(grazzi lil Sergey G. Brester għall-idea tat-titlu )
Kollegi, l-iskop ta 'dan l-artikolu huwa li taqsam l-esperjenza ta' operazzjoni ta 'test għal sena ta' klassi ġdida ta 'soluzzjonijiet IDS ibbażati fuq teknoloġiji ta' Qerq.
Sabiex tinżamm il-koerenza loġika tal-preżentazzjoni tal-materjal, nikkunsidra li huwa meħtieġ li nibda mill-bini. Allura, il-problema:
- L-attakki mmirati huma l-aktar tip ta’ attakk perikoluż, minkejja l-fatt li s-sehem tagħhom fin-numru totali ta’ theddid huwa żgħir.
- L-ebda mezz effettiv garantit ta' protezzjoni tal-perimetru (jew sett ta' tali mezzi) għadu ma ġie ivvintat.
- Bħala regola, attakki mmirati jseħħu f'diversi stadji. Li tingħeleb il-perimetru huwa biss wieħed mill-istadji inizjali, li (tista' titfa' ġebel lejja) ma tikkawżax ħafna ħsara lill-"vittma", sakemm, ovvjament, ma jkunx attakk DEoS (Qerda ta' servizz) (encryptors, eċċ. .). L-"uġigħ" reali jibda aktar tard, meta l-assi maqbuda jibdew jintużaw għall-pern u l-iżvilupp ta 'attakk ta' "fond", u ma ndunajniex dan.
- Peress li nibdew insofru telf reali meta l-attakkanti finalment jilħqu l-miri tal-attakk (servers tal-applikazzjoni, DBMS, imħażen tad-dejta, repożitorji, elementi tal-infrastruttura kritika), huwa loġiku li wieħed mill-kompiti tas-servizz tas-sigurtà tal-informazzjoni huwa li jinterrompi l-attakki qabel dan l-avveniment imdejjaq. Iżda sabiex tinterrompi xi ħaġa, l-ewwel trid issir taf dwarha. U l-ewwel, l-aħjar.
- Għaldaqstant, għal ġestjoni tar-riskju b'suċċess (jiġifieri, titnaqqas il-ħsara minn attakki mmirati), huwa kritiku li jkun hemm għodod li jipprovdu TTD minimu (ħin biex jinstab - il-ħin mill-mument tal-intrużjoni sal-mument li jiġi skopert l-attakk). Skont l-industrija u r-reġjun, dan il-perjodu għandu medja ta’ 99 jum fl-Istati Uniti, 106 jum fir-reġjun tal-EMEA, 172 jum fir-reġjun tal-APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
- X'joffri s-suq?
- "Kaxxi tar-ramel". Kontroll preventiv ieħor, li huwa 'l bogħod mill-ideali. Hemm ħafna tekniki effettivi għall-iskoperta u l-bypassing sandboxes jew whitelisting soluzzjonijiet. Il-guys min-"naħa skura" għadhom pass 'il quddiem hawn.
- UEBA (sistemi għall-profil tal-imġiba u l-identifikazzjoni tad-devjazzjonijiet) - fit-teorija, jistgħu jkunu effettivi ħafna. Iżda, fl-opinjoni tiegħi, dan huwa xi żmien fil-futur imbiegħed. Fil-prattika, dan għadu għali ħafna, mhux affidabbli u jeħtieġ infrastruttura tas-sigurtà tal-IT u tal-informazzjoni matura u stabbli ħafna, li diġà għandha l-għodod kollha li se tiġġenera data għall-analiżi tal-imġieba.
- SIEM huwa għodda tajba għall-investigazzjonijiet, iżda mhuwiex kapaċi jara u juri xi ħaġa ġdida u oriġinali fil-ħin, minħabba li r-regoli ta 'korrelazzjoni huma l-istess bħall-firem.
