуулсан боловч бодит байдал дээр олон байж болно. Энэ нь сегментүүдийн хооронд L2 холболт байхгүй (ердийн жишээ нь "Холдинг ба охин компаниуд" эсвэл "Банкны төв оффис ба салбарууд") эсвэл сүлжээ нь тусгаарлагдсан сегментүүд, жишээлбэл, автоматжуулсан үйл явцын хяналтын системтэй бол том сүлжээнд шаардлагатай байж болно. Ийм салбар/сегмент бүрт та өөрийн TSA-г байрлуулж, бүх мэдээллийг төвлөрсөн байдлаар боловсруулах нэг TSOC-д холбож болно. Энэхүү архитектур нь сүлжээний бүтцийг эрс өөрчлөх, одоо байгаа сегментчиллийг тасалдуулах шаардлагагүйгээр хуваарилагдсан хяналтын системийг бий болгох боломжийг танд олгоно.

   Мөн бид TAP/SPAN-аар дамжуулж буй траффикийн хуулбарыг TSA-д илгээх боломжтой. Хэрэв бид мэдэгдэж буй ботнет, команд ба хяналтын серверүүд эсвэл TOR сессүүдтэй холболтыг илрүүлбэл үр дүнг консол дээр хүлээн авах болно. Үүнийг Network Intelligence Sensor (NIS) хариуцдаг. Манай орчинд энэ функц нь галт хананд хэрэгждэг тул бид үүнийг энд ашиглаагүй.

3. Application Traps (Full OS) – Windows сервер дээр суурилсан уламжлалт зөгийн бал. Эдгээр серверүүдийн гол зорилго нь мэдрэгчийн дараагийн давхаргад мэдээллийн технологийн үйлчилгээ үзүүлэх эсвэл Windows орчинд байрлуулж болох бизнесийн программууд руу халдсан халдлагыг илрүүлэх явдал тул танд тэдгээрийн олонх нь хэрэггүй. Манай лабораторид ийм сервер суулгасан байдаг (FOS01)

   

4. Дууриамал занга нь шийдлийн гол бүрэлдэхүүн хэсэг бөгөөд нэг виртуал машиныг ашиглан халдагчдын хувьд маш нягт "миний талбай" үүсгэж, аж ахуйн нэгжийн сүлжээ, түүний бүх влануудыг мэдрэгчээр дүүргэх боломжийг олгодог. Халдагчид ийм мэдрэгч буюу хийсвэр хостыг жинхэнэ Windows компьютер эсвэл сервер, Линукс сервер эсвэл бидний түүнд үзүүлэхээр шийдсэн бусад төхөөрөмж гэж хардаг.

   
   
   Бизнесийн сайн сайхны төлөө, сонирхлын үүднээс бид "амьтан бүрийн хос" - Windows компьютер болон янз бүрийн хувилбарын серверүүд, Линукс серверүүд, Windows суулгагдсан АТМ, SWIFT вэб хандалт, сүлжээний принтер, Cisco зэргийг байрлуулсан. унтраалга, Axis IP камер, MacBook, PLC төхөөрөмж, тэр ч байтугай ухаалаг гэрлийн чийдэн. Нийт 13 хост байдаг. Ерөнхийдөө худалдагч ийм мэдрэгчийг жинхэнэ хостуудын 10% -иас багагүй хэмжээгээр байрлуулахыг зөвлөж байна. Дээд талбар нь боломжтой хаягийн зай юм.

   Маш чухал зүйл бол ийм хост бүр нөөц, лиценз шаарддаг бүрэн виртуал машин биш юм. Энэ бол төөрөгдөл, эмуляц, олон параметр, IP хаягтай TSA дээрх нэг процесс юм. Тиймээс, нэг TSA-ийн тусламжтайгаар бид дохиоллын системд мэдрэгч болж ажиллах хэдэн зуун ийм хийсвэр хостуудаар сүлжээг дүүргэж чадна. Чухамхүү энэ технологи нь зөгийн балны савны үзэл баримтлалыг ямар ч том тархсан аж ахуйн нэгжийн хэмжээнд хэмнэлттэй болгох боломжийг олгодог.

