(vďaka Sergeyovi G. Bresterovi za nápad s názvom )
Vážení kolegovia, účelom tohto článku je podeliť sa o skúsenosti z ročnej testovacej prevádzky novej triedy IDS riešení založených na technológiách Deception.
Aby sa zachovala logická súvislosť prezentácie materiálu, považujem za potrebné začať od priestorov. Takže problém:
- Cielené útoky sú najnebezpečnejším typom útoku, napriek tomu, že ich podiel na celkovom počte hrozieb je malý.
- Zatiaľ nebol vynájdený žiadny zaručene účinný prostriedok na ochranu perimetra (alebo súbor takýchto prostriedkov).
- Cielené útoky spravidla prebiehajú v niekoľkých fázach. Prekonanie perimetra je len jedna z počiatočných fáz, ktorá (môžete po mne hádzať kamene) nespôsobí „obete“ veľké škody, pokiaľ samozrejme nejde o útok DEoS (Destruction of service) (šifrovače a pod. .). Skutočná „bolesť“ začína neskôr, keď sa zachytené prostriedky začnú používať na otáčanie a rozvíjanie „hĺbkového“ útoku, a to sme si nevšimli.
- Keďže začíname trpieť skutočné straty, keď sa útočníci konečne dostanú k cieľom útoku (aplikačné servery, DBMS, dátové sklady, úložiská, prvky kritickej infraštruktúry), je logické, že jednou z úloh služby informačnej bezpečnosti je prerušiť útoky pred túto smutnú udalosť. Ale aby ste niečo prerušili, musíte sa o tom najskôr dozvedieť. A čím skôr, tým lepšie.
- V súlade s tým je pre úspešné riadenie rizík (teda zníženie škôd spôsobených cielenými útokmi) kľúčové mať nástroje, ktoré zabezpečia minimálnu TTD (čas na detekciu – čas od okamihu vniknutia do okamihu zistenia útoku). V závislosti od odvetvia a regiónu je toto obdobie v priemere 99 dní v USA, 106 dní v regióne EMEA, 172 dní v regióne APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
- Čo ponúka trh?
- "pieskovištia". Ďalšia preventívna kontrola, ktorá má ďaleko od ideálu. Existuje mnoho účinných techník na zisťovanie a obchádzanie pieskovísk alebo riešení na bielu listinu. Chlapci z „temnej strany“ sú tu stále o krok vpred.
- UEBA (systémy na profilovanie správania a identifikáciu odchýlok) – teoreticky, môže byť veľmi efektívny. Ale podľa mňa je to niekedy v ďalekej budúcnosti. V praxi je to stále veľmi drahé, nespoľahlivé a vyžaduje si to veľmi vyspelú a stabilnú infraštruktúru IT a informačnej bezpečnosti, ktorá už má všetky nástroje, ktoré budú generovať údaje na analýzu správania.
- SIEM je dobrý nástroj na vyšetrovanie, ale nie je schopný včas vidieť a ukázať niečo nové a originálne, pretože pravidlá korelácie sú rovnaké ako podpisy.
- V dôsledku toho existuje potreba nástroja, ktorý by:
- úspešne pracoval v podmienkach už ohrozeného obvodu,
- detekované úspešné útoky takmer v reálnom čase, bez ohľadu na použité nástroje a zraniteľnosti,
- nezáviselo od podpisov/pravidiel/skriptov/zásad/profilov a iných statických vecí,
- nevyžadovalo veľké množstvo údajov a ich zdrojov na analýzu,
- by umožnilo definovať útoky nie ako nejaký druh bodovania rizika ako výsledok práce „najlepšej na svete, patentovanej a teda uzavretej matematiky“, čo si vyžaduje dodatočné vyšetrovanie, ale prakticky ako binárnu udalosť – „Áno, sme napadnutí“ alebo „Nie, všetko je v poriadku“,
- bol univerzálny, efektívne škálovateľný a realizovateľný v akomkoľvek heterogénnom prostredí bez ohľadu na použitú fyzickú a logickú topológiu siete.
