Luknja kot varnostno orodje - 2, ali kako ujeti APT "na živo vabo"

(hvala Sergeju G. Bresterju za idejo o naslovu) sebres)

Kolegi, namen tega članka je deliti izkušnje enoletnega testnega delovanja novega razreda rešitev IDS, ki temeljijo na tehnologijah Deception.

Da bi ohranili logično povezanost podajanja gradiva, se mi zdi nujno začeti pri prostorih. Problem je torej:

1. Ciljni napadi so najnevarnejša vrsta napadov, kljub temu, da je njihov delež v skupnem številu groženj majhen.
2. Nekatera zajamčena učinkovita sredstva za zaščito oboda (ali kompleks takih sredstev) še niso bila izumljena.
3. Usmerjeni napadi praviloma potekajo v več fazah. Premagovanje perimetra je le ena od začetnih stopenj, ki (lahko me obmetavate s kamenjem) ne povzroči velike škode »žrtvi«, razen če seveda ne gre za DEoS (Destruction of service) napad (ransomware ipd.). .). Prava "škoda" se začne kasneje, ko se zajeta sredstva uporabijo za vrtenje in razvoj napada "v globino", tega pa nismo opazili.
4. Ker začnemo trpeti prave izgube, ko napadalci še pridejo do tarč napada (aplikacijski strežniki, DBMS, hrambe podatkov, repozitoriji, elementi kritične infrastrukture), je logično, da je ena od nalog službe informacijske varnosti prekinitev napadov. pred tem žalostnim dogodkom. Da pa nekaj prekineš, moraš najprej vedeti za to. In čim prej, tem bolje.
5. Skladno s tem je za uspešno obvladovanje tveganja (to je zmanjšanje škode zaradi ciljanih napadov) ključnega pomena imeti orodja, ki zagotavljajo minimalni TTD (čas za odkrivanje – čas od trenutka vdora do trenutka, ko je napad zaznan). Odvisno od panoge in regije je to obdobje v povprečju 99 dni v ZDA, 106 dni v regiji EMEA, 172 dni v regiji APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
6. Kaj ponuja trg?
   • "peskovniki". Še en preventivni nadzor, ki je daleč od idealnega. Obstaja veliko učinkovitih tehnik za odkrivanje in izogibanje rešitvam peskovnikov ali belih seznamov. Fantje s "temne strani" so tukaj korak naprej.
   • UEBA (sistemi za profiliranje vedenja in odkrivanje odstopanj) – v teoriji so lahko zelo učinkoviti. Ampak po mojem je to nekje v daljni prihodnosti. V praksi je to še vedno zelo drago, nezanesljivo in zahteva zelo zrelo in stabilno IT in informacijsko varnostno infrastrukturo, ki že ima vsa orodja, ki bodo generirala podatke za vedenjske analize.
   • SIEM je dobro orodje za preiskave, vendar ne more pravočasno videti in pokazati nečesa novega, izvirnega, ker so pravila korelacije enaki podpisi.

7. Posledično obstaja potreba po takšnem orodju, ki bi:
   • uspešno deloval v razmerah že ogroženega perimetra,
   • zazna uspešne napade v skoraj realnem času, ne glede na uporabljena orodja in ranljivosti,
   • niso bili odvisni od podpisov/pravil/skriptov/pravilnikov/profilov in drugih statičnih stvari,
   • ni zahteval prisotnosti velikih podatkovnih nizov in njihovih virov za analizo,
   • bi omogočil opredelitev napadov ne kot neke vrste točkovanja tveganja kot rezultat dela »najboljše na svetu, patentirane in zato zaprte matematike«, ki zahteva dodatno preiskavo, ampak praktično kot binarni dogodek - »Da, mi smo napaden« ali »Ne, vse je v redu«,
   • je bil univerzalen, učinkovito razširljiv in realistično implementiran v katerem koli heterogenem okolju, ne glede na uporabljeno fizično in logično topologijo omrežja.

