سوراخ د امنیتي وسیلې په توګه - 2، یا څنګه APT "په ژوندۍ بیت" کې ونیسئ

(د سرلیک نظر لپاره د سرګي جی بریسټر څخه مننه sebres)

همکارانو ، د دې مقالې هدف د فریب ټیکنالوژیو پراساس د IDS حلونو نوي ټولګي د یو کال اوږد ازموینې تجربې شریکول دي.

د دې لپاره چې د موادو د پریزنټشن منطقي همغږي وساتل شي، زه دا اړین ګڼم چې د ځای سره پیل وکړم. نو، ستونزه:

1. هدفي بریدونه د برید ترټولو خطرناک ډول دی، سره له دې چې د ګواښونو په مجموعي شمیر کې د دوی ونډه لږه ده.
2. د احاطې د ساتنې لپاره هیڅ تضمین شوي مؤثره وسیله (یا د ورته وسیلو یوه ټولګه) تر اوسه نه ده اختراع شوې.
3. د یوې قاعدې په توګه، هدفي بریدونه په څو مرحلو کې ترسره کیږي. د احاطې څخه تیریدل یوازې یو له لومړنیو مرحلو څخه دی، کوم چې (تاسو کولی شئ په ما باندې ډبرې وغورځوئ) "قرباني" ته ډیر زیان نه رسوي، پرته لدې چې دا د DEoS (د خدماتو ویجاړول) برید وي (انکریپټرونه، او نور. .) ریښتینی "درد" وروسته پیل کیږي ، کله چې نیول شوي شتمنۍ د "ژور" برید رامینځته کولو او رامینځته کولو لپاره کارول کیږي ، او موږ دې ته پام نه شو.
4. له هغه وخته چې موږ د ریښتیني زیانونو سره مخ کیدو پیل کوو کله چې برید کونکي په پای کې د برید اهدافو ته ورسیږو (د غوښتنلیک سرورونه ، DBMS ، ډیټا ګودامونه ، ذخیره ، مهم زیربنا عناصر) ، دا منطقي ده چې د معلوماتو امنیت خدماتو یوه دنده د بریدونو مخه نیول دي. دا غمجنه پیښه. مګر د دې لپاره چې یو څه مداخله وکړي، تاسو باید لومړی د هغې په اړه ومومئ. او ژر تر ژره، ښه.
5. په همدې اساس، د خطر د بریالي مدیریت لپاره (یعنې د هدفي بریدونو څخه د زیانونو کمول)، دا مهمه ده چې داسې وسایل ولرئ چې لږترلږه TTD چمتو کړي (د کشف کولو وخت - د نفوذ له شیبې څخه تر هغه وخت پورې چې برید کشف شوی وي). د صنعت او سیمې پورې اړه لري، دا موده په اوسط ډول په متحده ایالاتو کې 99 ورځې، د EMEA سیمه کې 106 ورځې، د APAC سیمه کې 172 ورځې (M-Trends 2017، A View from the Front Lines, Mandiant).
6. بازار څه وړاندیز کوي؟
   • "د شګو بکسونه". بل مخنیوی کنټرول، کوم چې د مثالي څخه لرې دی. د شګو بکسونو یا سپین لیست کولو حلونو موندلو او تیرولو لپاره ډیری اغیزمن تخنیکونه شتون لري. د "تور اړخ" هلکان لاهم دلته یو ګام مخکې دي.
   • UEBA (د چلند د پروفایل کولو او انحرافاتو پیژندلو سیسټمونه) - په تیوري کې، خورا اغیزمن کیدی شي. مګر، زما په اند، دا یو څه وخت په لرې راتلونکي کې دی. په عمل کې، دا لاهم خورا ګران، د اعتبار وړ نه دی او خورا بالغ او باثباته IT او د معلوماتو امنیت زیربنا ته اړتیا لري، کوم چې دمخه ټول وسایل لري چې د چلند تحلیل لپاره ډاټا تولیدوي.
   • SIEM د پلټنو لپاره ښه وسیله ده، مګر دا د دې توان نلري چې په وخت سره یو څه نوي او اصلي وګوري او وښيي، ځکه چې د اړیکو اصول د لاسلیکونو په څیر دي.