O úlohu takéhoto nástroja sa teraz uchádzajú takzvané podvodné riešenia. Teda riešenia založené na starom dobrom koncepte honeypotov, no s úplne inou úrovňou implementácie. Táto téma je teraz určite na vzostupe.
Podľa výsledkov Riešenia podvodov sú zahrnuté v TOP 3 stratégiách a nástrojoch, ktoré sa odporúčajú používať.
Podľa správy Deception je jedným z hlavných smerov vývoja riešení IDS Intrusion Detection Systems.
Celá časť toho druhého , venovaný SCADA, vychádza z údajov jedného z lídrov na tomto trhu, TrapX Security (Izrael), ktorého riešenie v našej testovacej oblasti funguje už rok.
TrapX Deception Grid vám umožňuje centrálne znášať náklady a prevádzkovať masívne distribuované IDS bez zvýšenia licenčnej záťaže a požiadaviek na hardvérové zdroje. TrapX je v skutočnosti konštruktér, ktorý vám umožňuje vytvoriť z prvkov existujúcej IT infraštruktúry jeden veľký mechanizmus na detekciu útokov v celopodnikovom meradle, akýsi druh distribuovaného sieťového „alarmu“.
Štruktúra riešenia
V našom laboratóriu neustále študujeme a testujeme rôzne nové produkty v oblasti IT bezpečnosti. V súčasnosti je tu nasadených asi 50 rôznych virtuálnych serverov vrátane komponentov TrapX Deception Grid.
Takže zhora nadol:
- TSOC (TrapX Security Operation Console) je mozgom systému. Ide o centrálnu riadiacu konzolu, prostredníctvom ktorej sa vykonáva konfigurácia, nasadenie riešenia a všetky každodenné operácie. Keďže ide o webovú službu, je možné ju nasadiť kdekoľvek – na perimetri, v cloude alebo u poskytovateľa MSSP.
- TrapX Appliance (TSA) je virtuálny server, do ktorého pomocou trunk portu pripájame tie podsiete, ktoré chceme pokryť monitorovaním. Tiež tu skutočne „žijú“ všetky naše sieťové senzory.
Naše laboratórium má nasadené jedno TSA (mwsapp1), ale v skutočnosti ich môže byť veľa. To môže byť potrebné vo veľkých sieťach, kde neexistuje L2 konektivita medzi segmentmi (typickým príkladom je „Holding a dcérske spoločnosti“ alebo „Ústredie banky a pobočky“) alebo ak má sieť izolované segmenty, napríklad automatizované systémy riadenia procesov. V každej takejto pobočke/segmente môžete nasadiť svoje vlastné TSA a pripojiť ho k jednému TSOC, kde budú všetky informácie centrálne spracovávané. Táto architektúra umožňuje budovať distribuované monitorovacie systémy bez potreby radikálnej reštrukturalizácie siete alebo narušenia existujúcej segmentácie.
Tiež môžeme odoslať kópiu odchádzajúcej prevádzky TSA cez TAP/SPAN. Ak zistíme spojenia so známymi botnetmi, príkazovými a riadiacimi servermi alebo TOR reláciami, výsledok dostaneme aj do konzoly. Za to je zodpovedný Network Intelligence Sensor (NIS). V našom prostredí je táto funkcionalita implementovaná na firewalle, preto sme ju tu nepoužili.
- Application Traps (Full OS) – tradičné honeypoty založené na Windows serveroch. Nepotrebujete ich veľa, pretože hlavným účelom týchto serverov je poskytovať IT služby ďalšej vrstve senzorov alebo zisťovať útoky na podnikové aplikácie, ktoré môžu byť nasadené v prostredí Windows. Jeden takýto server máme nainštalovaný v našom laboratóriu (FOS01)
- Emulované pasce sú hlavnou súčasťou riešenia, ktoré nám umožňuje pomocou jediného virtuálneho stroja vytvoriť pre útočníkov veľmi husté „mínové pole“ a nasýtiť podnikovú sieť, všetky jej vlany, našimi senzormi. Útočník vidí takýto senzor alebo fantómového hostiteľa ako skutočný Windows PC alebo server, Linux server alebo iné zariadenie, ktoré sa mu rozhodneme ukázať.