- Bħala riżultat, hemm bżonn ta’ għodda li tkun:
- ħadmet b'suċċess f'kundizzjonijiet ta' perimetru diġà kompromess,
- skopra attakki ta' suċċess kważi f'ħin reali, irrispettivament mill-għodod u l-vulnerabbiltajiet użati,
- ma kienx jiddependi fuq firem/regoli/skripts/policies/profili u affarijiet statiċi oħra,
- ma kienx jeħtieġ ammonti kbar ta’ data u s-sorsi tagħhom għall-analiżi,
- jippermetti li l-attakki jiġu ddefiniti mhux bħala xi tip ta’ punteġġ tar-riskju bħala riżultat tax-xogħol ta’ “l-aqwa matematika fid-dinja, patentata u għalhekk magħluqa”, li teħtieġ investigazzjoni addizzjonali, iżda prattikament bħala avveniment binarju - “Iva, qed niġu attakkati” jew “Le, kollox tajjeb”,
- kienet universali, skalabbli b'mod effiċjenti u fattibbli biex tiġi implimentata fi kwalunkwe ambjent eteroġenju, irrispettivament mit-topoloġija tan-netwerk fiżika u loġika użata.
L-hekk imsejħa soluzzjonijiet ta’ qerq issa qed jikkompetu għar-rwol ta’ għodda bħal din. Jiġifieri, soluzzjonijiet ibbażati fuq il-kunċett antik tajjeb ta 'honeypots, iżda b'livell ta' implimentazzjoni kompletament differenti. Dan is-suġġett żgur qiegħed jiżdied issa.
Skond ir-riżultati Soluzzjonijiet ta 'qerq huma inklużi fl-istrateġiji u għodod TOP 3 li huma rakkomandati li jintużaw.
Skont ir-rapport Il-qerq huwa wieħed mid-direzzjonijiet ewlenin ta 'żvilupp ta' soluzzjonijiet ta 'IDS Intrusion Detection Systems.
Sezzjoni sħiħa ta’ dan tal-aħħar , iddedikat għal SCADA, hija bbażata fuq data minn wieħed mill-mexxejja f'dan is-suq, TrapX Security (Iżrael), li s-soluzzjoni tagħha ilha taħdem fiż-żona tat-test tagħna għal sena.
TrapX Deception Grid jippermettilek li tiswa u topera IDS imqassma b'mod massiv ċentralment, mingħajr ma żżid it-tagħbija tal-liċenzjar u r-rekwiżiti għar-riżorsi tal-hardware. Fil-fatt, TrapX huwa kostruttur li jippermettilek toħloq minn elementi tal-infrastruttura eżistenti tal-IT mekkaniżmu wieħed kbir biex tiskopri attakki fuq skala tal-intrapriża kollha, tip ta '"allarm" ta' netwerk distribwit.
Struttura tas-Soluzzjoni
Fil-laboratorju tagħna aħna kontinwament nistudjaw u nittestjaw diversi prodotti ġodda fil-qasam tas-sigurtà tal-IT. Bħalissa, madwar 50 server virtwali differenti huma skjerati hawn, inklużi komponenti TrapX Deception Grid.
Allura, minn fuq għal isfel:
- TSOC (TrapX Security Operation Console) huwa l-moħħ tas-sistema. Din hija l-console ta' ġestjoni ċentrali li permezz tagħha jsiru l-konfigurazzjoni, l-iskjerament tas-soluzzjoni u l-operazzjonijiet kollha ta' kuljum. Peress li dan huwa servizz tal-web, jista' jiġi skjerat kullimkien - fuq il-perimetru, fil-cloud jew f'fornitur tal-MSSP.
- TrapX Appliance (TSA) huwa server virtwali li fih nikkonnettjaw, bl-użu tal-port trunk, dawk is-subnets li rridu nkopru bil-monitoraġġ. Ukoll, is-sensuri tan-netwerk kollha tagħna fil-fatt "jgħixu" hawn.