7. د پایلې په توګه، یو داسې وسیلې ته اړتیا ده چې:
   • په بریالیتوب سره د مخکې جوړ شوي حد په شرایطو کې کار وکړ،
   • په نږدې ریښتیني وخت کې بریالي بریدونه کشف شوي، پرته له دې چې کارول شوي وسایلو او زیانونو ته په پام سره،
   • په لاسلیکونو / قواعدو / سکریپټونو / پالیسیو / پروفایلونو او نورو جامد شیانو پورې اړه نلري،
   • د تحلیل لپاره لوی مقدار ډیټا او د دوی سرچینو ته اړتیا نلري ،
   • بریدونو ته اجازه ورکوي چې د "په نړۍ کې ترټولو غوره، پیټ شوي او له همدې امله تړل شوي ریاضي" د کار په پایله کې د خطر د کچې په توګه تعریف نشي، کوم چې اضافي تحقیقاتو ته اړتیا لري، مګر په عملي توګه د بائنری پیښې په توګه - "هو، پر موږ برید کیږي" یا "نه، هرڅه سم دي"،
   • نړیوال، په اغیزمنه توګه د توزیع وړ او په هر متفاوت چاپیریال کې د پلي کولو لپاره د امکان وړ و، پرته له دې چې د فزیکي او منطقي شبکې ټوپولوژي کارول کیږي.

تش په نامه د فریب حلونه اوس د داسې وسیلې رول لپاره په لټه کې دي. دا د شاتو د ښه زوړ مفهوم پراساس حلونه دي، مګر د پلي کولو بشپړ مختلف کچې سره. دا موضوع خامخا اوس د ډیریدو په حال کې ده.

د پایلې په وینا د ګارټینر امنیت او د خطر مدیریت سرمشریزه 2017 د فریب حلونه په TOP 3 ستراتیژیو او وسایلو کې شامل دي چې د کارولو سپارښتنه کیږي.

د راپور له مخې د TAG سایبر امنیت کلنی 2017 فریب د IDS Intrusion Detection Systems) د حلونو د پراختیا یو له اصلي لارښوونو څخه دی.

د وروستنۍ ټوله برخه د سیسکو ریاست د IT امنیت راپور، SCADA ته وقف شوی ، پدې بازار کې د یو له مشرانو څخه د معلوماتو پراساس دی ، د ټریپ ایکس امنیت (اسرائیل) ، چې حل یې له یو کال راهیسې زموږ د ازموینې ساحه کې کار کوي.

د TrapX Deception Grid تاسو ته اجازه درکوي په مرکزي توګه په پراخه کچه توزیع شوي IDS لګښت او چل کړئ، پرته له دې چې د جواز ورکولو بار او د هارډویر سرچینو لپاره اړتیاوې زیاتې کړي. په حقیقت کې، TrapX یو جوړونکی دی چې تاسو ته اجازه درکوي د موجوده IT زیربنا عناصرو څخه د تصدۍ په پراخه پیمانه د بریدونو کشف کولو لپاره یو لوی میکانیزم رامینځته کړئ ، یو ډول توزیع شوی شبکه "الارم."

د حل جوړښت

زموږ په لابراتوار کې موږ په دوامداره توګه د معلوماتي ټیکنالوژۍ امنیت په برخه کې مختلف نوي محصولات مطالعه او ازموینه کوو. اوس مهال، شاوخوا 50 مختلف مجازی سرورونه دلته ګمارل شوي، په شمول د TrapX Deception Grid اجزاوو.

نو، له پورته څخه ښکته:

1. TSOC (TrapX Security Operation Console) د سیسټم دماغ دی. دا د مرکزي مدیریت کنسول دی چې له لارې یې ترتیب کول، د حل پلي کول او ټول ورځني عملیات ترسره کیږي. څرنګه چې دا یو ویب خدمت دی، دا په هر ځای کې ځای پرځای کیدی شي - په احاطه کې، په بادل کې یا د MSSP چمتو کونکي کې.
2. د ټریپ ایکس اپلائنس (TSA) یو مجازی سرور دی چې موږ پکې د ټرک بندر په کارولو سره وصل کوو ، هغه فرعي نیټونه چې موږ یې د څارنې پوښښ غواړو. همچنان ، زموږ د شبکې ټول سینسرونه واقعیا دلته "ژوندی" دي.