Pre dobro biznisu a pre zaujímavosť sme nasadili „pár z každého tvora“ – Windows PC a servery rôznych verzií, Linux servery, bankomat s Windows embedded, SWIFT Web Access, sieťovú tlačiareň, Cisco prepínač, IP kameru Axis, MacBook, PLC zariadenie a dokonca aj inteligentnú žiarovku. Celkovo je 13 hostiteľov. Vo všeobecnosti predajca odporúča nasadiť takéto senzory v množstve aspoň 10 % z počtu reálnych hostiteľov. Horná lišta je dostupný adresný priestor.Veľmi dôležitým bodom je, že každý takýto hostiteľ nie je plnohodnotným virtuálnym strojom, ktorý vyžaduje zdroje a licencie. Toto je návnada, emulácia, jeden proces na TSA, ktorý má sadu parametrov a IP adresu. Preto pomocou čo i len jedného TSA dokážeme nasýtiť sieť stovkami takýchto fantómových hostiteľov, ktorí budú fungovať ako senzory v zabezpečovacom systéme. Práve táto technológia umožňuje nákladovo efektívne škálovať koncept honeypotu v rámci akéhokoľvek veľkého distribuovaného podniku.
Z pohľadu útočníka sú títo hostitelia atraktívni, pretože obsahujú zraniteľné miesta a zdajú sa byť relatívne ľahkými cieľmi. Útočník vidí služby na týchto hostiteľoch a môže s nimi interagovať a napadnúť ich pomocou štandardných nástrojov a protokolov (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus atď.). Nie je však možné použiť týchto hostiteľov na vývoj útoku alebo spustenie vlastného kódu.
- Kombinácia týchto dvoch technológií (FullOS a emulované pasce) nám umožňuje dosiahnuť vysokú štatistickú pravdepodobnosť, že útočník skôr či neskôr narazí na nejaký prvok našej signalizačnej siete. Ako sa však môžeme uistiť, že táto pravdepodobnosť je takmer 100%?
Do boja vstupujú takzvané žetóny podvodu. Vďaka nim môžeme do nášho distribuovaného IDS zahrnúť všetky existujúce PC a servery podniku. Tokeny sú umiestnené na skutočných počítačoch používateľov. Je dôležité pochopiť, že tokeny nie sú agenti, ktorí spotrebúvajú zdroje a môžu spôsobiť konflikty. Žetóny sú pasívne informačné prvky, akési „omrvinky“ útočiacej strany, ktoré ju vedú do pasce. Napríklad mapované sieťové disky, záložky pre falošných správcov webu v prehliadači a uložené heslá, uložené relácie ssh/rdp/winscp, naše pasce s komentármi v súboroch hostiteľov, heslá uložené v pamäti, prihlasovacie údaje neexistujúcich používateľov, office súbory, otváranie, ktoré spustí systém a mnoho ďalšieho. Útočníka tak umiestňujeme do skresleného prostredia, presýteného vektormi útoku, ktoré pre nás v skutočnosti nepredstavujú hrozbu, skôr naopak. A nemá ako určiť, kde sú informácie pravdivé a kde nepravdivé. Zabezpečíme tak nielen rýchlu detekciu útoku, ale aj výrazne spomalíme jeho priebeh.
Príklad vytvorenia sieťovej pasce a nastavenia tokenov. Priateľské rozhranie a žiadne manuálne úpravy konfigurácií, skriptov atď.
V našom prostredí sme nakonfigurovali a umiestnili množstvo takýchto tokenov na FOS01 so systémom Windows Server 2012R2 a testovacom počítači so systémom Windows 7. Na týchto počítačoch beží RDP a pravidelne ich „zavesujeme“ do DMZ, kde sa nachádza množstvo našich senzorov (emulované pasce). Takže máme neustály prúd incidentov, takpovediac prirodzene.