Il-laboratorju tagħna għandu TSA waħda skjerata (mwsapp1), iżda fir-realtà jista 'jkun hemm ħafna. Dan jista’ jkun meħtieġ f’netwerks kbar fejn ma jkunx hemm konnettività L2 bejn is-segmenti (eżempju tipiku huwa “Holding u sussidjarji” jew “Uffiċċju prinċipali u fergħat tal-Bank”) jew jekk in-netwerk ikollu segmenti iżolati, pereżempju, sistemi awtomatizzati ta’ kontroll tal-proċess. F'kull fergħa/segment bħal dawn, tista' tuża t-TSA tiegħek stess u tqabbadha ma' TSOC wieħed, fejn l-informazzjoni kollha tiġi pproċessata ċentralment. Din l-arkitettura tippermettilek tibni sistemi ta 'monitoraġġ distribwiti mingħajr il-ħtieġa li tirristruttura b'mod radikali n-netwerk jew tfixkel is-segmentazzjoni eżistenti.
Ukoll, nistgħu nissottomettu kopja tat-traffiku ħerġin lit-TSA permezz tat-TAP/SPAN. Jekk niskopru konnessjonijiet ma 'botnets magħrufa, servers ta' kmand u kontroll, jew sessjonijiet TOR, nirċievu wkoll ir-riżultat fil-console. Netwerk Intelligence Sensor (NIS) huwa responsabbli għal dan. Fl-ambjent tagħna, din il-funzjonalità hija implimentata fuq il-firewall, għalhekk ma użajnihiex hawn.
- Applikazzjoni Traps (Full OS) - honeypots tradizzjonali bbażati fuq servers Windows. M'għandekx bżonn ħafna minnhom, peress li l-għan ewlieni ta 'dawn is-servers huwa li jipprovdu servizzi tal-IT lis-saff ta' sensuri li jmiss jew li jiskopru attakki fuq applikazzjonijiet tan-negozju li jistgħu jiġu skjerati f'ambjent Windows. Għandna server wieħed bħal dan installat fil-laboratorju tagħna (FOS01)
- In-nases emulati huma l-komponent ewlieni tas-soluzzjoni, li jippermettilna, bl-użu ta 'magna virtwali waħda, noħolqu "kamp tal-mini" dens ħafna għall-attakkanti u nisaturaw in-netwerk tal-intrapriżi, il-vlans kollha tagħha, bis-sensuri tagħna. L-attakkant jara tali sensor, jew host fantażma, bħala PC jew server Windows reali, server Linux jew apparat ieħor li aħna niddeċiedu li nuruh.
Għall-ġid tan-negozju u għall-fini tal-kurżità, użajna "par ta' kull kreatura" - Windows PCs u servers ta' diversi verżjonijiet, servers Linux, ATM bil-Windows integrat, SWIFT Web Access, printer tan-netwerk, Cisco. swiċċ, kamera Axis IP, MacBook, apparat PLC u anke bozza tad-dawl intelliġenti. B'kollox hemm 13-il host. B'mod ġenerali, il-bejjiegħ jirrakkomanda l-użu ta 'sensors bħal dawn f'ammont ta' mill-inqas 10% tan-numru ta 'hosts reali. Il-bar ta 'fuq huwa l-ispazju ta' l-indirizz disponibbli.Punt importanti ħafna huwa li kull host bħal dan mhuwiex magna virtwali sħiħa li teħtieġ riżorsi u liċenzji. Dan huwa decoy, emulazzjoni, proċess wieħed fuq it-TSA, li għandu sett ta 'parametri u indirizz IP. Għalhekk, bl-għajnuna ta 'anki TSA waħda, nistgħu nisaturaw in-netwerk b'mijiet ta' tali hosts fantażma, li se jaħdmu bħala sensuri fis-sistema ta 'allarm. Hija din it-teknoloġija li tagħmilha possibbli li l-kunċett tal-honeypot jiġi skalat b'mod kost-effettiv f'kull intrapriża mqassma kbira.