   زموږ لابراتوار یو TSA ګمارل شوی (mwsapp1)، مګر په حقیقت کې ډیری کیدی شي. دا ممکن په لویو شبکو کې اړین وي چیرې چې د برخو تر مینځ L2 ارتباط شتون نلري (یو مثالي مثال "اوسط او فرعي شرکتونه" یا "د بانک مرکزي دفتر او څانګې" دي) یا که شبکه جلا جلا برخې ولري، د بیلګې په توګه، د اتوماتیک پروسې کنټرول سیسټمونه. په هره څانګه / برخه کې، تاسو کولی شئ خپل TSA ځای په ځای کړئ او دا د یو واحد TSOC سره وصل کړئ، چیرې چې ټول معلومات به په مرکزي توګه پروسس شي. دا جوړښت تاسو ته اجازه درکوي د توزیع شوي نظارت سیسټمونه رامینځته کړئ پرته لدې چې د شبکې بنسټیز تنظیم کولو یا د موجوده قطعاتو ګډوډولو ته اړتیا ولرئ.

   همدارنګه، موږ کولی شو د TAP/SPAN له لارې TSA ته د وتلو ټرافیک یوه کاپي وسپارو. که موږ د پیژندل شوي بوټینټس، کمانډ او کنټرول سرورونو، یا TOR سیشنونو سره اړیکې کشف کړو، موږ به په کنسول کې پایله هم ترلاسه کړو. د شبکې استخباراتو سینسر (NIS) د دې لپاره مسؤل دی. زموږ په چاپیریال کې، دا فعالیت په فایر وال کې پلي کیږي، نو موږ یې دلته نه کاروو.

3. د غوښتنلیک جال (بشپړ OS) - د وینډوز سرورونو پراساس دودیز شاتو پاټونه. تاسو ډیری ته اړتیا نلرئ ځکه چې د دې سرورونو اصلي هدف د سینسر راتلونکي پرت ته د IT خدمات چمتو کول یا د سوداګرۍ غوښتنلیکونو باندې بریدونه کشف کول دي چې ممکن د وینډوز چاپیریال کې ځای په ځای شوي وي. موږ په خپل لابراتوار کې داسې یو سرور نصب کړی دی (FOS01)

   

4. نقل شوي جالونه د حل اصلي برخه ده، کوم چې موږ ته اجازه راکوي، د یو واحد مجازی ماشین په کارولو سره، د برید کونکو لپاره خورا سخت "ماین فیلډ" رامینځته کړو او د تصدۍ شبکه، د هغې ټول ویلان، زموږ د سینسرونو سره ډک کړو. برید کونکی دا ډول سینسر ، یا فینټم کوربه د ریښتیني وینډوز کمپیوټر یا سرور ، لینکس سرور یا بل وسیلې په توګه ګوري چې موږ یې د ښودلو پریکړه کوو.

   
   
   د سوداګرۍ د ښه والي او د تجسس په خاطر، موږ د "هر مخلوق یوه جوړه" ځای په ځای کړې - د وینډوز کمپیوټر او د مختلف نسخو سرورونه، د لینکس سرورونه، د وینډوز سره یو ATM، SWIFT ویب لاسرسی، د شبکې پرنټر، یو سیسکو سویچ، د محور IP کیمره، یو MacBook، PLC - وسیله او حتی یو سمارټ رڼا بلب. په ټولیز ډول 13 کوربه شتون لري. په عموم کې، پلورونکي وړاندیز کوي چې دا ډول سینسرونه د اصلي کوربه شمیر لږترلږه 10٪ کې ځای په ځای کړي. پورتنۍ بار د موجود پته ځای دی.

   یو خورا مهم ټکی دا دی چې هر دا ډول کوربه یو بشپړ مجازی ماشین ندی چې سرچینو او جوازونو ته اړتیا لري. دا یو ډیکوی، ایمولیشن، په TSA کې یوه پروسه ده، کوم چې د پیرامیټونو سیټ او IP پته لري. له همدې امله، د حتی د یو TSA په مرسته، موږ کولی شو شبکه د سلګونو داسې فینټم کوربه سره ډک کړو، کوم چې د الارم سیسټم کې د سینسرونو په توګه کار کوي. دا دا ټیکنالوژي ده چې دا ممکنه کوي چې په هر لوی توزیع شوي تصدۍ کې د شاتو پاټ مفهوم په ارزانه توګه اندازه کړي.

