(Mahad waxaa leh Sergey G. Brester fikradda cinwaanka )
Asxaabta, ujeedada maqaalkani waa in la wadaago waayo-aragnimada hawlgalka tijaabada ah ee sanadka-dheer ee fasalka cusub ee xalalka IDS ee ku salaysan tiknoolajiyada khiyaanada.
Si loo ilaaliyo isku xirnaanta macquulka ah ee soo jeedinta walxaha, waxaan u arkaa inay lagama maarmaan tahay in la bilaabo dhismaha. Haddaba, dhibaatadu:
- Weerarada la bartilmaameedsado waa nooca ugu khatarta badan, inkastoo xaqiiqda ah in qaybtooda tirada guud ee hanjabaadyadu ay yar tahay.
- Ma jiro dammaanad dammaanad qaad ah oo wax ku ool ah oo lagu ilaalinayo wareegtada (ama qaabab noocaas ah) oo weli la alifay.
- Sida caadiga ah, weerarrada lala beegsaday waxay u dhacaan dhowr marxaladood. Ka adkaanta wareegga waa mid ka mid ah marxaladaha bilowga ah, taas oo (dhagaxaan igu tuuri kartaa) ma keenayso waxyeello badan "dhibanaha", ilaa, dabcan, waa DEoS (Destruction of service) weerar (encryptors, iwm.) .) "xanuunka" dhabta ah wuxuu bilaabmaa mar dambe, marka hantida la qabsaday ay bilaabaan in loo isticmaalo kicinta iyo horumarinta weerarka "qoto dheer", mana aanan ogaanin tan.
- Tan iyo markii aan bilowno in aan la kulanno khasaare dhab ah markii weeraryahannadu ay ugu dambeyntii gaaraan bartilmaameedyada weerarka (serverrada codsiyada, DBMS, bakhaarada xogta, kaydinta, walxaha kaabayaasha muhiimka ah), waa macquul in mid ka mid ah hawlaha adeegga amniga macluumaadka uu yahay in la joojiyo weerarrada ka hor. dhacdadan murugada leh. Laakin si aad wax u kala dhex gasho, waa in aad marka hore ogaataa. Oo sida ugu dhakhsaha badan, ka wanaagsan.
- Sidaas awgeed, maaraynta khatarta ah ee guusha leh (taas oo ah, dhimista waxyeelada weerarrada la beegsanayo), waa muhiim in la helo qalab bixin doona ugu yaraan TTD (waqtiga lagu ogaanayo - wakhtiga laga bilaabo wakhtiga la soo galo ilaa wakhtiga weerarka la ogaado). Iyada oo ku xidhan warshadaha iyo gobolka, muddadani celcelis ahaan 99 maalmood gudaha Maraykanka, 106 maalmood ee gobolka EMEA, 172 maalmood ee gobolka APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
- Muxuu suuqa bixiyaa?
- "Sandboxes". Xakameyn kale oo ka hortag ah, kaas oo aad uga fog. Waxaa jira farsamooyin badan oo wax ku ool ah oo lagu ogaanayo lagana gudbayo sanduuqyada ciidda ama xalalka liiska caddaymaha. Ragga ka socda "dhinaca mugdiga" ayaa weli halkan hal tallaabo ka horreeya.
- UEBA (nidaamyada sifaynta habdhaqanka iyo aqoonsiga leexinta) - aragti ahaan, waxay noqon kartaa mid aad waxtar u leh. Laakiin, fikradayda, tani waa wakhti mustaqbalka fog. Ficil ahaan, tani wali waa mid aad qaali u ah, aan la isku halleyn karin waxayna u baahan tahay IT aad u bislaaday oo xasilloon iyo kaabayaasha amniga macluumaadka, kaas oo horey u haystay dhammaan aaladaha soo saari doona xogta falanqaynta habdhaqanka.
- SIEM waa qalab wanaagsan oo loogu talagalay baaritaannada, laakiin ma awoodo inay aragto oo muujiso wax cusub oo asal ah waqti ku habboon, sababtoo ah xeerarka isku-xidhka ayaa la mid ah saxiixyada.