Mill-aspett ta 'attakkant, dawn l-ospiti huma attraenti minħabba li fihom vulnerabbiltajiet u jidhru li huma miri relattivament faċli. L-attakkant jara s-servizzi fuq dawn l-hosts u jista’ jinteraġixxi magħhom u jattakkahom billi juża għodod u protokolli standard (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, eċċ.). Iżda huwa impossibbli li tuża dawn l-ospiti biex tiżviluppa attakk jew tmexxi l-kodiċi tiegħek stess.
- Il-kombinazzjoni ta 'dawn iż-żewġ teknoloġiji (FullOS u nases emulati) tippermettilna niksbu probabbiltà statistika għolja li attakkant illum jew għada jiltaqa' ma 'xi element tan-netwerk tas-sinjalar tagħna. Imma kif nistgħu niżguraw li din il-probabbiltà tkun qrib il-100%?
L-hekk imsejħa tokens tal-Qerq jidħlu fil-battalja. Grazzi għalihom, nistgħu ninkludu l-PCs u s-servers eżistenti kollha tal-intrapriża fl-IDS distribwiti tagħna. It-tokens jitqiegħdu fuq il-kompjuters reali tal-utenti. Huwa importanti li wieħed jifhem li t-tokens mhumiex aġenti li jikkunsmaw ir-riżorsi u jistgħu jikkawżaw kunflitti. It-tokens huma elementi ta 'informazzjoni passivi, tip ta' "frak tal-ħobż" għan-naħa li tattakka li twassalha f'nassa. Pereżempju, drajvs tan-netwerk immappjati, bookmarks għal admins tal-web foloz fil-browser u passwords salvati għalihom, sessjonijiet ssh/rdp/winscp salvati, nases tagħna b'kummenti f'fajls hosts, passwords salvati fil-memorja, kredenzjali ta' utenti ineżistenti, uffiċċju fajls, ftuħ li se jqanqal is-sistema, u ħafna aktar. Għalhekk, inpoġġu lill-attakkant f'ambjent distort, saturat b'vettori ta 'attakk li fil-fatt ma joħolqux theddida għalina, iżda pjuttost l-oppost. U m'għandu l-ebda mod biex jiddetermina fejn l-informazzjoni hija vera u fejn hija falza. Għalhekk, aħna mhux biss niżguraw skoperta ta 'malajr ta' attakk, iżda wkoll inaqqas b'mod sinifikanti l-progress tiegħu.
Eżempju tal-ħolqien ta 'nassa tan-netwerk u t-twaqqif ta' tokens. Interface faċli u l-ebda editjar manwali ta 'konfigurazzjonijiet, skripts, eċċ.
Fl-ambjent tagħna, aħna kkonfigurajna u poġġejna għadd ta’ tokens bħal dawn fuq FOS01 li jħaddem Windows Server 2012R2 u PC tat-test li jaħdem Windows 7. RDP qed jaħdem fuq dawn il-magni u perjodikament aħna “hang” fid-DMZ, fejn numru ta’ sensuri tagħna. (nases emulati) huma murija wkoll. Allura aħna jkollna fluss kostanti ta 'inċidenti, naturalment biex ngħidu hekk.
Għalhekk, hawn xi statistika ta' malajr għas-sena:
56 – inċidenti rreġistrati,
2 – misjuba hosts tas-sors tal-attakk.
Mappa tal-attakk interattiva u li tista' tikklikkja
Fl-istess ħin, is-soluzzjoni ma tiġġenerax xi tip ta 'mega-log jew għalf tal-avvenimenti, li tieħu ħafna żmien biex tifhem. Minflok, is-soluzzjoni nnifisha tikklassifika l-avvenimenti skont it-tipi tagħhom u tippermetti lit-tim tas-sigurtà tal-informazzjoni jiffoka primarjament fuq dawk l-aktar perikolużi - meta l-attakkant jipprova jgħolli sessjonijiet ta 'kontroll (interazzjoni) jew meta tagħbija binarja (infezzjoni) jidhru fit-traffiku tagħna.