   د برید کونکي له نظره، دا کوربه په زړه پورې دي ځکه چې دوی زیان منونکي دي او داسې ښکاري چې نسبتا اسانه هدف وي. برید کوونکی په دې کوربه کې خدمات ګوري او کولی شي له دوی سره اړیکه ونیسي او د معیاري وسیلو او پروتوکولونو په کارولو سره برید وکړي (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus، etc.). مګر دا ناشونې ده چې دا کوربه د برید رامینځته کولو یا خپل کوډ چلولو لپاره وکاروئ.

5. د دې دوه ټیکنالوژیو ترکیب (FullOS او emulated traps) موږ ته اجازه راکوي چې لوړ احصایوي احتمال ترلاسه کړو چې برید کونکی به ژر یا وروسته زموږ د سیګنال شبکې ځینې عنصر سره مخ شي. مګر موږ څنګه کولی شو ډاډ ترلاسه کړو چې دا احتمال نږدې 100٪ دی؟

   د تش په نامه د فریب نښې جګړې ته ننوځي. د دوی څخه مننه ، موږ کولی شو زموږ په توزیع شوي IDS کې د تصدۍ ټول موجود کمپیوټرونه او سرورونه شامل کړو. ټوکن د کاروونکو په اصلي کمپیوټرونو کې ځای په ځای شوي. دا مهمه ده چې پوه شئ چې ټکنونه هغه اجنټان ندي چې سرچینې مصرفوي او د شخړې لامل کیدی شي. ټوکن د معلوماتو غیر فعال عناصر دي، د برید کونکي لوري لپاره یو ډول "روټي کرمبس" چې دا په جال کې راولي. د مثال په توګه، نقشه شوي د شبکې ډرایو، په براوزر کې جعلي ویب مدیرانو ته بک مارکونه او د دوی لپاره خوندي شوي پاسورډونه، د ssh/rdp/winscp سیشنونو خوندي کول، په کوربه فایلونو کې د تبصرو سره زموږ جال، په حافظه کې خوندي شوي پاسورډونه، د غیر موجود کاروونکو اسناد، دفتر فایلونه، پرانستل کوم چې به سیسټم محرک کړي، او نور ډیر څه. په دې توګه، موږ برید کونکی په یو مسخ شوي چاپیریال کې ځای په ځای کوو، د برید ویکتورونو سره ډک شوي چې واقعیا موږ ته ګواښ نه کوي، بلکه برعکس. او هغه هیڅ لاره نه لري چې معلومه کړي چې معلومات چیرته ریښتیا دي او چیرته غلط دي. په دې توګه، موږ نه یوازې د برید چټک کشف یقیني کوو، بلکې د پام وړ پرمختګ هم ورو کوو.

د شبکې جال رامینځته کولو او د ټوکنونو تنظیم کولو مثال. دوستانه انٹرفیس او د تشکیلاتو ، سکریپټونو ، او داسې نور هیڅ لاسي ترمیم نشته.

زموږ په چاپیریال کې، موږ په FOS01 کې د وینډوز سرور 2012R2 چلولو او د وینډوز 7 په چلولو د ازموینې کمپیوټر کې یو شمیر داسې نښې ترتیب او ځای په ځای کړې. RDP په دې ماشینونو کې روان دی او موږ په وخت سره په DMZ کې "ځړول" کوو، چیرې چې زموږ یو شمیر سینسرونه (جذب شوي جالونه) هم ښودل شوي. نو موږ د پیښو دوامداره جریان ترلاسه کوو، په طبیعي توګه د خبرو کولو لپاره.

نو، دلته د کال لپاره ځینې چټک احصایې دي:

۵۶۲۰۸ پېښې ثبت شوي،
2 - د برید سرچینې کوربه کشف شوي.

متقابل، د کلک کولو وړ برید نقشه

په ورته وخت کې ، حل یو ډول میګا لاګ یا پیښې فیډ نه رامینځته کوي ، کوم چې پوهیدل ډیر وخت نیسي. پرځای یې، حل پخپله پیښې د دوی ډولونو سره طبقه بندي کوي او د معلوماتو امنیت ټیم ته اجازه ورکوي چې په عمده ډول په خورا خطرناکو تمرکز وکړي - کله چې برید کونکی هڅه کوي د کنټرول سیشنونه (تعامل) لوړ کړي یا کله چې بائنری تادیه (انفیکشن) زموږ په ترافیک کې څرګندیږي.

