(met dank aan Sergey G. Brester voor het titelidee )
Collega's, het doel van dit artikel is om de ervaring te delen van een jaar durende testoperatie van een nieuwe klasse IDS-oplossingen gebaseerd op Deception-technologieën.
Om de logische samenhang van de presentatie van de stof te behouden, acht ik het noodzakelijk om bij de premissen te beginnen. Dus het probleem:
- Gerichte aanvallen zijn het gevaarlijkste type aanval, ondanks het feit dat hun aandeel in het totale aantal bedreigingen klein is.
- Er zijn nog geen gegarandeerde effectieve middelen uitgevonden om de perimeter (of een reeks van dergelijke middelen) te beschermen.
- In de regel vinden gerichte aanvallen plaats in verschillende fasen. Het overwinnen van de perimeter is slechts een van de eerste fasen, die (je kunt stenen naar mij gooien) niet veel schade toebrengt aan het “slachtoffer”, tenzij het natuurlijk een DEoS-aanval (Destruction of Service) is (encryptors, enz. .). De echte ‘pijn’ begint later, wanneer de buitgemaakte activa worden gebruikt voor het draaien en ontwikkelen van een ‘diepte’-aanval, en we hebben dit niet opgemerkt.
- Aangezien we echte verliezen beginnen te lijden wanneer aanvallers uiteindelijk de doelwitten van de aanval bereiken (applicatieservers, DBMS, datawarehouses, opslagplaatsen, kritieke infrastructuurelementen), is het logisch dat een van de taken van de informatiebeveiligingsdienst erin bestaat aanvallen te onderbreken voordat deze trieste gebeurtenis. Maar om iets te onderbreken, moet je er eerst achter komen. En hoe eerder, hoe beter.
- Dienovereenkomstig is het voor succesvol risicobeheer (dat wil zeggen het verminderen van de schade door gerichte aanvallen) van cruciaal belang om over hulpmiddelen te beschikken die een minimale TTD bieden (de tijd om te detecteren - de tijd vanaf het moment van inbraak tot het moment dat de aanval wordt gedetecteerd). Afhankelijk van de sector en regio bedraagt deze periode gemiddeld 99 dagen in de VS, 106 dagen in de EMEA-regio, 172 dagen in de APAC-regio (M-Trends 2017, A View From the Front Lines, Mandiant).
- Wat biedt de markt?
- "Zandbakken". Nog een preventieve controle, die verre van ideaal is. Er zijn veel effectieve technieken voor het detecteren en omzeilen van sandboxes of whitelist-oplossingen. De jongens van de ‘donkere kant’ zijn hier nog steeds een stap voor.
- UEBA (systemen voor het profileren van gedrag en het identificeren van afwijkingen) - kunnen in theorie zeer effectief zijn. Maar naar mijn mening zal dit ergens in de verre toekomst zijn. In de praktijk is dit nog steeds erg duur en onbetrouwbaar en vereist het een zeer volwassen en stabiele IT- en informatiebeveiligingsinfrastructuur, die al over alle tools beschikt die gegevens genereren voor gedragsanalyse.
- SIEM is een goed hulpmiddel voor onderzoek, maar het is niet in staat om tijdig iets nieuws en origineels te zien en te laten zien, omdat de correlatieregels hetzelfde zijn als handtekeningen.
- Als gevolg hiervan is er behoefte aan een instrument dat:
- met succes gewerkt in omstandigheden van een reeds gecompromitteerde perimeter,
- detecteerde succesvolle aanvallen in bijna realtime, ongeacht de gebruikte tools en kwetsbaarheden,
- was niet afhankelijk van handtekeningen/regels/scripts/beleid/profielen en andere statische zaken,
- geen grote hoeveelheden gegevens en hun bronnen nodig hadden voor analyse,
- zou het mogelijk maken dat aanvallen niet worden gedefinieerd als een soort risicobeoordeling als resultaat van het werk van “de beste ter wereld, gepatenteerde en daarom gesloten wiskunde”, waarvoor aanvullend onderzoek nodig is, maar praktisch als een binaire gebeurtenis – “Ja, we worden aangevallen” of “Nee, alles is in orde”,
- was universeel, efficiënt schaalbaar en haalbaar om te implementeren in elke heterogene omgeving, ongeacht de gebruikte fysieke en logische netwerktopologie.