Tako imenovane rešitve za prevare zdaj zahtevajo vlogo takšnega orodja. Se pravi rešitve, ki temeljijo na dobrem starem konceptu honeypots, vendar s povsem drugačno stopnjo implementacije. Ta tema je vsekakor v porastu.

Glede na rezultate Vrh Gartner Security&Risk management 2017 Rešitve zavajanja so vključene v TOP 3 strategije in orodja, ki jih priporočamo za uporabo.

Glede na poročilo TAG Cybersecurity Annual 2017 Prevare so ena glavnih smeri razvoja rešitev IDS Intrusion Detection Systems).

Cel del zadnjega Varnostno poročilo Cisco IT, posvečen SCADA, je zgrajen na podatkih enega izmed vodilnih na tem trgu, TrapX Security (Izrael), katerega rešitev že leto dni deluje v naši testni coni.

TrapX Deception Grid vam omogoča centralno obračunavanje stroškov in upravljanje masivnih porazdeljenih IDS, ne da bi povečali obremenitev z licenco in zahteve za vire strojne opreme. Pravzaprav je TrapX konstruktor, ki vam omogoča, da iz elementov obstoječe infrastrukture IT ustvarite en velik mehanizem za zaznavanje napadov za celotno podjetje, nekakšno "signalizacijo" porazdeljenega omrežja.

Strukturne rešitve

V našem laboratoriju nenehno preučujemo in testiramo različne novosti na področju IT varnosti. Zdaj je tukaj nameščenih približno 50 različnih virtualnih strežnikov, vključno s komponentami TrapX Deception Grid.

Torej, od zgoraj navzdol:

1. TSOC (TrapX Security Operation Console) so možgani sistema. To je osrednja upravljalna konzola, prek katere se izvaja konfiguracija, uvajanje rešitve in vsa dnevna dela. Ker gre za spletno storitev, jo je mogoče namestiti kjerkoli – na obodu, v oblaku ali pri ponudniku MSSP.
2. TrapX Appliance (TSA) je virtualni strežnik, na katerega preko trunk porta povežemo tista podomrežja, ki jih želimo pokriti z nadzorom. Tudi vsi naši omrežni senzorji dejansko "živijo" tukaj.

   V našem laboratoriju je nameščen en TSA (mwsapp1), vendar jih je morda dejansko veliko. To je lahko potrebno v velikih omrežjih, kjer med segmenti ni povezljivosti L2 (tipični primer je »Holding in podružnice« ali »Sedež banke in podružnice«) ali če so v omrežju izolirani segmenti, na primer sistemi za nadzor procesov. . V vsaki takšni veji/segmentu lahko namestite svoj TSA in ga povežete z enim samim TSOC, kjer bodo vse informacije centralno obdelane. Ta arhitektura vam omogoča izgradnjo porazdeljenih sistemov za spremljanje brez potrebe po radikalnem prestrukturiranju omrežja ali motnjah obstoječe segmentacije.

   Prav tako lahko predložimo kopijo odhodnega prometa TSA prek TAP/SPAN. V primeru zaznave povezav z znanimi botneti, ukaznimi in nadzornimi strežniki, TOR sejami, dobimo rezultat tudi v konzoli. Za to je odgovoren Network Intelligence Sensor (NIS). V našem okolju je ta funkcionalnost implementirana na požarnem zidu, zato je tukaj nismo uporabili.

3. Application Traps (Full OS) so tradicionalni honeypots, ki temeljijo na strežnikih Windows. Ne potrebujete jih veliko, saj je glavna naloga teh strežnikov zagotavljanje IT storitev na višji ravni senzorjev ali zaznavanje napadov na poslovne aplikacije, ki jih je mogoče namestiti v okolju Windows. En tak strežnik imamo nameščen v našem laboratoriju (FOS01)

   

4. Emulirane pasti so glavna komponenta rešitve, ki nam omogoča, da s pomočjo enega samega virtualnega stroja ustvarimo zelo gosto »minsko« polje za napadalce in nasičimo omrežje podjetja, vse njegove vlane, z našimi senzorji. Napadalec vidi tak senzor ali fantomskega gostitelja kot pravi računalnik ali strežnik Windows Windows, strežnik Linux ali drugo napravo, ki se mu odločimo pokazati.