- Natiijo ahaan, waxaa loo baahan yahay qalab kaas oo:
- si guul leh uga soo shaqeeyay xaaladaha wareeggii horeba la jabiyay,
- la ogaaday weeraro lagu guulaystay wakhtiga dhabta ah, iyadoon loo eegayn qalabka iyo dayacanka la isticmaalay
- kuma xirna saxiixyada/sharciyada/qoraalka/siyaasadaha/profilada iyo waxyaabaha kale ee taagan,
- uma baahna tiro badan oo xog ah iyo ilahooda baadhista,
- Waxay u oggolaanaysaa weerarrada in lagu qeexo ma aha nooc ka mid ah dhibcaha khatarta ah natiijada shaqada "kuwa adduunka ugu fiican, la aqoonsan yahay oo sidaas darteed xisaabta xiran", taas oo u baahan baaritaan dheeri ah, laakiin ficil ahaan sida dhacdo laba-geesood ah - "Haa, waa nala weeraray" ama "Maya, wax walba waa OK",
- wuxuu ahaa mid caalami ah, si hufan loo miisaami karo oo suurtagal ah in laga hirgeliyo deegaan kasta oo kala duwan, iyadoon loo eegin qaabka iyo maangalnimada shabakadaha la isticmaalo.
Waxa loogu yeero xallinta khiyaanada ayaa hadda u tartamaya doorka qalabkan. Taasi waa, xalalka ku salaysan fikradda hore ee wanaagsan ee honeypots, laakiin leh heer gebi ahaanba ka duwan hirgelinta. Mawduucan xaqiiqdii waa kor u kaca hadda.
Marka loo eego natiijada Xalka khiyaanada ayaa lagu daray TOP 3 xeeladaha iyo qalabka lagu taliyay in la isticmaalo.
Sida lagu sheegay warbixinta Khiyaanadu waa mid ka mid ah jihooyinka ugu muhiimsan ee horumarinta IDS Nidaamyada Ogaanshaha Intrusion) xalalka.
Qayb dhan ee dambe , u heellan SCADA, waxay ku saleysan tahay xogta mid ka mid ah hoggaamiyeyaasha suuqan, TrapX Security (Israel), taas oo xalkeedu uu ka shaqeynayay aagga tijaabada muddo hal sano ah.
TrapX Deception Grid waxay kuu ogolaanaysaa inaad ku kacdo oo aad u shaqayso IDS si wayn loo qaybiyay si dhexe, adoon kordhin culayska shatiga iyo shuruudaha agabka qalabka. Dhab ahaantii, TrapX waa dhise kuu oggolaanaya inaad ka abuurto walxaha kaabayaasha IT-ga ee jira hal hab oo weyn oo lagu ogaanayo weerarrada cabbirka ganacsiga oo dhan, nooc shabakad la qaybiyay βalaarmiga.β
Qaab-dhismeedka Xalka
Shaybaadhkayaga waxaan si joogto ah u barannaa oo aan ku tijaabinnaa alaabooyin cusub oo kala duwan oo dhinaca amniga IT ah. Hadda, ilaa 50 adeegayaal macmal ah oo kala duwan ayaa halkan la geeyay, oo ay ku jiraan qaybaha TrapX Deception Grid.
Haddaba, kor ilaa hoos:
- TSOC (TrapX Security Operation Console) waa maskaxda nidaamka. Kani waa console-ka dhexe ee maamulka kaas oo habaynta, geynta xalka iyo hawl maalmeedka oo dhan lagu fuliyo. Maadaama uu kani yahay adeeg shabakad, waxa la geyn karaa meel kasta - wareega, daruuraha ama bixiyaha MSSP.
- TrapX Appliance (TSA) waa adeegaha macmalka ah ee aan ku xirno, anagoo adeegsanayna dekedda jirridda, shabakadaha hoose ee aan rabno inaan ku daboolno la socodka. Sidoo kale, dhammaan dareemayaasha shabakadaheenna dhab ahaantii "ku nool yihiin" halkan.
