(terima kasih kepada Sergey G. Brester untuk idea tajuk )
Rakan sekerja, tujuan artikel ini adalah untuk berkongsi pengalaman operasi ujian selama setahun bagi kelas baharu penyelesaian IDS berdasarkan teknologi Penipuan.
Untuk mengekalkan keselarasan logik pembentangan bahan, saya menganggap perlu bermula dengan premis. Jadi, masalahnya:
- Serangan yang disasarkan adalah jenis serangan yang paling berbahaya, walaupun bahagian mereka dalam jumlah ancaman adalah kecil.
- Tiada cara yang dijamin berkesan untuk melindungi perimeter (atau satu set cara sedemikian) belum dicipta.
- Sebagai peraturan, serangan yang disasarkan berlaku dalam beberapa peringkat. Mengatasi perimeter hanyalah salah satu peringkat awal, yang (anda boleh membaling batu kepada saya) tidak menyebabkan banyak kerosakan kepada "mangsa", melainkan, sudah tentu, ia adalah serangan DEoS (Pemusnahan perkhidmatan) (penyulit, dll. .). "Kesakitan" sebenar bermula kemudian, apabila aset yang ditangkap mula digunakan untuk berputar dan membangunkan serangan "kedalaman", dan kami tidak menyedarinya.
- Memandangkan kita mula mengalami kerugian sebenar apabila penyerang akhirnya mencapai sasaran serangan (pelayan aplikasi, DBMS, gudang data, repositori, elemen infrastruktur kritikal), adalah logik bahawa salah satu tugas perkhidmatan keselamatan maklumat adalah untuk mengganggu serangan sebelum peristiwa sedih ini. Tetapi untuk mengganggu sesuatu, anda mesti mengetahuinya terlebih dahulu. Dan lebih cepat, lebih baik.
- Sehubungan itu, untuk pengurusan risiko yang berjaya (iaitu, mengurangkan kerosakan daripada serangan yang disasarkan), adalah penting untuk mempunyai alat yang akan memberikan TTD minimum (masa untuk mengesan - masa dari saat pencerobohan hingga saat serangan dikesan). Bergantung pada industri dan rantau, tempoh ini purata 99 hari di AS, 106 hari di rantau EMEA, 172 hari di rantau APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
- Apa yang ditawarkan oleh pasaran?
- "Kotak pasir". Satu lagi kawalan pencegahan, yang jauh dari ideal. Terdapat banyak teknik berkesan untuk mengesan dan memintas kotak pasir atau penyelesaian senarai putih. Lelaki dari "sisi gelap" masih selangkah di hadapan di sini.
- UEBA (sistem untuk memprofilkan tingkah laku dan mengenal pasti penyelewengan) - secara teori, boleh menjadi sangat berkesan. Tetapi, pada pendapat saya, ini adalah pada masa hadapan yang jauh. Dalam amalan, ini masih sangat mahal, tidak boleh dipercayai dan memerlukan infrastruktur keselamatan IT dan maklumat yang sangat matang dan stabil, yang sudah mempunyai semua alat yang akan menjana data untuk analisis tingkah laku.
- SIEM ialah alat yang baik untuk penyiasatan, tetapi ia tidak dapat melihat dan menunjukkan sesuatu yang baharu dan asli tepat pada masanya, kerana peraturan korelasi adalah sama seperti tandatangan.
- Akibatnya, terdapat keperluan untuk alat yang akan:
- berjaya bekerja dalam keadaan perimeter yang telah terjejas,
- mengesan serangan yang berjaya dalam masa hampir nyata, tanpa mengira alat dan kelemahan yang digunakan,
- tidak bergantung pada tandatangan/peraturan/skrip/dasar/profil dan perkara statik lain,
- tidak memerlukan sejumlah besar data dan sumbernya untuk analisis,
- akan membenarkan serangan ditakrifkan bukan sebagai sejenis pemarkahan risiko hasil daripada kerja "yang terbaik di dunia, dipatenkan dan oleh itu matematik tertutup", yang memerlukan penyiasatan tambahan, tetapi secara praktikal sebagai peristiwa binari - "Ya, kami sedang diserang" atau "Tidak, semuanya OK",
- adalah universal, berskala dengan cekap dan boleh dilaksanakan dalam mana-mana persekitaran heterogen, tanpa mengira topologi rangkaian fizikal dan logik yang digunakan.