   
   
   Zaradi posla in radovednosti smo namestili “par vsakega bitja” - Windows osebne računalnike in strežnike različnih različic, Linux strežnike, bankomat z vgrajenim Windows, SWIFT spletni dostop, omrežni tiskalnik, Cisco stikalo, Axis IP kamero, MacBook, Naprava PLC in celo pametna žarnica. Skupaj je 13 gostiteljev. Na splošno prodajalec priporoča namestitev takšnih senzorjev v količini vsaj 10% števila dejanskih gostiteljev. Zgornja vrstica je razpoložljivi naslovni prostor.

   Zelo pomembna točka je, da vsak tak gostitelj ni popoln virtualni stroj, ki zahteva vire in licence. To je "trik", emulacija, en proces na TSA, ki ima nabor parametrov in naslov IP. Zato lahko že s pomočjo enega TSA omrežje nasičimo s stotinami takšnih fantomskih gostiteljev, ki bodo delovali kot senzorji v alarmnem sistemu. Prav ta tehnologija omogoča stroškovno učinkovito razširitev koncepta "honeypots" na obseg katerega koli velikega porazdeljenega podjetja.

   Ti gostitelji so z vidika napadalca privlačni, saj vsebujejo ranljivosti in so videti kot relativno lahke tarče. Napadalec vidi storitve na teh gostiteljih in lahko komunicira z njimi, jih napade s standardnimi orodji in protokoli (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus itd.). Vendar je nemogoče uporabiti te gostitelje za razvoj napada in zagon lastne kode.

5. Kombinacija teh dveh tehnologij (FullOS in emulirane pasti) nam omogoča, da dosežemo visoko statistično verjetnost, da bo napadalec na koncu naletel na kakšen element našega signalizacijskega omrežja. Toda kako narediti to verjetnost blizu 100%?

   V bitko vstopijo tako imenovani žetoni (Deception tokens). Zahvaljujoč njim lahko vključimo vse obstoječe osebne računalnike in poslovne strežnike v naš distribuirani IDS. Žetoni so nameščeni na resničnih osebnih računalnikih uporabnikov. Pomembno je razumeti, da žetoni niso agent, ki porablja vire in lahko povzroči konflikte. Žetoni so pasivni informacijski elementi, nekakšne "drobtine" za napadajočo stran, ki jo vodijo v past. Na primer preslikani omrežni pogoni, zaznamki za lažne spletne skrbnike v brskalniku in shranjena gesla zanje, shranjene seje ssh/rdp/winscp, naše pasti s komentarji v datotekah gostiteljev, gesla, shranjena v pomnilniku, poverilnice neobstoječih uporabnikov, office datoteke, odpiranje katerih bo sprožilo sistem, in še veliko več. Tako napadalca postavimo v izkrivljeno okolje, nasičeno s tistimi vektorji napada, ki nam v resnici ne predstavljajo grožnje, temveč nasprotno. In ne more ugotoviti, kje so resnične informacije in kje lažne. Tako ne zagotovimo le hitrega odkrivanja napada, temveč tudi bistveno upočasnimo njegov potek.

Primer ustvarjanja omrežne pasti in nastavitve žetonov. Prijazen vmesnik in brez ročnega urejanja konfiguracij, skriptov itd.

V našem okolju smo konfigurirali in postavili številne takšne žetone na FOS01 z operacijskim sistemom Windows Server 2012R2 in testni računalnik z operacijskim sistemom Windows 7. RDP se izvaja na teh napravah in občasno jih »objavljamo« v DMZ, kjer je več naših senzorjev (emulirane pasti). Tako dobimo stalen tok incidentov, tako rekoč po naravni poti.