   Халдагчийн үүднээс эдгээр хостууд нь эмзэг байдлыг агуулсан, харьцангуй хялбар бай юм шиг харагддаг учраас сэтгэл татам байдаг. Халдагчид эдгээр хостууд дээрх үйлчилгээг хардаг бөгөөд тэдэнтэй харилцаж, стандарт хэрэгсэл, протоколуудыг (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus гэх мэт) ашиглан довтолж болно. Гэхдээ эдгээр хостуудыг халдлага боловсруулах эсвэл өөрийн кодыг ажиллуулахад ашиглах боломжгүй юм.

5. Эдгээр хоёр технологийн хослол (FullOS болон дууриамал занга) нь халдагчид эрт орой хэзээ нэгэн цагт манай дохиоллын сүлжээний зарим элементтэй тулгарах статистикийн өндөр магадлалд хүрэх боломжийг олгодог. Гэхдээ энэ магадлал 100% дөхөж байгаа эсэхийг бид яаж баталгаажуулах вэ?

   Хууран мэхлэлтийн токенууд тулаанд ордог. Тэдний ачаар бид аж ахуйн нэгжийн одоо байгаа бүх компьютер, серверүүдийг түгээсэн IDS-д оруулах боломжтой. Токенуудыг хэрэглэгчдийн жинхэнэ компьютер дээр байрлуулдаг. Токенууд нь нөөцийг ашигладаг агентууд биш бөгөөд зөрчилдөөн үүсгэж болзошгүй гэдгийг ойлгох нь чухал юм. Токенууд нь мэдээллийн идэвхгүй элементүүд бөгөөд довтолж буй талыг урхинд оруулдаг нэг төрлийн "талхны үйрмэг" юм. Жишээлбэл, сүлжээний хөтчүүдийн зураглал, хуурамч вэб админуудын хавчуурга болон тэдгээрт хадгалсан нууц үг, хадгалсан ssh/rdp/winscp сессүүд, хост файл дахь тайлбар бүхий бидний урхи, санах ойд хадгалагдсан нууц үг, байхгүй хэрэглэгчдийн итгэмжлэл, оффис. файлуудыг нээх, системийг идэвхжүүлэх гэх мэт. Тиймээс бид халдагчийг гажуудсан орчинд байрлуулж, бидэнд аюул учруулахгүй, харин эсрэгээрээ халдлагын векторуудаар ханасан байна. Мөн тэр мэдээлэл хаана үнэн, хаана худал болохыг тогтоох арга байхгүй. Тиймээс бид халдлагыг хурдан илрүүлээд зогсохгүй түүний явцыг ихээхэн удаашруулдаг.

Сүлжээний урхи үүсгэх, токен тохируулах жишээ. Ээлтэй интерфэйс, тохиргоо, скрипт гэх мэтийг гараар засварлах шаардлагагүй.

Манай орчинд бид Windows Server 01R2012 үйлдлийн системтэй FOS2 болон Windows 7 үйлдлийн системтэй туршилтын компьютер дээр хэд хэдэн ийм токенуудыг тохируулж, байршуулсан. RDP эдгээр машинууд дээр ажиллаж байгаа бөгөөд бид тэдгээрийг манай хэд хэдэн мэдрэгч бүхий DMZ-д үе үе “ өлгөдөг”. (дууриамал занга) мөн харагдана. Тиймээс бид байнга тохиолдлын урсгалыг авдаг, мэдээжийн хэрэг.

Тиймээс, жилийн зарим хурдан статистикийг энд оруулав.

56 – осол бүртгэгдсэн,
2 – халдлагын эх сурвалжийг илрүүлсэн.

Интерактив, товших боломжтой халдлагын газрын зураг

Үүний зэрэгцээ шийдэл нь зарим төрлийн мега-лог эсвэл үйл явдлын тэжээлийг үүсгэдэггүй бөгөөд үүнийг ойлгоход удаан хугацаа шаардагддаг. Үүний оронд уг шийдэл нь үйл явдлуудыг төрлөөр нь ангилж, мэдээллийн аюулгүй байдлын багт голчлон хамгийн аюултай зүйл дээр анхаарлаа төвлөрүүлэх боломжийг олгодог - халдагчид хяналтын сесс (харилцан үйлдэл) нэмэгдүүлэх гэж оролдох эсвэл бидний траффик дээр хоёртын ачаалал (халдвар) гарч ирэх үед.