Shaybaadhkayagu waxa uu leeyahay hal TSA oo la geeyay (mwsapp1), laakiin dhab ahaantii waxa jiri kara qaar badan. Tani waxay lagama maarmaan u noqon kartaa shabakadaha waaweyn ee aysan jirin isku xirnaanta L2 ee u dhaxaysa qaybaha (tusaale ahaan "Holding and subsidiaries" ama "Xafiiska Bangiga iyo Laamaha") ama haddii shabakadu leedahay qaybo go'doonsan, tusaale ahaan, nidaamyada xakamaynta habka otomaatiga ah. Qayb kasta oo noocaas ah, waxaad geyn kartaa TSA-gaaga oo waxaad ku xidhi kartaa hal TSOC, halkaas oo dhammaan macluumaadka si dhexdhexaad ah looga baaraandegi doono. Nashqadani waxay kuu ogolaanaysaa inaad dhisto nidaamyo kormeer oo la qaybiyey adiga oo aan u baahnayn in si qotodheer loo habeeyo shabakada ama la carqaladeeyo qaybta jirta.
Sidoo kale, waxaan u soo gudbin karnaa koobiga taraafikada ka baxaya TSA anagoo sii marinayna TAP/SPAN. Haddii aan ogaano isku xirka botnets-ka la yaqaan, taliska iyo kontoroolka server-yada, ama fadhiyada TOR, waxaan sidoo kale heli doonaa natiijada console-ka. Sensor Intelligence Network (NIS) ayaa ka mas'uul ah tan. Deegaankayaga, shaqadan waxaa lagu hirgeliyaa firewall-ka, markaa ma aanan isticmaalin halkan.
- Dabinnada Codsiga (Full OS) - meelaha malabka dhaqameed ee ku salaysan adeegayaasha Windows. Uma baahnid qaar badan oo iyaga ka mid ah, maadaama ujeedada ugu weyn ee adeegayaashan ay tahay in la bixiyo adeegyada IT-ga lakabka soo socda ee dareemayaasha ama lagu ogaado weerarada codsiyada ganacsiga ee laga yaabo in la geeyo jawiga Windows. Waxaan haynaa hal server oo noocaas ah oo lagu rakibay shaybaadhkayaga (FOS01)
- Dabinnada la isku dayay ayaa ah qaybta ugu muhiimsan ee xalka, taas oo noo oggolaanaysa, annaga oo adeegsanayna hal mashiin, si aan u abuurno "goob miino" aad u cufan oo loogu talagalay weeraryahannada oo aan ka dheregno shabakadda ganacsiga, dhammaan vlans-keeda, oo leh dareemayaashayada. Weerarku wuxuu u arkaa dareemayaal noocaas ah, ama martigeliyaha fannaanka, sida Windows PC ama server-ka dhabta ah, server Linux ama qalab kale oo aan go'aansanay inaan tusno isaga.
Wanaagga ganacsiga iyo xiisaha awgeed, waxaan geynay "labo ka mid ah abuur kasta" - Kumbuyuutarrada Windows iyo server-yada noocyo kala duwan, Linux servers, ATM oo leh Windows-ka, SWIFT Web Access, daabacaha shabakadda, Cisco bedel, Axis IP camera, MacBook, PLC -qalabka iyo xataa nalka smart. Guud ahaan waxaa jira 13 martigeliyayaal ah. Guud ahaan, iibiyuhu wuxuu ku talinayaa in la geeyo dareemayaasha noocaas ah qadar ugu yaraan 10% tirada martigeliyaha dhabta ah. Barta sare waa meesha ciwaanka ee la heli karo.Qodob aad u muhiim ah ayaa ah in mid kasta oo martigeliyaha ah uusan ahayn mashiinka farsamada ee buuxa oo u baahan kheyraad iyo shatiyo. Tani waa khiyaamo, ku dayasho, hal hab oo ku saabsan TSA, kaas oo leh jaangooyooyin iyo ciwaanka IP. Sidaa darteed, iyadoo la kaashanayo xitaa hal TSA, waxaan ku buuxin karnaa shabakada boqolaal ka mid ah martigeliyaha fantasiyaha, kuwaas oo u shaqeyn doona sida dareemayaasha nidaamka digniinta. Waa tignoolajiyadan tan ka dhigaysa in si wax ku ool ah loo cabbiro fikradda malab-lababka ee ganacsi kasta oo ballaadhan.
Marka loo eego dhinaca weerarka, martigeliyayaashani waa kuwo soo jiidasho leh sababtoo ah waxay ka kooban yihiin baylahdo waxayna u muuqdaan inay yihiin bartilmaameedyo fudud. Weeraryahanku waxa uu arkayaa adeegyada martida loo yahay oo wuu la falgali karaa oo wuu ku weerari karaa iyaga oo isticmaalaya aaladaha caadiga ah iyo borotokoollada (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, iwm.). Laakin macquul maaha in aad isticmaasho kuwan martida loo yahay si aad u horumariso weerar ama aad u socodsiiso koodkaaga.
