(obrigado a Sergey G. Brester pela ideia do título )
Colegas, o objetivo deste artigo é compartilhar a experiência de uma operação de teste de um ano de uma nova classe de soluções IDS baseadas em tecnologias Deception.
Para manter a coerência lógica da apresentação do material, considero necessário começar pelas premissas. Então, o problema:
- Os ataques direcionados são o tipo de ataque mais perigoso, apesar de sua participação no número total de ameaças ser pequena.
- Nenhum meio eficaz e garantido de proteção do perímetro (ou um conjunto de tais meios) foi ainda inventado.
- Via de regra, os ataques direcionados ocorrem em vários estágios. A superação do perímetro é apenas uma das etapas iniciais, que (podem atirar pedras em mim) não causa muitos danos à “vítima”, a menos, claro, que seja um ataque DEoS (Destruição de serviço) (criptografadores, etc. .). A verdadeira “dor” começa mais tarde, quando os ativos capturados começam a ser utilizados para pivotar e desenvolver um ataque “profundo”, e não percebemos isso.
- Como começamos a sofrer perdas reais quando os invasores finalmente atingem os alvos do ataque (servidores de aplicação, SGBD, data warehouses, repositórios, elementos críticos da infraestrutura), é lógico que uma das tarefas do serviço de segurança da informação seja interromper os ataques antes este triste acontecimento. Mas para interromper algo, você deve primeiro descobrir. E quanto mais cedo, melhor.
- Assim, para uma gestão de riscos bem-sucedida (ou seja, reduzir os danos causados por ataques direcionados), é fundamental ter ferramentas que forneçam um TTD mínimo (tempo de detecção - o tempo desde o momento da intrusão até o momento em que o ataque é detectado). Dependendo do setor e da região, esse período é em média de 99 dias nos EUA, 106 dias na região EMEA e 172 dias na região APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
- O que o mercado oferece?
- "Caixas de areia". Mais um controle preventivo, que está longe do ideal. Existem muitas técnicas eficazes para detectar e ignorar sandboxes ou soluções de lista branca. Os caras do “lado negro” ainda estão um passo à frente aqui.
- UEBA (sistemas para traçar perfis de comportamento e identificar desvios) - em teoria, podem ser muito eficazes. Mas, na minha opinião, isso será em algum momento de um futuro distante. Na prática, isso ainda é muito caro, pouco confiável e requer uma infraestrutura de TI e segurança da informação muito madura e estável, que já possua todas as ferramentas que irão gerar dados para análise comportamental.
- O SIEM é uma boa ferramenta para investigações, mas não consegue ver e mostrar algo novo e original em tempo hábil, pois as regras de correlação são iguais às assinaturas.
- Como resultado, há necessidade de uma ferramenta que:
- trabalhou com sucesso em condições de um perímetro já comprometido,
- detectou ataques bem-sucedidos quase em tempo real, independentemente das ferramentas e vulnerabilidades usadas,
- não dependia de assinaturas/regras/scripts/políticas/perfis e outras coisas estáticas,
- não exigia grandes quantidades de dados e suas fontes para análise,
- permitiria que os ataques fossem definidos não como uma espécie de pontuação de risco como resultado do trabalho dos “melhores do mundo, patenteados e, portanto, matemática fechada”, o que requer investigação adicional, mas praticamente como um evento binário - “Sim, estamos sendo atacados” ou “Não, está tudo bem”,
- era universal, eficientemente escalável e viável para implementação em qualquer ambiente heterogêneo, independentemente da topologia de rede física e lógica utilizada.
As chamadas soluções enganosas estão agora competindo pelo papel de tal ferramenta. Ou seja, soluções baseadas no bom e velho conceito de honeypots, mas com um nível de implementação completamente diferente. Este tópico está definitivamente em alta agora.
De acordo com os resultados As soluções de engano estão incluídas nas 3 principais estratégias e ferramentas recomendadas para uso.
Por que não Deception é uma das principais direções de desenvolvimento de soluções de Sistemas de Detecção de Intrusão IDS.
Uma seção inteira deste último , dedicado ao SCADA, é baseado em dados de um dos líderes deste mercado, TrapX Security (Israel), cuja solução está trabalhando em nossa área de testes há um ano.
O TrapX Deception Grid permite custear e operar centralmente IDS massivamente distribuídos, sem aumentar a carga de licenciamento e os requisitos de recursos de hardware. Na verdade, TrapX é um construtor que permite criar a partir de elementos da infraestrutura de TI existente um grande mecanismo para detectar ataques em escala empresarial, uma espécie de “alarme” de rede distribuída.
