Hull som sikkerhetsverktøy – 2, eller hvordan fange APT "med levende agn"

(takk til Sergey G. Brester for tittelideen) sebres)

Kolleger, formålet med denne artikkelen er å dele erfaringene fra en årelang testoperasjon av en ny klasse IDS-løsninger basert på Deception-teknologier.

For å opprettholde den logiske sammenhengen i presentasjonen av materialet, anser jeg det som nødvendig å begynne med premissene. Så, problemstillingen:

1. Målrettede angrep er den farligste angrepstypen, til tross for at andelen deres av det totale antallet trusler er liten.
2. Det finnes ingen garantert effektive metoder for perimeterbeskyttelse (eller et kompleks av slike metoder) som ennå er oppfunnet.
3. Vanligvis skjer målrettede angrep i flere stadier. Perimeterbrudd er bare ett av de innledende stadiene, som (du kan kaste stein på meg) ikke forårsaker mye skade på "offeret", med mindre det selvfølgelig er et DEoS-angrep (Destruction of Service) (krypteringsmaskiner osv.). Den virkelige "smerten" begynner senere, når de erobrede ressursene begynner å bli brukt til å dreie og utvikle et angrep "i dybden", og vi la ikke merke til det.
4. Siden vi begynner å lide reelle tap når angriperne endelig når frem til angrepsmålene (applikasjonsservere, DBMS, datalagring, databaser, kritiske infrastrukturelementer), er det logisk at en av oppgavene til informasjonssikkerhetstjenesten er å avbryte angrep før denne triste hendelsen. Men for å avbryte noe, må du først vite om det. Og jo før - jo bedre.
5. For vellykket risikostyring (dvs. å redusere skade fra målrettede angrep) er det derfor avgjørende å ha verktøy som sikrer en minimums-TTD (tid til deteksjon – tiden fra inntrengingsøyeblikket til angrepet oppdages). Avhengig av bransje og region er denne perioden i gjennomsnitt 99 dager i USA, 106 dager i EMEA-regionen og 172 dager i APAC-regionen (M-Trends 2017, A View From the Front Lines, Mandiant).
6. Hva tilbyr markedet?
   • «Sandkasser». Nok en forebyggende kontroll, som langt fra er ideell. Det finnes mange effektive teknikker for å oppdage og omgå sandkasser eller hvitelisteløsninger. Gutta fra den «mørke siden» er fortsatt et skritt foran her.
   • UEBA (systemer for atferdsprofilering og anomaliedeteksjon) – i teorien kan det være svært effektivt. Men etter min mening ligger dette en gang i den fjerne fremtiden. I praksis er det fortsatt svært dyrt, upålitelig og krever en svært moden og stabil IT- og IS-infrastruktur, der alle verktøyene som vil generere data for atferdsanalyse allerede finnes.
   • SIEM er et godt verktøy for undersøkelser, men det er ikke i stand til å se eller vise noe nytt eller originalt i tide, fordi korrelasjonsreglene i hovedsak er de samme signaturene.

7. Som et resultat av dette oppsto det et behov for et verktøy som ville:
   • operert med hell i en allerede kompromittert perimeter,
   • oppdager vellykkede angrep i nær sanntid uavhengig av verktøy og sårbarheter som brukes,
   • var ikke avhengig av signaturer/regler/skript/policyer/profiler og andre statiske ting,
   • krevde ikke store mengder data og deres kilder for analyse,
   • ville tillate oss å definere angrep ikke som en slags risikovurdering som et resultat av arbeidet til «verdens beste, patenterte og derfor lukkede matematikk», som krever ytterligere undersøkelser, men praktisk talt som en binær hendelse – «Ja, vi blir angrepet» eller «Nei, alt er i orden».
   • var universell, effektivt skalerbar og gjennomførbar å implementere i ethvert heterogent miljø, uavhengig av den fysiske og logiske nettverkstopologien som ble brukt.

De såkalte bedragerløsningene gjør for tiden krav på rollen som et slikt verktøy. Det vil si løsninger basert på det gode gamle konseptet med honeypots, men med et helt annet implementeringsnivå. Dette temaet er definitivt på vei oppover nå.

I følge resultatene Gartner-toppmøte om sikkerhet og risikostyring 2017 Løsninger for bedrag er blant de 3 beste strategiene og verktøyene som anbefales å bruke.

Ifølge rapporten TAG Cybersikkerhet Årlig 2017 Bedrag er en av hovedretningene for utvikling av IDS-løsninger for inntrengingsdeteksjonssystemer.

En hel del av sistnevnte Ciscos rapport om IT-sikkerhetstilstand, dedikert til SCADA, er basert på data fra en av lederne i dette markedet, TrapX Security (Israel), hvis løsning har fungert i vår testsone i et år nå.

TrapX Deception Grid lar deg bygge og drifte massive distribuerte IDS sentralt, uten å øke lisensbelastningen og kravene til maskinvareressurser. Faktisk er TrapX en konstruktør som lar deg lage én stor, bedriftsomfattende angrepsdeteksjonsmekanisme fra elementer i den eksisterende IT-infrastrukturen, en slags distribuert nettverks"alarm".