- Isku darka labadan teknooloji (FullOS iyo dabinada lagu daydo) waxay noo ogolaanaysaa inaan gaarno itimaalka tirakoobka sare ee ah in weeraryahanku mar dhow ama hadhow la kulmo qayb ka mid ah shabakadayada calaamadaynta. Laakiin sidee baan u hubin karnaa in ixtimaalkani uu ku dhow yahay 100%?
Calaamadaha khiyaanada la yiraahdo waxay galaan dagaalka. Waad ku mahadsan tahay iyaga, waxaan ku dari karnaa dhammaan kombuyuutarrada jira iyo adeegayaasha shirkadu IDS-ka la qaybiyo. Calaamadaha waxaa lagu dhejiyaa PC-yada dhabta ah ee isticmaalayaasha. Waxaa muhiim ah in la fahmo in calaamaduhu aysan ahayn wakiillo cuna kheyraadka oo sababi kara isku dhacyo. Calaamaduhu waa walxo macluumaad dadban, nooc ka mid ah "burbur" ee dhinaca weerarka u horseedaya dabin. Tusaale ahaan, khariidadaha shabakadaha, calaamadaynta maamulayaasha shabakada been abuurka ah ee browserka iyo kaydinta ereyada sirta ah iyaga, kaydsan fadhiyada ssh/rdp/winscp, dabinadayada faallooyinka ku jira faylasha martida loo yahay, ereyada sirta ah ee lagu kaydiyay xusuusta, aqoonsiga isticmaalayaasha aan jirin, xafiiska faylal, furitaan kaas oo kicin doona nidaamka, iyo wax ka badan. Markaa, waxa aanu dhignaa qofka wax weeraraya deegaan qalloocan, oo ay ka buuxaan weerrayaal aan khatar nagu ahayn, balse taa lidkeeda ah. Oo ma hayo si uu u ogaado halka warku ka run yahay iyo halka uu been yahay. Markaa, ma xaqiijino oo kaliya in si degdeg ah loo ogaado weerarka, laakiin sidoo kale waxaan si weyn hoos ugu dhigaynaa horumarkiisa.
Tusaale ahaan abuurista dabin shabakadeed iyo dejinta calaamado. Interface saaxiibtinimo oo aan lahayn tafatirka gacanta ee habaynta, qoraallada, iwm.
Deegaankayaga, waxaanu dejinay oo aanu dhignay tiro calaamado oo kale ah FOS01 oo ku shaqeeya Windows Server 2012R2 iyo kombuyuutar tijaabo ah oo ku shaqeeya Windows 7. RDP waxay ku socotaa mishiinnadan waxaanan si joogto ah "ku dhejineynaa" DMZ, halkaas oo tiro ka mid ah dareemayaashayada. (dabinnada lagu daydo) ayaa sidoo kale la soo bandhigay. Markaa waxaan helnaa dhacdooyin isdaba joog ah, dabiici ahaan si loo hadlo.
Haddaba, waa kuwan qaar ka mid ah tirakoobyada degdegga ah ee sanadka:
56 - dhacdooyin la duubay,
2 - waa la ogaadey cida weerarka soo qaaday.
Dhaqdhaqaaq, khariidad weerar ah oo la riixi karo
Isla mar ahaantaana, xalku ma soo saaro nooc ka mid ah mega-log ama quudinta dhacdada, taas oo qaadanaysa waqti dheer in la fahmo. Taa baddalkeeda, xalka laftiisa wuxuu u kala saaraa dhacdooyinka noocyadooda wuxuuna u oggolaanayaa kooxda amniga macluumaadka inay diiradda saaraan ugu horrayn kuwa ugu khatarta badan - marka weerarku isku dayo inuu kor u qaado kalfadhiyada xakamaynta (isdhexgalka) ama marka culeyska laba-geesoodka ah (infekshanka) uu ka muuqdo taraafikadayada.