Estrutura da Solução
No nosso laboratório estudamos e testamos constantemente vários novos produtos na área da segurança informática. Atualmente, cerca de 50 servidores virtuais diferentes estão implantados aqui, incluindo componentes TrapX Deception Grid.
Então, de cima para baixo:
- TSOC (TrapX Security Operation Console) é o cérebro do sistema. Este é o console de gerenciamento central através do qual são realizadas a configuração, a implantação da solução e todas as operações do dia a dia. Por se tratar de um serviço web, ele pode ser implantado em qualquer lugar – no perímetro, na nuvem ou em um provedor MSSP.
- TrapX Appliance (TSA) é um servidor virtual ao qual conectamos, através da porta trunk, aquelas sub-redes que queremos cobrir com monitoramento. Além disso, todos os nossos sensores de rede “vivem” aqui.
Nosso laboratório possui um TSA implantado (mwsapp1), mas na realidade podem haver muitos. Isto pode ser necessário em grandes redes onde não há conectividade L2 entre segmentos (um exemplo típico é “Holding e subsidiárias” ou “Sede e agências do banco”) ou se a rede tiver segmentos isolados, por exemplo, sistemas automatizados de controle de processos. Em cada filial/segmento, você pode implantar seu próprio TSA e conectá-lo a um único TSOC, onde todas as informações serão processadas centralmente. Essa arquitetura permite construir sistemas de monitoramento distribuídos sem a necessidade de reestruturar radicalmente a rede ou interromper a segmentação existente.
Além disso, podemos enviar uma cópia do tráfego de saída para a TSA via TAP/SPAN. Se detectarmos conexões com botnets conhecidos, servidores de comando e controle ou sessões TOR, também receberemos o resultado no console. O Network Intelligence Sensor (NIS) é responsável por isso. Em nosso ambiente, essa funcionalidade é implementada no firewall, por isso não a utilizamos aqui.
- Application Traps (Full OS) – honeypots tradicionais baseados em servidores Windows. Você não precisa de muitos deles, pois o objetivo principal desses servidores é fornecer serviços de TI para a próxima camada de sensores ou detectar ataques a aplicativos de negócios que possam ser implantados em um ambiente Windows. Temos um desses servidores instalado em nosso laboratório (FOS01)
- As armadilhas emuladas são o principal componente da solução, o que nos permite, através de uma única máquina virtual, criar um “campo minado” muito denso para invasores e saturar a rede corporativa, todas as suas vlans, com nossos sensores. O invasor vê esse sensor, ou host fantasma, como um PC ou servidor Windows real, servidor Linux ou outro dispositivo que decidimos mostrar a ele.
Para o bem do negócio e por curiosidade, implantamos “um par de cada criatura” - PCs e servidores Windows de diversas versões, servidores Linux, um caixa eletrônico com Windows embarcado, SWIFT Web Access, uma impressora de rede, um Cisco switch, uma câmera IP Axis, um MacBook, um dispositivo PLC e até uma lâmpada inteligente. Existem 13 anfitriões no total. Em geral, o fornecedor recomenda a implantação de tais sensores numa quantidade de pelo menos 10% do número de hosts reais. A barra superior é o espaço de endereço disponível.Um ponto muito importante é que cada host não é uma máquina virtual completa que requer recursos e licenças. Trata-se de um chamariz, emulação, um processo no TSA, que possui um conjunto de parâmetros e um endereço IP. Portanto, com a ajuda de pelo menos um TSA, podemos saturar a rede com centenas desses hosts fantasmas, que funcionarão como sensores no sistema de alarme. É esta tecnologia que torna possível dimensionar de forma econômica o conceito de honeypot em qualquer grande empresa distribuída.
Do ponto de vista do invasor, esses hosts são atraentes porque contêm vulnerabilidades e parecem ser alvos relativamente fáceis. O invasor vê serviços nesses hosts e pode interagir com eles e atacá-los usando ferramentas e protocolos padrão (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, etc.). Mas é impossível usar esses hosts para desenvolver um ataque ou executar seu próprio código.
- A combinação destas duas tecnologias (FullOS e armadilhas emuladas) permite-nos alcançar uma elevada probabilidade estatística de que um atacante, mais cedo ou mais tarde, encontre algum elemento da nossa rede de sinalização. Mas como podemos ter certeza de que esta probabilidade está próxima de 100%?
