Hull som sikkerhetsverktøy – 2, eller hvordan fange APT "med levende agn"

(takk til Sergey G. Brester for tittelideen sebres)

Kolleger, formålet med denne artikkelen er å dele opplevelsen av en årelang testdrift av en ny klasse IDS-løsninger basert på Deception-teknologier.

For å opprettholde den logiske sammenhengen i presentasjonen av materialet, anser jeg det som nødvendig å starte med premissene. Så, problemet:

1. Målrettede angrep er den farligste typen angrep, til tross for at deres andel av det totale antallet trusler er liten.
2. Ingen garantert effektive midler for å beskytte omkretsen (eller et sett med slike midler) er ennå ikke oppfunnet.
3. Som regel skjer målrettede angrep i flere stadier. Å overvinne omkretsen er bare ett av de innledende stadiene, som (du kan kaste steiner på meg) ikke forårsaker mye skade på "offeret", med mindre det selvfølgelig er et DEoS (Destruction of service) angrep (krypteringer, etc. .). Den virkelige "smerten" begynner senere, når de fangede eiendelene begynner å bli brukt til å svinge og utvikle et "dybde" angrep, og vi la ikke merke til dette.
4. Siden vi begynner å lide reelle tap når angripere endelig når målene for angrepet (applikasjonsservere, DBMS, datavarehus, repositories, kritiske infrastrukturelementer), er det logisk at en av oppgavene til informasjonssikkerhetstjenesten er å avbryte angrep før denne triste hendelsen. Men for å avbryte noe, må du først finne ut av det. Og jo før, jo bedre.
5. Følgelig, for vellykket risikostyring (det vil si å redusere skade fra målrettede angrep), er det avgjørende å ha verktøy som vil gi et minimum TTD (tid til å oppdage - tiden fra øyeblikket av inntrenging til øyeblikket angrepet blir oppdaget). Avhengig av bransje og region er denne perioden i gjennomsnitt 99 dager i USA, 106 dager i EMEA-regionen, 172 dager i APAC-regionen (M-Trends 2017, A View From the Front Lines, Mandiant).
6. Hva tilbyr markedet?
   • "Sandkasser". Nok en forebyggende kontroll, som langt fra er ideell. Det finnes mange effektive teknikker for å oppdage og omgå sandkasser eller hvitelisteløsninger. Gutta fra «den mørke siden» er fortsatt et skritt foran her.
   • UEBA (systemer for profilering av atferd og identifisering av avvik) – kan i teorien være svært effektive. Men etter min mening er dette en gang i en fjern fremtid. I praksis er dette fortsatt svært dyrt, upålitelig og krever en meget moden og stabil IT- og informasjonssikkerhetsinfrastruktur, som allerede har alle verktøyene som skal generere data for atferdsanalyse.
   • SIEM er et godt verktøy for undersøkelser, men det er ikke i stand til å se og vise noe nytt og originalt i tide, fordi korrelasjonsreglene er det samme som signaturer.

7. Som et resultat er det behov for et verktøy som kan:
   • fungerte vellykket under forhold med en allerede kompromittert omkrets,
   • oppdaget vellykkede angrep i nesten sanntid, uavhengig av verktøyene og sårbarhetene som ble brukt,
   • var ikke avhengig av signaturer/regler/manus/policyer/profiler og andre statiske ting,
   • krevde ikke store mengder data og deres kilder for analyse,
   • ville tillate angrep å bli definert ikke som en form for risikoscoring som et resultat av arbeidet til "de beste i verden, patentert og derfor lukket matematikk", som krever ytterligere etterforskning, men praktisk talt som en binær hendelse - "Ja, vi blir angrepet" eller "Nei, alt er i orden",
   • var universell, effektivt skalerbar og mulig å implementere i ethvert heterogent miljø, uavhengig av den fysiske og logiske nettverkstopologien som ble brukt.

Såkalte bedragsløsninger kjemper nå om rollen som et slikt verktøy. Det vil si løsninger basert på det gode gamle konseptet honningpotter, men med et helt annet gjennomføringsnivå. Dette temaet er definitivt på vei opp nå.

I følge resultatene Gartner Security&Risc Management Summit 2017 Bedragsløsninger er inkludert i TOP 3 strategier og verktøy som anbefales brukt.

Ifølge rapporten TAG Cybersecurity Annual 2017 Bedrag er en av hovedretningene for utviklingen av IDS Intrusion Detection Systems) løsninger.

En hel del av sistnevnte Cisco State of IT Security Report, dedikert til SCADA, er basert på data fra en av lederne i dette markedet, TrapX Security (Israel), hvis løsning har fungert i vårt testområde i et år.

TrapX Deception Grid lar deg koste og drive massivt distribuert IDS sentralt, uten å øke lisensieringsbelastningen og kravene til maskinvareressurser. Faktisk er TrapX en konstruktør som lar deg lage fra elementer av den eksisterende IT-infrastrukturen én stor mekanisme for å oppdage angrep på en bedriftsomfattende skala, en slags distribuert nettverks-"alarm".