Apa yang dipanggil penyelesaian penipuan kini bersaing untuk peranan alat sedemikian. Iaitu, penyelesaian berdasarkan konsep lama honeypots yang baik, tetapi dengan tahap pelaksanaan yang sama sekali berbeza. Topik ini pastinya semakin meningkat sekarang.
Mengikut keputusan Penyelesaian penipuan termasuk dalam 3 strategi dan alat TOP yang disyorkan untuk digunakan.
Menurut laporan tersebut Penipuan adalah salah satu hala tuju utama pembangunan IDS Intrusion Detection Systems) penyelesaian.
Seluruh bahagian yang terakhir , khusus untuk SCADA, adalah berdasarkan data daripada salah seorang peneraju dalam pasaran ini, TrapX Security (Israel), yang penyelesaiannya telah bekerja di kawasan ujian kami selama setahun.
Grid Penipuan TrapX membolehkan anda mengedarkan kos dan mengendalikan IDS yang diedarkan secara besar-besaran secara berpusat, tanpa meningkatkan beban pelesenan dan keperluan untuk sumber perkakasan. Malah, TrapX ialah pembina yang membolehkan anda mencipta daripada elemen infrastruktur IT sedia ada satu mekanisme besar untuk mengesan serangan pada skala seluruh perusahaan, sejenis "penggera" rangkaian teragih.
Struktur Penyelesaian
Di makmal kami, kami sentiasa mengkaji dan menguji pelbagai produk baharu dalam bidang keselamatan IT. Pada masa ini, kira-kira 50 pelayan maya berbeza digunakan di sini, termasuk komponen TrapX Deception Grid.
Jadi, dari atas ke bawah:
- TSOC (TrapX Security Operation Console) ialah otak sistem. Ini ialah konsol pengurusan pusat yang melaluinya konfigurasi, penggunaan penyelesaian dan semua operasi seharian dijalankan. Memandangkan ini adalah perkhidmatan web, ia boleh digunakan di mana-mana - pada perimeter, dalam awan atau di pembekal MSSP.
- TrapX Appliance (TSA) ialah pelayan maya yang kami sambungkan, menggunakan port batang, subnet yang ingin kami tutup dengan pemantauan. Selain itu, semua penderia rangkaian kami sebenarnya "hidup" di sini.
Makmal kami mempunyai satu TSA yang digunakan (mwsapp1), tetapi sebenarnya terdapat banyak. Ini mungkin diperlukan dalam rangkaian besar yang tiada sambungan L2 antara segmen (contoh biasa ialah "Pegangan dan anak syarikat" atau "Ibu pejabat dan cawangan Bank") atau jika rangkaian mempunyai segmen terpencil, contohnya, sistem kawalan proses automatik. Dalam setiap cawangan/segmen tersebut, anda boleh menggunakan TSA anda sendiri dan menyambungkannya ke TSOC tunggal, di mana semua maklumat akan diproses secara berpusat. Seni bina ini membolehkan anda membina sistem pemantauan teragih tanpa perlu menstruktur semula rangkaian secara radikal atau mengganggu pembahagian sedia ada.
Selain itu, kami boleh menyerahkan salinan trafik keluar kepada TSA melalui TAP/SPAN. Jika kami mengesan sambungan dengan botnet yang diketahui, pelayan arahan dan kawalan, atau sesi TOR, kami juga akan menerima hasilnya dalam konsol. Rangkaian Perisikan Sensor (NIS) bertanggungjawab untuk ini. Dalam persekitaran kami, fungsi ini dilaksanakan pada tembok api, jadi kami tidak menggunakannya di sini.
- Perangkap Aplikasi (OS Penuh) β honeypot tradisional berdasarkan pelayan Windows. Anda tidak memerlukan banyak daripada mereka, kerana tujuan utama pelayan ini adalah untuk menyediakan perkhidmatan IT kepada lapisan penderia seterusnya atau mengesan serangan pada aplikasi perniagaan yang mungkin digunakan dalam persekitaran Windows. Kami mempunyai satu pelayan sedemikian dipasang di makmal kami (FOS01)
- Perangkap yang ditiru ialah komponen utama penyelesaian, yang membolehkan kami, menggunakan satu mesin maya tunggal, mencipta "medan ranjau" yang sangat padat untuk penyerang dan memenuhi rangkaian perusahaan, semua vlannya, dengan penderia kami. Penyerang melihat penderia atau hos hantu sedemikian, sebagai PC atau pelayan Windows sebenar, pelayan Linux atau peranti lain yang kami memutuskan untuk menunjukkan kepadanya.