Zogenaamde misleidingsoplossingen strijden nu om de rol van een dergelijk instrument. Dat wil zeggen oplossingen gebaseerd op het goede oude concept van honeypots, maar met een heel ander implementatieniveau. Dit onderwerp is nu zeker in opkomst.
Volgens de resultaten Misleidingsoplossingen zijn opgenomen in de TOP 3 van strategieën en hulpmiddelen die worden aanbevolen om te gebruiken.
Volgens het rapport Misleiding is een van de hoofdrichtingen bij de ontwikkeling van IDS Inbraakdetectiesystemen.
Een hele sectie van de laatste , gewijd aan SCADA, is gebaseerd op gegevens van een van de leiders in deze markt, TrapX Security (Israël), waarvan de oplossing al een jaar in ons testgebied werkt.
Met TrapX Deception Grid kunt u grootschalig gedistribueerde IDS centraal beheren en beheren, zonder de licentielast en vereisten voor hardwarebronnen te verhogen. In feite is TrapX een constructor waarmee je uit elementen van de bestaande IT-infrastructuur één groot mechanisme kunt creëren voor het detecteren van aanvallen op ondernemingsbrede schaal, een soort gedistribueerd netwerk-‘alarm’.
Oplossingsstructuur
In ons laboratorium bestuderen en testen wij voortdurend diverse nieuwe producten op het gebied van IT-beveiliging. Momenteel worden hier ongeveer 50 verschillende virtuele servers ingezet, inclusief TrapX Deception Grid-componenten.
Dus van boven naar beneden:
- TSOC (TrapX Security Operation Console) is het brein van het systeem. Dit is de centrale beheerconsole waarmee de configuratie, implementatie van de oplossing en alle dagelijkse handelingen worden uitgevoerd. Omdat dit een webservice is, kan deze overal worden ingezet: aan de perimeter, in de cloud of bij een MSSP-provider.
- TrapX Appliance (TSA) is een virtuele server waarmee we via de trunkpoort verbinding maken met de subnetten die we willen bestrijken met monitoring. Bovendien ‘wonen’ al onze netwerksensoren hier daadwerkelijk.
Ons laboratorium heeft één TSA ingezet (mwsapp1), maar in werkelijkheid kunnen het er veel zijn. Dit kan nodig zijn in grote netwerken waar er geen L2-connectiviteit tussen segmenten is (een typisch voorbeeld is ‘Holding en dochterondernemingen’ of ‘Bankhoofdkantoor en filialen’) of als het netwerk geïsoleerde segmenten heeft, bijvoorbeeld geautomatiseerde procescontrolesystemen. In elke branche/segment kunt u uw eigen TSA inzetten en deze aansluiten op één TSOC, waar alle informatie centraal wordt verwerkt. Met deze architectuur kunt u gedistribueerde monitoringsystemen bouwen zonder dat u het netwerk radicaal hoeft te herstructureren of de bestaande segmentatie hoeft te verstoren.
Ook kunnen we via TAP/SPAN een kopie van uitgaand verkeer naar TSA sturen. Als we verbindingen met bekende botnets, command-and-control-servers of TOR-sessies detecteren, ontvangen we het resultaat ook in de console. Network Intelligence Sensor (NIS) is hiervoor verantwoordelijk. In onze omgeving is deze functionaliteit op de firewall geïmplementeerd, dus hier hebben we hier geen gebruik van gemaakt.
- Application Traps (volledig besturingssysteem) – traditionele honeypots gebaseerd op Windows-servers. Je hebt er niet veel nodig, omdat het hoofddoel van deze servers het leveren van IT-diensten aan de volgende laag sensoren is of het detecteren van aanvallen op bedrijfsapplicaties die mogelijk in een Windows-omgeving worden ingezet. We hebben zo'n server geïnstalleerd in ons laboratorium (FOS01)
- Geëmuleerde traps vormen het belangrijkste onderdeel van de oplossing, waardoor we met behulp van één enkele virtuele machine een zeer dicht ‘mijnenveld’ voor aanvallers kunnen creëren en het bedrijfsnetwerk, met al zijn vlans, kunnen verzadigen met onze sensoren. De aanvaller ziet zo’n sensor, of fantoomhost, als een echte Windows-pc of -server, Linux-server of ander apparaat dat we besluiten hem te laten zien.