Løsningsstruktur

I vårt laboratorium studerer og tester vi hele tiden ulike nye produkter innen IT-sikkerhet. For tiden er rundt 50 forskjellige virtuelle servere distribuert her, inkludert TrapX Deception Grid-komponenter.

Så fra topp til bunn:

1. TSOC (TrapX Security Operation Console) er hjernen i systemet. Dette er den sentrale administrasjonskonsollen der konfigurasjon, utrulling av løsningen og all daglig drift utføres. Siden dette er en nettjeneste, kan den distribueres hvor som helst – på perimeteren, i skyen eller hos en MSSP-leverandør.
2. TrapX Appliance (TSA) er en virtuell server som vi kobler til, ved hjelp av trunkporten, de undernettene som vi ønsker å dekke med overvåking. Dessuten "lever" alle nettverkssensorene våre faktisk her.

   Vår lab har en TSA utplassert (mwsapp1), men i virkeligheten kan det være mange. Dette kan være nødvendig i store nettverk der det ikke er L2-forbindelse mellom segmenter (et typisk eksempel er "Holding og datterselskaper" eller "Bankens hovedkontor og filialer") eller hvis nettverket har isolerte segmenter, for eksempel automatiserte prosesskontrollsystemer. I hver slik gren/segment kan du distribuere din egen TSA og koble den til en enkelt TSOC, hvor all informasjon vil bli behandlet sentralt. Denne arkitekturen lar deg bygge distribuerte overvåkingssystemer uten å måtte omstrukturere nettverket radikalt eller forstyrre eksisterende segmentering.

   Vi kan også sende inn en kopi av utgående trafikk til TSA via TAP/SPAN. Hvis vi oppdager forbindelser med kjente botnett, kommando- og kontrollservere eller TOR-økter, vil vi også motta resultatet i konsollen. Network Intelligence Sensor (NIS) er ansvarlig for dette. I vårt miljø er denne funksjonaliteten implementert på brannmuren, så vi brukte den ikke her.

3. Application Traps (Full OS) – tradisjonelle honningpotter basert på Windows-servere. Du trenger ikke mange av dem, siden hovedformålet med disse serverne er å gi IT-tjenester til neste lag med sensorer eller oppdage angrep på forretningsapplikasjoner som kan distribueres i et Windows-miljø. Vi har en slik server installert i laboratoriet vårt (FOS01)

   

4. Emulerte feller er hovedkomponenten i løsningen, som lar oss, ved å bruke én enkelt virtuell maskin, lage et veldig tett «minefelt» for angripere og mette bedriftsnettverket, alle dets vlans, med sensorene våre. Angriperen ser på en slik sensor, eller fantomvert, som en ekte Windows-PC eller server, Linux-server eller annen enhet som vi bestemmer oss for å vise ham.

   
   
   For bedriftens beste og for nysgjerrighetens skyld, distribuerte vi "et par av hver skapning" - Windows-PCer og servere i forskjellige versjoner, Linux-servere, en minibank med Windows innebygd, SWIFT Web Access, en nettverksskriver, en Cisco switch, et Axis IP-kamera, en MacBook, PLS-enhet og til og med en smart lyspære. Det er totalt 13 verter. Generelt anbefaler leverandøren å distribuere slike sensorer i en mengde på minst 10 % av antall reelle verter. Den øverste linjen er den tilgjengelige adresseplassen.

   Et veldig viktig poeng er at hver slik vert ikke er en fullverdig virtuell maskin som krever ressurser og lisenser. Dette er en lokkedue, emulering, én prosess på TSA, som har et sett med parametere og en IP-adresse. Derfor, ved hjelp av enda en TSA, kan vi mette nettverket med hundrevis av slike fantomverter, som vil fungere som sensorer i alarmsystemet. Det er denne teknologien som gjør det mulig å kostnadseffektivt skalere honeypot-konseptet på tvers av alle store distribuerte virksomheter.

   Fra en angripers synspunkt er disse vertene attraktive fordi de inneholder sårbarheter og ser ut til å være relativt enkle mål. Angriperen ser tjenester på disse vertene og kan samhandle med dem og angripe dem ved hjelp av standardverktøy og protokoller (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, etc.). Men det er umulig å bruke disse vertene til å utvikle et angrep eller kjøre din egen kode.

5. Kombinasjonen av disse to teknologiene (FullOS og emulerte feller) gjør at vi kan oppnå en høy statistisk sannsynlighet for at en angriper før eller siden vil møte et eller annet element i signalnettverket vårt. Men hvordan kan vi forsikre oss om at denne sannsynligheten er nær 100 %?