Untuk kebaikan perniagaan dan demi rasa ingin tahu, kami menggunakan "sepasang setiap makhluk" - PC Windows dan pelayan pelbagai versi, pelayan Linux, ATM dengan Windows terbenam, Akses Web SWIFT, pencetak rangkaian, Cisco suis, kamera IP Axis, MacBook, peranti PLC dan juga mentol lampu pintar. Terdapat 13 hos kesemuanya. Secara umum, vendor mengesyorkan menggunakan penderia sedemikian dalam jumlah sekurang-kurangnya 10% daripada bilangan hos sebenar. Bar atas ialah ruang alamat yang tersedia.Perkara yang sangat penting ialah setiap hos tersebut bukanlah mesin maya sepenuhnya yang memerlukan sumber dan lesen. Ini adalah tipuan, emulasi, satu proses pada TSA, yang mempunyai satu set parameter dan alamat IP. Oleh itu, dengan bantuan walaupun satu TSA, kami boleh memenuhi rangkaian dengan beratus-ratus hos hantu sedemikian, yang akan berfungsi sebagai penderia dalam sistem penggera. Teknologi inilah yang memungkinkan untuk menskalakan konsep honeypot secara kos efektif merentas mana-mana perusahaan pengedaran besar.
Dari sudut pandangan penyerang, hos ini menarik kerana ia mengandungi kelemahan dan kelihatan sebagai sasaran yang agak mudah. Penyerang melihat perkhidmatan pada hos ini dan boleh berinteraksi dengan mereka dan menyerang mereka menggunakan alat dan protokol standard (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, dsb.). Tetapi adalah mustahil untuk menggunakan hos ini untuk membangunkan serangan atau menjalankan kod anda sendiri.
- Gabungan kedua-dua teknologi ini (FullOS dan perangkap yang dicontohi) membolehkan kami mencapai kebarangkalian statistik yang tinggi bahawa penyerang lambat laun akan menghadapi beberapa elemen rangkaian isyarat kami. Tetapi bagaimana kita boleh memastikan bahawa kebarangkalian ini hampir 100%?
Apa yang dipanggil token Penipuan memasuki pertempuran. Terima kasih kepada mereka, kami boleh memasukkan semua PC dan pelayan perusahaan sedia ada dalam IDS yang diedarkan kami. Token diletakkan pada PC sebenar pengguna. Adalah penting untuk memahami bahawa token bukanlah ejen yang menggunakan sumber dan boleh menyebabkan konflik. Token ialah elemen maklumat pasif, sejenis "serbuk roti" untuk pihak penyerang yang membawanya ke dalam perangkap. Contohnya, pemacu rangkaian yang dipetakan, penanda halaman kepada pentadbir web palsu dalam penyemak imbas dan kata laluan yang disimpan untuk mereka, sesi ssh/rdp/winscp yang disimpan, perangkap kami dengan ulasan dalam fail hos, kata laluan yang disimpan dalam memori, bukti kelayakan pengguna yang tidak wujud, pejabat fail, pembukaan yang akan mencetuskan sistem, dan banyak lagi. Oleh itu, kami meletakkan penyerang dalam persekitaran yang herot, tepu dengan vektor serangan yang sebenarnya tidak menimbulkan ancaman kepada kami, tetapi sebaliknya. Dan dia tidak mempunyai cara untuk menentukan di mana maklumat itu benar dan di mana ia palsu. Oleh itu, kami bukan sahaja memastikan pengesanan pantas serangan, tetapi juga memperlahankan kemajuannya dengan ketara.
Contoh mencipta perangkap rangkaian dan menyediakan token. Antara muka yang mesra dan tiada pengeditan manual konfigurasi, skrip, dsb.
Dalam persekitaran kami, kami mengkonfigurasi dan meletakkan beberapa token sedemikian pada FOS01 yang menjalankan Windows Server 2012R2 dan PC ujian yang menjalankan Windows 7. RDP sedang berjalan pada mesin ini dan kami secara berkala "menggantungnya" dalam DMZ, di mana beberapa penderia kami (perangkap yang ditiru) juga dipaparkan. Oleh itu, kita mendapat aliran insiden yang berterusan, secara semulajadi boleh dikatakan.