Torej, kratek povzetek leta:

zabeleženih 56 208 incidentov,
2 – zaznani gostitelji izvora napada.

Interaktiven zemljevid napadov, ki ga je mogoče klikniti

Hkrati pa rešitev ne generira nekakšnega megadnevnika ali vira dogodkov, katerega razumevanje traja dolgo časa. Namesto tega rešitev sama razvršča dogodke po vrstah in ekipi za informacijsko varnost omogoča, da se osredotoči predvsem na najnevarnejše – ko napadalec poskuša dvigniti nadzorne seje (interakcija) ali ko imamo v prometu binarne obremenitve (okužba).

Vse informacije o dogodkih so berljive in predstavljene po mojem mnenju v lahko razumljivi obliki tudi uporabniku z osnovnim znanjem s področja informacijske varnosti.

Večina prijavljenih incidentov je poskusov skeniranja naših gostiteljev ali posameznih povezav.

Ali poskusi nasilne uporabe gesel za RDP

Bilo pa je tudi bolj zanimivih primerov, predvsem ko je napadalcem "uspelo" uganiti geslo za RDP in pridobiti dostop do lokalnega omrežja.

Napadalec poskuša izvesti kodo z uporabo psexec.

Napadalec je našel shranjeno sejo, ki ga je pripeljala v past v obliki strežnika Linux. Takoj po povezavi z enim, vnaprej pripravljenim nizom ukazov je poskušal uničiti vse dnevniške datoteke in pripadajoče sistemske spremenljivke.

Napadalec poskuša izvesti vbrizgavanje SQL na kavelj, ki posnema spletni dostop SWIFT.

Poleg teh »naravnih« napadov smo izvedli tudi številne lastne teste. Eden najbolj razkritih je testiranje časa odkrivanja omrežnega črva v omrežju. Za to smo uporabili orodje podjetja GuardiCore, imenovano Okužba opica. To je omrežni črv, ki lahko prevzame Windows in Linux, vendar brez kakršnega koli "koristnega tovora".
Namestili smo lokalni ukazni center, zagnali prvi primerek črva na enem od strojev in v manj kot minuti in pol prejeli prvo obvestilo na konzoli TrapX. TTD 90 sekund v primerjavi s 106 dnevi v povprečju ...

Zahvaljujoč zmožnosti integracije z drugimi razredi rešitev, lahko le preidemo od hitrega zaznavanja groženj k samodejnemu odzivu nanje.

Na primer, integracija s sistemi NAC (Network Access Control) ali s CarbonBlack samodejno prekine ogrožene osebne računalnike iz omrežja.

Integracija s peskovniki vam omogoča samodejno predložitev datotek, vključenih v napad, v analizo.

Integracija z McAfee

Rešitev ima tudi vgrajen lasten sistem korelacije dogodkov.

Vendar nismo bili zadovoljni z njegovimi zmogljivostmi, zato smo ga integrirali s HP ArcSight.

Vgrajeni sistem vozovnic pomaga pri obvladovanju zaznanih groženj "z vsem svetom".

Ker je bila rešitev »od samega začetka« razvita za potrebe vladnih agencij in velikega segmenta podjetij, potem seveda model dostopa na podlagi vlog, integracija z AD, razvit sistem poročil in sprožilcev (opozoril na dogodke), tam se izvaja orkestracija za velike holdinške strukture ali ponudnike MSSP.

Namesto življenjepisa

Če obstaja tak sistem nadzora, ki nam, slikovito rečeno, krije hrbet, potem se s kompromisom perimetra vse šele začne. Najpomembneje je, da obstaja resnična priložnost za obravnavo incidentov informacijske varnosti in ne za odpravo njihovih posledic.

Vir: www.habr.com