   De såkalte Deception-tokenene går inn i kampen. Takket være dem kan vi inkludere alle eksisterende PC-er og servere til bedriften i vår distribuerte IDS. Tokens plasseres på brukernes ekte PC-er. Det er viktig å forstå at tokens ikke er agenter som bruker ressurser og kan forårsake konflikter. Tokens er passive informasjonselementer, en slags "brødsmuler" for den angripende siden som fører den inn i en felle. For eksempel kartlagte nettverksstasjoner, bokmerker til falske nettadministratorer i nettleseren og lagrede passord for dem, lagrede ssh/rdp/winscp-økter, fellene våre med kommentarer i vertsfiler, passord lagret i minnet, legitimasjon til ikke-eksisterende brukere, office filer, åpning som vil utløse systemet, og mye mer. Dermed plasserer vi angriperen i et forvrengt miljø, mettet med angrepsvektorer som faktisk ikke utgjør en trussel for oss, men snarere det motsatte. Og han har ingen måte å finne ut hvor informasjonen er sann og hvor den er usann. Dermed sikrer vi ikke bare rask oppdagelse av et angrep, men bremser også fremdriften betydelig.

Et eksempel på å lage en nettverksfelle og sette opp tokens. Vennlig grensesnitt og ingen manuell redigering av konfigurasjoner, skript, etc.

I vårt miljø har vi konfigurert og plassert en rekke slike tokens på FOS01 som kjører Windows Server 2012R2 og en test-PC som kjører Windows 7. RDP kjører på disse maskinene og vi "henger" dem med jevne mellomrom i DMZ, hvor en rekke av våre sensorer (emulerte feller) vises også. Så vi får en konstant strøm av hendelser, naturlig nok for å si det sånn.

Så her er noen raske statistikker for året:

56 208 – hendelser registrert,
2 912 – verter for angrepskilde oppdaget.

Interaktivt, klikkbart angrepskart

Samtidig genererer ikke løsningen noen form for megalogg eller hendelsesfeed, som det tar lang tid å forstå. I stedet klassifiserer løsningen selv hendelser etter type og lar informasjonssikkerhetsteamet fokusere primært på de farligste – når angriperen prøver å øke kontrolløkter (interaksjon) eller når binære nyttelaster (infeksjon) vises i trafikken vår.

All informasjon om hendelser er lesbar og presentert, etter min mening, i en lettfattelig form selv for en bruker med grunnleggende kunnskap innen informasjonssikkerhet.

De fleste av de registrerte hendelsene er forsøk på å skanne vertene våre eller enkeltforbindelser.

Eller forsøk på å brutalt tvinge passord for RDP

Men det var også mer interessante tilfeller, spesielt når angripere "klarte" å gjette passordet for RDP og få tilgang til det lokale nettverket.

En angriper prøver å kjøre kode ved hjelp av psexec.

Angriperen fant en lagret økt, som førte ham inn i en felle i form av en Linux-server. Umiddelbart etter tilkobling, med ett forhåndsforberedt sett med kommandoer, forsøkte den å ødelegge alle loggfiler og tilsvarende systemvariabler.

En angriper prøver å utføre SQL-injeksjon på en honningpotte som imiterer SWIFT Web Access.

I tillegg til slike "naturlige" angrep, gjennomførte vi også en rekke av våre egne tester. En av de mest avslørende er å teste deteksjonstiden til en nettverksorm på et nettverk. For å gjøre dette brukte vi et verktøy fra GuardiCore kalt Infeksjonsap. Dette er en nettverksorm som kan kapre Windows og Linux, men uten noen "nyttelast".
Vi satte inn et lokalt kommandosenter, lanserte den første forekomsten av ormen på en av maskinene, og mottok det første varselet i TrapX-konsollen på mindre enn halvannet minutt. TTD 90 sekunder mot 106 dager i gjennomsnitt...

Takket være muligheten til å integrere med andre klasser av løsninger, kan vi gå fra å bare raskt oppdage trusler til å svare automatisk på dem.

For eksempel vil integrasjon med NAC-systemer (Network Access Control) eller med CarbonBlack tillate deg å automatisk koble kompromitterte PC-er fra nettverket.

Integrasjon med sandkasser gjør at filer som er involvert i et angrep automatisk sendes inn for analyse.

McAfee-integrasjon

Løsningen har også sitt eget innebygde hendelseskorrelasjonssystem.

Men vi var ikke fornøyd med dens evner, så vi integrerte den med HP ArcSight.

Det innebygde billettsystemet hjelper hele verden med å takle oppdagede trusler.

Siden løsningen ble utviklet «fra starten» for behovene til offentlige etater og et stort bedriftssegment, implementerer den naturligvis en rollebasert tilgangsmodell, integrasjon med AD, et utviklet system med rapporter og triggere (hendelsesvarsler), orkestrering for store holdingstrukturer eller MSSP-leverandører.

I stedet for et CV

Hvis det er et slikt overvåkingssystem, som billedlig talt dekker ryggen vår, så har alt bare begynt med kompromisset om omkretsen. Det viktigste er at det er en reell mulighet til å håndtere informasjonssikkerhetshendelser, og ikke håndtere konsekvensene av dem.

Kilde: www.habr.com