Løsningsstruktur

I laboratoriet vårt studerer og tester vi kontinuerlig ulike innovasjoner innen IT-sikkerhet. For tiden er det rundt 50 forskjellige virtuelle servere distribuert her, inkludert TrapX Deception Grid-komponenter.

Så, fra topp til bunn:

1. TSOC (TrapX Security Operation Console) er hjernen i systemet. Dette er den sentrale administrasjonskonsollen, som brukes til å konfigurere og distribuere løsningen, og alt daglig arbeid utføres. Siden dette er en webtjeneste, kan den distribueres hvor som helst – i perimeteret, i skyen eller hos MSSP-leverandøren.
2. TrapX Appliance (TSA) er en virtuell server som vi kobler subnettene vi ønsker å overvåke til via en trunk-port. Alle nettverkssensorene våre «bor» faktisk her.

   I laboratoriet vårt har vi distribuert én TSA (mwsapp1), men i virkeligheten kan det være mange av dem. Dette kan være nødvendig i store nettverk der det ikke er L2-tilkobling mellom segmenter (et typisk eksempel er «Holding og datterselskaper» eller «Bankhovedkontor og filialer»), eller hvis det er isolerte segmenter i nettverket, for eksempel et automatisert prosesskontrollsystem. I hver slik filial/segment kan du distribuere din egen TSA og koble den til en enkelt TSOC, der all informasjon vil bli sentralt behandlet. Denne arkitekturen lar deg bygge distribuerte overvåkingssystemer uten behov for en radikal omstrukturering av nettverket eller forstyrrelse av eksisterende segmentering.

   Vi kan også sende en kopi av utgående trafikk til TSA via TAP/SPAN. Ved deteksjon av forbindelser med kjente botnett, kommandoservere eller TOR-økter, vil vi også motta resultatet i konsollen. Network Intelligence Sensor (NIS) er ansvarlig for dette. I vårt miljø er denne funksjonaliteten implementert på brannmuren, så vi brukte den ikke her.

3. Applikasjonsfeller (fullt operativsystem) – tradisjonelle honeypots basert på Windows-servere. Det kreves ikke mange, ettersom hovedformålet med disse serverne er å tilby IT-tjenester til neste lag med sensorer eller å oppdage angrep på forretningsapplikasjoner som kan bli distribuert i Windows-Onsdag. Vi har en slik server (FOS01) installert i laboratoriet vårt.

   

4. Emulerte feller er kjernekomponenten i løsningen, og lar oss lage et svært tett minefelt for angripere ved hjelp av én virtuell maskin og mette bedriftsnettverket, inkludert alle VLAN-ene, med våre sensorer. Angriperen ser en slik sensor, eller fantomvert, som en ekte en. Windows PC eller server, Linux server eller annen enhet som vi bestemmer oss for å vise den.

   
   
   Av forretningsmessige og nysgjerrige årsaker distribuerte vi «et par av hver skapning» - Windows PC-er og servere i forskjellige versjoner, Linux-servere, minibank Windows innebygd, SWIFT Web Access, en nettverksskriver, en Cisco-svitsj, et Axis IP-kamera, en MacBook, en PLS-enhet og til og med en smart lyspære. Det er totalt 13 verter. Generelt anbefaler leverandøren å distribuere slike sensorer til minst 10 % av det totale antallet faktiske verter. Den øvre grensen er det tilgjengelige adresseområdet.

   Et svært viktig poeng er at hver slik vert ikke er en fullverdig virtuell maskin som krever ressurser og lisenser. Det er en "dummy", en emulering, én prosess på TSA, som har et sett med parametere og en IP-adresse. Derfor kan vi, med hjelp av bare én TSA, mette nettverket med hundrevis av slike fantomverter som vil fungere som sensorer i alarmsystemet. Det er denne teknologien som gjør at konseptet med "honeypots" kan skaleres økonomisk og effektivt i skalaen til enhver stor distribuert bedrift.

   Disse vertene er attraktive fra angriperens synspunkt, ettersom de inneholder sårbarheter og ser ut som relativt enkle mål. Angriperen ser tjenestene på disse vertene og kan samhandle med dem, angripe dem ved hjelp av standardverktøy og protokoller (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, osv.). Men det er umulig å bruke disse vertene til å utvikle et angrep og lansere koden din.

5. Kombinasjonen av disse to teknologiene (FullOS og emulerte honeypots) lar oss oppnå en høy statistisk sannsynlighet for at en angriper til slutt vil støte på et element i signalnettverket vårt. Men hvordan kan vi gjøre denne sannsynligheten nær 100 %?