Os chamados tokens Deception entram na batalha. Graças a eles, podemos incluir todos os PCs e servidores existentes da empresa em nosso IDS distribuído. Os tokens são colocados nos PCs reais dos usuários. É importante entender que os tokens não são agentes que consomem recursos e podem causar conflitos. Os tokens são elementos passivos de informação, uma espécie de “migalhas” para o lado atacante que o leva a uma armadilha. Por exemplo, unidades de rede mapeadas, marcadores para administradores web falsos no navegador e senhas salvas para eles, sessões ssh/rdp/winscp salvas, nossas armadilhas com comentários em arquivos hosts, senhas salvas na memória, credenciais de usuários inexistentes, informações de escritório arquivos, cuja abertura acionará o sistema e muito mais. Assim, colocamos o invasor em um ambiente distorcido, saturado de vetores de ataque que na verdade não representam uma ameaça para nós, mas sim o contrário. E ele não tem como determinar onde a informação é verdadeira e onde é falsa. Assim, não apenas garantimos a detecção rápida de um ataque, mas também retardamos significativamente o seu progresso.
Um exemplo de criação de uma armadilha de rede e configuração de tokens. Interface amigável e sem edição manual de configurações, scripts, etc.
Em nosso ambiente, configuramos e colocamos vários desses tokens no FOS01 executando o Windows Server 2012R2 e em um PC de teste executando o Windows 7. O RDP está sendo executado nessas máquinas e nós os “penduramos” periodicamente na DMZ, onde vários de nossos sensores (armadilhas emuladas) também são exibidas. Portanto, temos um fluxo constante de incidentes, naturalmente, por assim dizer.
Então, aqui estão algumas estatísticas rápidas para o ano:
56 – incidentes registrados,
2 – hosts de origem de ataque detectados.
Mapa de ataque interativo e clicável
Ao mesmo tempo, a solução não gera algum tipo de mega-log ou feed de eventos, o que leva muito tempo para ser entendido. Em vez disso, a própria solução classifica os eventos por tipo e permite que a equipe de segurança da informação se concentre principalmente nos mais perigosos – quando o invasor tenta aumentar sessões de controle (interação) ou quando cargas binárias (infecção) aparecem em nosso tráfego.
Todas as informações sobre eventos são legíveis e apresentadas, na minha opinião, de forma de fácil compreensão mesmo para um usuário com conhecimentos básicos na área de segurança da informação.
A maioria dos incidentes registrados são tentativas de verificar nossos hosts ou conexões únicas.
Ou tentativas de senhas de força bruta para RDP
Mas também houve casos mais interessantes, especialmente quando os invasores “conseguiram” adivinhar a senha do RDP e obter acesso à rede local.
Um invasor tenta executar código usando psexec.
O invasor encontrou uma sessão salva, o que o levou a uma armadilha na forma de um servidor Linux. Imediatamente após a conexão, com um conjunto pré-preparado de comandos, ele tentou destruir todos os arquivos de log e variáveis de sistema correspondentes.
Um invasor tenta realizar injeção de SQL em um honeypot que imita o SWIFT Web Access.
Além desses ataques “naturais”, também realizamos vários testes próprios. Um dos mais reveladores é testar o tempo de detecção de um worm de rede em uma rede. Para isso utilizamos uma ferramenta da GuardiCore chamada . Este é um worm de rede que pode sequestrar o Windows e o Linux, mas sem qualquer “carga útil”.
Implantamos um centro de comando local, lançamos a primeira instância do worm em uma das máquinas e recebemos o primeiro alerta no console do TrapX em menos de um minuto e meio. TTD 90 segundos versus 106 dias em média...
Graças à capacidade de integração com outras classes de soluções, podemos passar da simples detecção rápida de ameaças para a resposta automática a elas.
Por exemplo, a integração com sistemas NAC (Network Access Control) ou com CarbonBlack permitirá desconectar automaticamente os PCs comprometidos da rede.
A integração com sandboxes permite que os arquivos envolvidos em um ataque sejam enviados automaticamente para análise.
Integração McAfee
A solução também possui seu próprio sistema de correlação de eventos integrado.
Mas não ficamos satisfeitos com seus recursos, por isso o integramos ao HP ArcSight.
O sistema de tickets integrado ajuda o mundo inteiro a lidar com as ameaças detectadas.
Como a solução foi desenvolvida “desde o início” para as necessidades de órgãos governamentais e de um grande segmento corporativo, ela implementa naturalmente um modelo de acesso baseado em funções, integração com AD, sistema desenvolvido de relatórios e triggers (alertas de eventos), orquestração para grandes estruturas de holding ou provedores de MSSP.
Em vez de um currículo
Se existe um sistema de monitoramento que, figurativamente falando, nos cobre as costas, então com o comprometimento do perímetro tudo está apenas começando. O mais importante é que haja uma oportunidade real de lidar com incidentes de segurança da informação, e não de lidar com as suas consequências.
Fonte: habr.com