د پیښو په اړه ټول معلومات د لوستلو وړ دي او وړاندې کیږي، زما په اند، د پوهیدلو اسانه بڼه کې حتی د یو کاروونکي لپاره چې د معلوماتو امنیت په برخه کې لومړنۍ پوهه لري.

ډیری ثبت شوي پیښې زموږ د کوربه یا واحد ارتباط سکین کولو هڅې دي.

یا د RDP لپاره د ځواک پاسورډونو د خرابولو هڅه کوي

مګر نورې په زړه پورې قضیې هم شتون لري، په ځانګړې توګه کله چې برید کونکي د RDP لپاره د پټنوم اټکل کولو او محلي شبکې ته د لاسرسي لپاره "مدیریت" درلود.

برید کوونکی هڅه کوي د psexec په کارولو سره کوډ اجرا کړي.

برید کونکي یوه خوندي شوې ناسته وموندله ، کوم چې هغه یې د لینکس سرور په توګه په جال کې راوست. د وصل کیدو سمدستي وروسته ، د یو دمخه چمتو شوي کمانډونو سره ، دې هڅه وکړه چې ټولې لاګ فایلونه او اړوند سیسټم متغیرونه له مینځه یوسي.

یو برید کونکی هڅه کوي چې په شاتو کې د SQL انجیکشن ترسره کړي چې د SWIFT ویب لاسرسي تقلید کوي.

د داسې "طبیعي" بریدونو سربیره، موږ خپل یو شمیر ازموینې هم ترسره کړې. یو له خورا څرګندو څخه په شبکه کې د شبکې کیم د کشف وخت ازموینه ده. د دې کولو لپاره موږ د ګارډی کور څخه یوه وسیله کارولې چې نومیږي د ناروغۍ بندر. دا د شبکې کیم دی چې کولی شي وینډوز او لینکس برمته کړي ، مګر پرته له کوم "پیلوډ" څخه.
موږ د محلي قوماندې مرکز ځای په ځای کړ، په یوه ماشین کې د چینج لومړۍ بیلګه مو پیل کړه، او د TrapX کنسول کې یې د یوې نیمې دقیقې څخه لږ وخت کې لومړی خبرتیا ترلاسه کړه. TTD 90 ثانیې د 106 ورځو په پرتله په اوسط ډول ...

د حل نورو ټولګیو سره د مدغم کولو وړتیا څخه مننه ، موږ کولی شو په چټکۍ سره د ګواښونو کشف کولو څخه په اتوماتيک ډول ځواب ویلو ته حرکت وکړو.

د مثال په توګه، د NAC (د شبکې لاسرسي کنټرول) سیسټمونو یا کاربن بلیک سره ادغام به تاسو ته اجازه درکړي چې په اتوماتيک ډول جوړ شوي کمپیوټرونه له شبکې څخه جلا کړئ.

د شګو بکسونو سره ادغام هغه فایلونو ته اجازه ورکوي چې په برید کې ښکیل دي په اتوماتيک ډول د تحلیل لپاره سپارل کیږي.

د McAfee ادغام

حل هم خپل جوړ شوی د پیښې ارتباط سیسټم لري.

مګر موږ د دې وړتیاو څخه راضي نه یو ، نو موږ دا د HP ArcSight سره مدغم کړو.

د ټیکټینګ جوړ شوی سیسټم د ټولې نړۍ سره مرسته کوي چې د کشف شوي ګواښونو سره مقابله وکړي.

څرنګه چې حل د "له پیل څخه" د حکومتي ادارو او لوی کارپوریټ برخې اړتیاو لپاره رامینځته شوی ، نو دا په طبیعي ډول د رول پراساس لاسرسي ماډل پلي کوي ، د AD سره ادغام ، د راپورونو او محرکونو یو پرمختللی سیسټم (د پیښې خبرتیاوې) ، آرکیسټریشن. د لوی ساتلو جوړښتونه یا د MSSP چمتو کونکي.

د بیا پیلولو پرځای

که چیرې داسې د څارنې سیسټم شتون ولري، کوم چې په حقیقت کې، زموږ شاته پوښي، نو د احاطې موافقت سره هرڅه یوازې پیل کیږي. ترټولو مهمه خبره دا ده چې د معلوماتو امنیتي پیښو سره د معاملو لپاره ریښتینې فرصت شتون لري، نه د دوی د پایلو سره معامله کول.

سرچینه: www.habr.com