Tu je niekoľko rýchlych štatistík za tento rok:
56 208 – zaznamenaných incidentov,
2 912 – detekovaní hostitelia zdrojov útoku.
Interaktívna útočná mapa s možnosťou kliknutia
Riešenie zároveň negeneruje nejaký mega-log alebo event feed, ktorému trvá dlho, kým sa pochopí. Namiesto toho samotné riešenie klasifikuje udalosti podľa ich typov a umožňuje tímu informačnej bezpečnosti zamerať sa predovšetkým na tie najnebezpečnejšie – keď sa útočník pokúša vyvolať kontrolné relácie (interakcia) alebo keď sa v našej prevádzke objavia binárne užitočné zaťaženia (infekcia).
Všetky informácie o podujatiach sú čitateľné a podané podľa mňa v ľahko zrozumiteľnej forme aj pre používateľa so základnými znalosťami v oblasti informačnej bezpečnosti.
Väčšina zaznamenaných incidentov sú pokusy o skenovanie našich hostiteľov alebo jednotlivých spojení.
Alebo pokusy o hrubé vynútenie hesiel pre RDP
Vyskytli sa však aj zaujímavejšie prípady, najmä keď sa útočníkom „podarilo“ uhádnuť heslo pre RDP a získať prístup do lokálnej siete.
Útočník sa pokúša spustiť kód pomocou psexec.
Útočník našiel uloženú reláciu, ktorá ho zaviedla do pasce v podobe linuxového servera. Ihneď po pripojení sa pomocou jednej vopred pripravenej sady príkazov pokúsil zničiť všetky protokolové súbory a zodpovedajúce systémové premenné.
Útočník sa pokúsi vykonať injekciu SQL na honeypot, ktorý napodobňuje SWIFT Web Access.
Okrem takýchto „prirodzených“ útokov sme vykonali aj množstvo vlastných testov. Jedným z najodhaliteľnejších je testovanie času detekcie sieťového červa v sieti. Na to sme použili nástroj od GuardiCore tzv . Toto je sieťový červ, ktorý dokáže uniesť Windows a Linux, ale bez akéhokoľvek „užitočného zaťaženia“.
Nasadili sme lokálne riadiace centrum, spustili prvú inštanciu červa na jednom zo strojov a za menej ako minútu a pol sme dostali prvé upozornenie na konzole TrapX. TTD v priemere 90 sekúnd oproti 106 dňom...
Vďaka schopnosti integrácie s inými triedami riešení môžeme prejsť od rýchlej detekcie hrozieb k automatickej reakcii na ne.
Napríklad integrácia so systémami NAC (Network Access Control) alebo s CarbonBlack vám umožní automaticky odpojiť napadnuté počítače od siete.
Integrácia s karanténami umožňuje automatické odosielanie súborov zapojených do útoku na analýzu.
Integrácia McAfee
Riešenie má tiež zabudovaný vlastný systém korelácie udalostí.
S jeho schopnosťami sme ale neboli spokojní, a tak sme ho integrovali s HP ArcSight.
Vstavaný ticketingový systém pomáha celému svetu vyrovnať sa s odhalenými hrozbami.
Keďže riešenie bolo vyvinuté „od začiatku“ pre potreby vládnych agentúr a veľkého firemného segmentu, prirodzene implementuje model prístupu založený na rolách, integráciu s AD, vyvinutý systém reportov a spúšťačov (upozornenia na udalosti), orchestráciu pre veľké holdingové štruktúry alebo poskytovatelia MSPP.
Namiesto životopisu
Ak existuje takýto monitorovací systém, ktorý nám, obrazne povedané, kryje chrbát, tak kompromisom perimetra sa všetko len začína. Najdôležitejšie je, že existuje reálna možnosť riešiť incidenty informačnej bezpečnosti a nie riešiť ich následky.
Zdroj: hab.com