Dhammaan macluumaadka ku saabsan dhacdooyinka waa la akhrin karaa oo la soo bandhigay, fikradayda, qaab sahlan oo lagu fahmi karo xitaa isticmaalayaasha aqoonta aasaasiga ah ee amniga macluumaadka.
Inta badan shilalka la duubay waa isku dayo lagu sawirayo martigeliyayaashayada ama xidhiidhada kali ah.
Ama isku day in lagu qasbo furaha sirta ah ee RDP
Laakiin waxaa sidoo kale jiray kiisas aad u xiiso badan, gaar ahaan markii weeraryahannadu "ku suurtagashay" inay qiyaasaan erayga sirta ah ee RDP oo ay galaangal u yeeshaan shabakadda maxalliga ah.
Weerarku wuxuu isku dayaa inuu fuliyo koodka isagoo isticmaalaya psexec.
Weeraryahanku wuxuu helay fadhi la badbaadiyay, kaas oo u horseeday inuu dabin u galo qaab server-ka Linux ah. Isla markiiba ka dib markii la isku xidhay, oo leh hal amar oo horay loo sii diyaariyay, waxay isku dayday inay burburiso dhammaan faylasha log iyo doorsoomayaasha nidaamka u dhigma.
Weeraryahanku waxa uu isku dayaa in uu duritaan SQL ku dul durido kaydka malabka kaas oo ku dayanaya gelitaanka mareegta SWIFT.
Marka laga soo tago weerarrada "dabiiciga ah" ee noocan oo kale ah, waxaan sidoo kale sameynay tiro baaritaanno noo gaar ah. Mid ka mid ah kuwa ugu daah-furka badan ayaa ah in la tijaabiyo wakhtiga lagu ogaanayo gooryaanka shabakadda ee shabakadda. Si tan loo sameeyo waxaan isticmaalnay qalab ka yimid GuardiCore oo la yiraahdo . Kani waa dirxi shabakadeed kaas oo afduubi kara Windows iyo Linux, laakiin aan lahayn "loader".
Waxaan geynay xarun talis oo maxalli ah, waxaan bilownay tusaalaha ugu horeeya ee dirxiga mid ka mid ah mashiinada, waxaanan helnay digniintii ugu horeysay ee TrapX console in ka yar hal daqiiqo iyo badh. TTD 90 ilbiriqsi iyo 106 maalmood celcelis ahaan...
Waad ku mahadsan tahay awoodda lagu dhex milmay qaybaha kale ee xalalka, waxaan ka dhaqaaqi karnaa si degdeg ah u ogaanshaha hanjabaadaha oo aan si toos ah uga jawaabno iyaga.
Tusaale ahaan, la-qabsiga nidaamyada NAC (Network Access Control) ama CarbonBlack waxay kuu oggolaaneysaa inaad si toos ah ugu xirto kombuyuutarrada la jabsaday ee shabakadda.
La-qabsiga sanduuqyada-cammuudka ayaa u oggolaanaya faylasha ku lug leh weerarka in si toos ah loogu gudbiyo falanqaynta.
Is dhexgalka McAfee
Xalku waxa kale oo uu leeyahay nidaam u gaar ah oo isku xidhka dhacdada.
Laakiin kuma qanacsanayn awooddeeda, sidaas darteed waxaan ku dhex milmay HP ArcSight.
Nidaamka tigidhada ku dhex jira waxa uu ka caawiyaa aduunka oo dhan in ay la qabsadaan khataraha la ogaaday.
Tan iyo markii xalka la sameeyay "bilawgii" baahida wakaaladaha dawladda iyo qayb weyn oo shirkadeed, waxay si dabiici ah u fulisaa qaabka gelitaanka doorka ku salaysan, isdhexgalka AD, nidaam horumarsan oo warbixinno iyo kiciya (dhacdooyinka dhacdooyinka), orchesteration for dhismayaal waaweyn oo haynta ama bixiyayaasha MSSP.
Halkii laga heli lahaa resume
Haddii uu jiro nidaamka kormeerka noocan oo kale ah, kaas oo, tusaale ahaan, daboolaya dhabarkayaga, ka dibna iyada oo la isku tanaasulayo wareegga wax walba waa bilow. Waxa ugu muhiimsan waa in ay jirto fursad dhab ah oo lagula tacaali karo shilalka amniga macluumaadka, oo aan lala tacaalin cawaaqibkooda.
Source: www.habr.com