Voor het welzijn van het bedrijf en uit nieuwsgierigheid hebben we “van elk wezen een paar” ingezet: Windows-pc's en servers van verschillende versies, Linux-servers, een geldautomaat met ingebouwde Windows, SWIFT Web Access, een netwerkprinter, een Cisco schakelaar, een Axis IP-camera, een MacBook, PLC-apparaat en zelfs een slimme gloeilamp. Er zijn in totaal 13 gastheren. Over het algemeen raadt de leverancier aan om dergelijke sensoren in te zetten in een hoeveelheid van minimaal 10% van het aantal echte hosts. De bovenste balk is de beschikbare adresruimte.Een heel belangrijk punt is dat elke host geen volwaardige virtuele machine is waarvoor bronnen en licenties nodig zijn. Dit is een lokmiddel, emulatie, één proces op de TSA, dat een reeks parameters en een IP-adres heeft. Daarom kunnen we, met de hulp van zelfs maar één TSA, het netwerk verzadigen met honderden van dergelijke fantoomhosts, die zullen werken als sensoren in het alarmsysteem. Het is deze technologie die het mogelijk maakt om het honeypot-concept kosteneffectief te schalen binnen elke grote gedistribueerde onderneming.
Vanuit het perspectief van een aanvaller zijn deze hosts aantrekkelijk omdat ze kwetsbaarheden bevatten en relatief gemakkelijke doelwitten lijken te zijn. De aanvaller ziet services op deze hosts en kan ermee communiceren en ze aanvallen met behulp van standaardtools en protocollen (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, enz.). Maar het is onmogelijk om deze hosts te gebruiken om een aanval te ontwikkelen of je eigen code uit te voeren.
- De combinatie van deze twee technologieën (FullOS en geëmuleerde traps) stelt ons in staat een hoge statistische waarschijnlijkheid te bereiken dat een aanvaller vroeg of laat een element van ons signaleringsnetwerk tegenkomt. Maar hoe kunnen we ervoor zorgen dat deze waarschijnlijkheid bijna 100% bedraagt?
De zogenaamde Deception-tokens komen in de strijd. Dankzij hen kunnen we alle bestaande pc's en servers van de onderneming opnemen in onze gedistribueerde IDS. Tokens worden op de echte pc's van gebruikers geplaatst. Het is belangrijk om te begrijpen dat tokens geen agenten zijn die hulpbronnen verbruiken en conflicten kunnen veroorzaken. Tokens zijn passieve informatie-elementen, een soort ‘broodkruimels’ voor de aanvallende partij die deze in de val lokken. Bijvoorbeeld toegewezen netwerkstations, bladwijzers om webbeheerders in de browser te vervalsen en wachtwoorden voor hen op te slaan, opgeslagen ssh/rdp/winscp-sessies, onze traps met opmerkingen in hosts-bestanden, wachtwoorden opgeslagen in het geheugen, inloggegevens van niet-bestaande gebruikers, kantoor bestanden, openen waardoor het systeem wordt geactiveerd, en nog veel meer. We plaatsen de aanvaller dus in een vervormde omgeving, verzadigd met aanvalsvectoren die niet echt een bedreiging voor ons vormen, maar eerder het tegenovergestelde. En hij heeft geen manier om te bepalen waar de informatie waar is en waar deze onwaar is. Zo zorgen we niet alleen voor een snelle detectie van een aanval, maar vertragen we ook de voortgang ervan aanzienlijk.
Een voorbeeld van het maken van een netwerktrap en het instellen van tokens. Gebruiksvriendelijke interface en geen handmatige bewerking van configuraties, scripts, enz.
In onze omgeving hebben we een aantal van dergelijke tokens geconfigureerd en geplaatst op FOS01 met Windows Server 2012R2 en een test-pc met Windows 7. RDP draait op deze machines en we ‘hangen’ ze periodiek in de DMZ, waar een aantal van onze sensoren (geëmuleerde traps) worden ook weergegeven. We krijgen dus een constante stroom incidenten, om het zo maar te zeggen.