Jadi, berikut adalah beberapa statistik pantas untuk tahun ini:
56 - insiden direkodkan,
2 β hos sumber serangan dikesan.
Peta serangan interaktif yang boleh diklik
Pada masa yang sama, penyelesaian itu tidak menghasilkan sejenis log mega atau suapan acara, yang mengambil masa yang lama untuk difahami. Sebaliknya, penyelesaian itu sendiri mengklasifikasikan acara mengikut jenisnya dan membenarkan pasukan keselamatan maklumat menumpukan terutamanya pada yang paling berbahaya - apabila penyerang cuba meningkatkan sesi kawalan (interaksi) atau apabila muatan binari (jangkitan) muncul dalam trafik kami.
Semua maklumat tentang acara boleh dibaca dan dibentangkan, pada pendapat saya, dalam bentuk yang mudah difahami walaupun untuk pengguna yang mempunyai pengetahuan asas dalam bidang keselamatan maklumat.
Kebanyakan insiden yang direkodkan adalah percubaan untuk mengimbas hos kami atau sambungan tunggal.
Atau percubaan untuk menggunakan kata laluan kekerasan untuk RDP
Tetapi terdapat juga kes yang lebih menarik, terutamanya apabila penyerang "berjaya" meneka kata laluan untuk RDP dan mendapat akses kepada rangkaian tempatan.
Penyerang cuba melaksanakan kod menggunakan psexec.
Penyerang menemui sesi yang disimpan, yang membawanya ke dalam perangkap dalam bentuk pelayan Linux. Sejurus selepas menyambung, dengan satu set arahan yang telah disediakan, ia cuba memusnahkan semua fail log dan pembolehubah sistem yang sepadan.
Penyerang cuba melakukan suntikan SQL pada honeypot yang meniru SWIFT Web Access.
Sebagai tambahan kepada serangan "semulajadi" sedemikian, kami juga menjalankan beberapa ujian kami sendiri. Salah satu yang paling mendedahkan ialah menguji masa pengesanan cecacing rangkaian pada rangkaian. Untuk melakukan ini, kami menggunakan alat daripada GuardiCore yang dipanggil . Ini adalah cecacing rangkaian yang boleh merampas Windows dan Linux, tetapi tanpa sebarang "muatan".
Kami menggunakan pusat arahan tempatan, melancarkan contoh pertama cecacing pada salah satu mesin, dan menerima makluman pertama dalam konsol TrapX dalam masa kurang daripada seminit setengah. TTD 90 saat berbanding 106 hari secara purata...
Terima kasih kepada keupayaan untuk menyepadukan dengan kelas penyelesaian yang lain, kami boleh beralih daripada hanya mengesan ancaman dengan cepat kepada bertindak balas secara automatik kepada mereka.
Contohnya, penyepaduan dengan sistem NAC (Kawalan Akses Rangkaian) atau dengan CarbonBlack akan membolehkan anda memutuskan sambungan PC yang terjejas secara automatik daripada rangkaian.
Penyepaduan dengan kotak pasir membolehkan fail yang terlibat dalam serangan diserahkan secara automatik untuk analisis.
Penyepaduan McAfee
Penyelesaian ini juga mempunyai sistem korelasi acara terbina dalam sendiri.
Tetapi kami tidak berpuas hati dengan keupayaannya, jadi kami menyepadukannya dengan HP ArcSight.
Sistem tiket terbina dalam membantu seluruh dunia menghadapi ancaman yang dikesan.
Memandangkan penyelesaian itu dibangunkan "dari awal" untuk keperluan agensi kerajaan dan segmen korporat yang besar, ia secara semula jadi melaksanakan model akses berasaskan peranan, penyepaduan dengan AD, sistem laporan dan pencetus yang dibangunkan (makluman acara), orkestrasi untuk struktur pegangan besar atau pembekal MSSP.
Daripada resume
Sekiranya terdapat sistem pemantauan sedemikian, yang, secara kiasan, menutupi belakang kita, maka dengan kompromi perimeter semuanya baru bermula. Perkara yang paling penting ialah terdapat peluang sebenar untuk menangani insiden keselamatan maklumat, dan bukan untuk menangani akibatnya.
Sumber: www.habr.com