   De såkalte tokenene (Deception tokens) kommer inn i kampen. Takket være dem kan vi inkludere alle tilgjengelige PC-er og servere i bedriften i våre distribuerte IDS. Tokener plasseres på ekte PC-er tilhørende brukere. Det er viktig å forstå at tokener ikke er en agent som bruker ressurser og kan forårsake konflikter. Tokener er passive informasjonselementer, en slags "brødsmuler" for den angripende parten, som leder den i en felle. For eksempel tilkoblede nettverksstasjoner, bokmerker til falske nettadministrasjonspaneler i nettleseren og lagrede passord til dem, lagrede ssh/rdp/winscp-økter, fellene våre med kommentarer i hosts-filer, passord lagret i minnet, legitimasjon til ikke-eksisterende brukere, Office-filer, hvis åpning vil utløse systemet, og mye mer. Dermed plasserer vi angriperen i et forvrengt miljø mettet med angrepsvektorer som faktisk ikke utgjør en trussel mot oss, men snarere det motsatte. Og han har ingen måte å avgjøre hvor informasjonen er sann og hvor den er falsk. Dermed sikrer vi ikke bare rask deteksjon av angrepet, men bremser også fremdriften betydelig.

Et eksempel på å opprette en nettverksfelle og sette opp tokens. Brukervennlig grensesnitt og ingen manuell redigering av konfigurasjoner, skript osv.

I vårt miljø har vi konfigurert og distribuert en rekke slike tokens på FOS01 under kontroll av Windows Server 2012R2 og en test-PC under Windows 7. Disse maskinene kjører RDP, og vi «henger» dem med jevne mellomrom i DMZ, hvor en rekke av våre sensorer (emulerte feller) også er plassert. På denne måten mottar vi en konstant strøm av hendelser, så å si, naturlig.

Så, her er litt kort statistikk for året:

56 208 – registrerte hendelser,
2 912 – angrepskildeverter oppdaget.

Interaktivt, klikkbart angrepskart

Samtidig genererer ikke løsningen en megalogg eller hendelsesfeed som tar lang tid å sortere gjennom. I stedet klassifiserer løsningen selv hendelser etter type og lar informasjonssikkerhetsteamet fokusere primært på de farligste – når angriperen prøver å generere kontrolløkter (interaksjon) eller når binære nyttelaster (infeksjon) dukker opp i trafikken vår.

All informasjon om hendelser er lesbar og presenteres, etter min mening, i en lettfattelig form selv for en bruker med grunnleggende kunnskap innen informasjonssikkerhet.

De fleste hendelsene som er registrert er forsøk på å skanne våre verter eller individuelle forbindelser.

Eller forsøk på å brute force-passord for RDP

Men det var også mer interessante tilfeller, spesielt når angriperne «klarte» å få tak i passordet til RDP og få tilgang til det lokale nettverket.

En angriper forsøker å kjøre kode ved hjelp av psexec.

Angriperen fant en lagret økt som førte ham inn i en felle i form av Linux-server. Umiddelbart etter tilkoblingen forsøkte den å ødelegge alle loggfiler og tilhørende systemvariabler ved hjelp av et enkelt, forhåndsforberedt sett med kommandoer.

En angriper forsøker å utføre en SQL-injeksjon på en honeypot som etterligner SWIFT Web Access.

I tillegg til slike «naturlige» angrep, utførte vi også en rekke egne tester. En av de mest indikative er å teste tiden det tar å oppdage en nettverksorm i nettverket. Til dette brukte vi et verktøy fra GuardiCore kalt InfeksjonsapDette er en nettverksorm som kan fange Windows и Linux, men uten noen «nyttig» last.
Vi distribuerte et lokalt kommandosenter, lanserte den første forekomsten av ormen på en av maskinene, og mottok det første varselet i TrapX-konsollen på under halvannet minutt. TTD 90 sekunder mot 106 dager i gjennomsnitt ...

Takket være muligheten til å integrere med andre typer løsninger, kan vi gå fra å bare raskt oppdage trusler til å reagere automatisk på dem.

For eksempel vil integrasjon med NAC-systemer (Network Access Control) eller CarbonBlack tillate at kompromitterte PC-er automatisk kobles fra nettverket.

Integrasjon med sandkasser lar deg automatisk sende inn filer involvert i et angrep for analyse.

McAfee-integrasjon

Løsningen har også sitt eget innebygde system for hendelseskorrelasjon.

Men vi var ikke fornøyde med funksjonene, så vi integrerte den med HP ArcSight.

Det innebygde billettsystemet bidrar til å håndtere oppdagede trusler «som et team».

Siden løsningen ble utviklet «fra starten av» for behovene til offentlige etater og et stort bedriftssegment, implementerer den naturlig nok en rollebasert tilgangsmodell, integrasjon med AD, et utviklet system for rapporter og triggere (hendelsesvarsler), og orkestrering for store holdingstrukturer eller MSSP-leverandører.

I stedet for et CV

Hvis det finnes et slikt overvåkingssystem, som billedlig talt dekker ryggen vår, så er alt bare begynt med kompromisset av perimeteret. Det viktigste er at det dukker opp en reell mulighet til å bekjempe hendelser med informasjonssikkerhet, og ikke å håndtere eliminering av konsekvensene av dem.

Kilde: www.habr.com