L-informazzjoni kollha dwar l-avvenimenti tista' tinqara u tiġi ppreżentata, fl-opinjoni tiegħi, f'forma faċli biex tinftiehem anke għal utent b'għarfien bażiku fil-qasam tas-sigurtà tal-informazzjoni.
Ħafna mill-inċidenti rreġistrati huma tentattivi biex jiġu skennjati l-hosts tagħna jew konnessjonijiet singoli.
Jew tentattivi ta' passwords ta' forza bruta għal RDP
Iżda kien hemm ukoll każijiet aktar interessanti, speċjalment meta l-attakkanti "irnexxielhom" raden il-password għal RDP u jiksbu aċċess għan-netwerk lokali.
Attakkant jipprova jesegwixxi kodiċi billi juża psexec.
L-attakkant sab sessjoni salvata, li wasslitlu f'nassa fil-forma ta 'server Linux. Immedjatament wara li kkonnettjat, b'sett wieħed ta' kmandi mħejji minn qabel, ipprova jeqred il-fajls tar-reġistri kollha u l-varjabbli tas-sistema korrispondenti.
Attakkant jipprova jwettaq injezzjoni SQL fuq honeypot li jimita SWIFT Web Access.
Minbarra attakki "naturali" bħal dawn, għamilna wkoll numru ta 'testijiet tagħna stess. Waħda mill-aktar tiżvela hija l-ittestjar tal-ħin ta 'skoperta ta' dudu tan-netwerk fuq netwerk. Biex nagħmlu dan użajna għodda minn GuardiCore imsejħa . Dan huwa dud tan-netwerk li jista 'jħaffef Windows u Linux, iżda mingħajr ebda "tagħbija".
Aħna skjerati ċentru ta 'kmand lokali, nedejna l-ewwel istanza tad-dudu fuq waħda mill-magni, u rċevejna l-ewwel twissija fil-console TrapX f'inqas minn minuta u nofs. TTD 90 sekonda kontra 106 jum bħala medja...
Grazzi għall-abbiltà li nintegraw ma' klassijiet oħra ta' soluzzjonijiet, nistgħu nimxu minn sempliċiment insibu malajr it-theddid għal nirrispondu għalihom awtomatikament.
Pereżempju, l-integrazzjoni mas-sistemi NAC (Network Access Control) jew ma' CarbonBlack se tippermettilek li tiskonnettja awtomatikament PCs kompromessi min-netwerk.
L-integrazzjoni ma' sandboxes tippermetti li fajls involuti f'attakk jiġu sottomessi awtomatikament għall-analiżi.
Integrazzjoni ta' McAfee
Is-soluzzjoni għandha wkoll is-sistema ta 'korrelazzjoni tal-avvenimenti inkorporata tagħha stess.
Imma ma konniex sodisfatti bil-kapaċitajiet tagħha, għalhekk integrajnaha ma 'HP ArcSight.
Is-sistema tal-biljetti inkorporata tgħin lid-dinja kollha tlaħħaq mat-theddid misjub.
Peress li s-soluzzjoni ġiet żviluppata "mill-bidu" għall-ħtiġijiet ta 'aġenziji tal-gvern u segment korporattiv kbir, naturalment timplimenta mudell ta' aċċess ibbażat fuq ir-rwol, integrazzjoni ma 'AD, sistema żviluppata ta' rapporti u triggers (twissijiet ta 'avvenimenti), orkestrazzjoni għal strutturi kbar ta’ holding jew fornituri tal-MSSP.
Minflok jerġa
Jekk hemm tali sistema ta 'monitoraġġ, li, b'mod figurattiv, tkopri daharna, allura bil-kompromess tal-perimetru kollox għadu qed jibda. L-iktar ħaġa importanti hija li jkun hemm opportunità reali biex jiġu ttrattati l-inċidenti tas-sigurtà tal-informazzjoni, u mhux biex jiġu ttrattati l-konsegwenzi tagħhom.
Sors: www.habr.com