Үйл явдлын талаарх бүх мэдээллийг унших боломжтой бөгөөд мэдээллийн аюулгүй байдлын чиглэлээр анхан шатны мэдлэгтэй хэрэглэгчдэд ч ойлгоход хялбар хэлбэрээр танилцуулж байна.

Бүртгэгдсэн тохиолдлын ихэнх нь манай хостууд эсвэл ганц холболтыг сканнердах оролдлого юм.

Эсвэл RDP-ийн нууц үгийг харгис хүчээр оруулах оролдлого

Гэхдээ илүү сонирхолтой тохиолдлууд байсан, ялангуяа халдагчид RDP-ийн нууц үгийг тааж, дотоод сүлжээнд нэвтрэх боломжтой болсон.

Халдагчид psexec ашиглан код гүйцэтгэхийг оролддог.

Халдагчид хадгалагдсан сессийг олсон бөгөөд энэ нь түүнийг Линукс сервер хэлбэрээр урхинд оруулав. Холбогдсон даруйдаа урьдчилан бэлтгэсэн нэг командын тусламжтайгаар бүх бүртгэлийн файлууд болон холбогдох системийн хувьсагчдыг устгахыг оролдсон.

Халдагчид SWIFT вэб хандалтыг дуурайсан зөгийн бал дээр SQL тарилга хийхийг оролдов.

Ийм "байгалийн" дайралтаас гадна бид өөрсдөө хэд хэдэн туршилт хийсэн. Хамгийн илчлэгдсэн нэг зүйл бол сүлжээний өт хорхойг илрүүлэх хугацааг шалгах явдал юм. Үүнийг хийхийн тулд бид GuardiCore-ийн хэрэгслийг ашигласан Халдвар сармагчин. Энэ бол Windows болон Линуксыг хулгайлах боломжтой сүлжээний өт юм, гэхдээ ямар ч "ачаалалгүй".
Бид орон нутгийн удирдлагын төвийг байрлуулж, нэг машин дээр хорхойн анхны хувилбарыг ажиллуулж, TrapX консол дахь анхны сэрэмжлүүлгийг минут хагас хүрэхгүй хугацаанд хүлээн авлаа. Дунджаар 90 хоногтой харьцуулахад TTD 106 секунд...

Бусад ангиллын шийдлүүдтэй нэгтгэх чадварын ачаар бид аюулыг хурдан илрүүлэхээс автоматаар хариу үйлдэл үзүүлэх хүртэл шилжиж чадна.

Жишээлбэл, NAC (Network Access Control) системүүд эсвэл CarbonBlack-тай нэгтгэх нь эвдэрсэн компьютеруудыг сүлжээнээс автоматаар салгах боломжийг танд олгоно.

Хамгаалагдсан хязгаарлагдмал орчинд нэгдсэн нь халдлагад оролцсон файлуудыг автоматаар дүн шинжилгээнд оруулах боломжийг олгодог.

McAfee интеграци

Энэхүү шийдэл нь үйл явдлын корреляцийн өөрийн гэсэн системтэй.

Гэхдээ бид түүний чадварт сэтгэл хангалуун бус байсан тул HP ArcSight-тай нэгтгэсэн.

Баригдсан тасалбарын систем нь дэлхий даяар илэрсэн аюулыг даван туулахад тусалдаг.

Энэхүү шийдэл нь төрийн байгууллагууд болон томоохон корпорацийн сегментийн хэрэгцээнд зориулж "эхнээсээ" боловсруулагдсан тул дүрд суурилсан хандалтын загвар, AD-тай нэгтгэх, боловсруулсан тайлан, триггер (үйл явдлын дохио), зохион байгуулалтыг хэрэгжүүлдэг. томоохон эзэмшлийн бүтэц эсвэл MSSP үйлчилгээ үзүүлэгчид.

Үргэлжлүүлэхийн оронд

Хэрэв дүрсээр хэлэхэд бидний нурууг бүрхсэн ийм хяналтын систем байгаа бол периметрийн буулт хийснээр бүх зүйл дөнгөж эхэлж байна. Хамгийн гол нь мэдээллийн аюулгүй байдлын зөрчлийн үр дагаврыг арилгах биш харин түүнийг шийдвэрлэх бодит боломж байгаа юм.

Эх сурвалж: www.habr.com