Hier zijn dus enkele korte statistieken voor het jaar:
56 – geregistreerde incidenten,
2 – hosts van aanvalsbron gedetecteerd.
Interactieve, klikbare aanvalskaart
Tegelijkertijd genereert de oplossing geen megalogboek of gebeurtenisfeed, wat veel tijd kost om te begrijpen. In plaats daarvan classificeert de oplossing zelf gebeurtenissen op type en stelt het informatiebeveiligingsteam in staat zich primair te concentreren op de gevaarlijkste: wanneer de aanvaller controlesessies probeert te verhogen (interactie) of wanneer binaire payloads (infectie) in ons verkeer verschijnen.
Alle informatie over evenementen is naar mijn mening leesbaar en gepresenteerd in een gemakkelijk te begrijpen vorm, zelfs voor een gebruiker met basiskennis van informatiebeveiliging.
De meeste geregistreerde incidenten zijn pogingen om onze hosts of afzonderlijke verbindingen te scannen.
Of pogingen om wachtwoorden voor RDP bruut te forceren
Maar er waren ook interessantere gevallen, vooral toen aanvallers ‘erin slaagden’ het wachtwoord voor RDP te raden en toegang te krijgen tot het lokale netwerk.
Een aanvaller probeert code uit te voeren met behulp van psexec.
De aanvaller vond een opgeslagen sessie, waardoor hij in de val liep in de vorm van een Linux-server. Onmiddellijk na het verbinden probeerde het met één vooraf voorbereide reeks opdrachten alle logbestanden en bijbehorende systeemvariabelen te vernietigen.
Een aanvaller probeert SQL-injectie uit te voeren op een honeypot die SWIFT Web Access imiteert.
Naast dergelijke ‘natuurlijke’ aanvallen hebben we ook een aantal eigen tests uitgevoerd. Een van de meest onthullende is het testen van de detectietijd van een netwerkworm op een netwerk. Hiervoor hebben we een tool van GuardiCore gebruikt genaamd . Dit is een netwerkworm die Windows en Linux kan kapen, maar zonder enige “payload”.
We hebben een lokaal commandocentrum ingezet, de eerste instantie van de worm op een van de machines gelanceerd en binnen anderhalve minuut de eerste waarschuwing in de TrapX-console ontvangen. TTD 90 seconden versus gemiddeld 106 dagen...
Dankzij de mogelijkheid om te integreren met andere soorten oplossingen kunnen we overstappen van het snel detecteren van bedreigingen naar het automatisch reageren daarop.
Dankzij de integratie met NAC-systemen (Network Access Control) of met CarbonBlack kunt u bijvoorbeeld gecompromitteerde pc's automatisch loskoppelen van het netwerk.
Dankzij de integratie met sandboxes kunnen bestanden die betrokken zijn bij een aanval automatisch ter analyse worden ingediend.
McAfee-integratie
De oplossing heeft ook een eigen ingebouwd gebeurteniscorrelatiesysteem.
Maar we waren niet tevreden met de mogelijkheden ervan, dus integreerden we het met HP ArcSight.
Het ingebouwde ticketingsysteem helpt de hele wereld om te gaan met gedetecteerde bedreigingen.
Omdat de oplossing “vanaf het begin” is ontwikkeld voor de behoeften van overheidsinstanties en een groot bedrijfssegment, implementeert deze uiteraard een op rollen gebaseerd toegangsmodel, integratie met AD, een ontwikkeld systeem van rapporten en triggers (gebeurteniswaarschuwingen), orkestratie voor grote holdingstructuren of MSSP-aanbieders.
In plaats van een CV
Als er zo'n monitoringsysteem bestaat dat, figuurlijk gesproken, onze rug bedekt, dan is met het compromis van de perimeter alles nog maar net begonnen. Het allerbelangrijkste is dat er een reële mogelijkheid bestaat om informatiebeveiligingsincidenten aan te pakken, en niet om de gevolgen ervan aan te pakken.
Bron: www.habr.com