(faleminderit Sergey G. Brester për idenë e titullit )
Kolegë, qëllimi i këtij artikulli është të ndajë përvojën e një operacioni testues njëvjeçar të një klase të re zgjidhjesh IDS bazuar në teknologjitë e mashtrimit.
Për të ruajtur koherencën logjike të paraqitjes së materialit, e konsideroj të nevojshme të nis nga premisat. Pra, problemi:
- Sulmet e synuara janë lloji më i rrezikshëm i sulmit, pavarësisht se pjesa e tyre në numrin e përgjithshëm të kërcënimeve është e vogël.
- Asnjë mjet efektiv i garantuar për mbrojtjen e perimetrit (ose një grup mjetesh të tilla) nuk është shpikur ende.
- Si rregull, sulmet e synuara zhvillohen në disa faza. Tejkalimi i perimetrit është vetëm një nga fazat fillestare, e cila (mund të më gjuash gurë) nuk shkakton shumë dëme për "viktimën", përveç nëse, natyrisht, është një sulm DEoS (Shkatërrimi i shërbimit) (kriptues, etj. .). "Dhimbja" e vërtetë fillon më vonë, kur asetet e kapura fillojnë të përdoren për rrotullimin dhe zhvillimin e një sulmi "thellësi", dhe ne nuk e vumë re këtë.
- Meqenëse ne fillojmë të pësojmë humbje reale kur sulmuesit më në fund arrijnë objektivat e sulmit (serverët e aplikacionit, DBMS, depot e të dhënave, depot, elementët kritikë të infrastrukturës), është logjike që një nga detyrat e shërbimit të sigurisë së informacionit të jetë ndërprerja e sulmeve përpara kjo ngjarje e trishtë. Por për të ndërprerë diçka, së pari duhet të mësoni për të. Dhe sa më shpejt, aq më mirë.
- Prandaj, për menaxhimin e suksesshëm të rrezikut (d.m.th., zvogëlimin e dëmeve nga sulmet e synuara), është thelbësore të kemi mjete që do të ofrojnë një TTD minimale (koha për të zbuluar - koha nga momenti i ndërhyrjes deri në momentin e zbulimit të sulmit). Në varësi të industrisë dhe rajonit, kjo periudhë është mesatarisht 99 ditë në SHBA, 106 ditë në rajonin EMEA, 172 ditë në rajonin APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
- Farë ofron tregu?
- "Kutitë e rërës". Një tjetër kontroll parandalues, i cili është larg idealit. Ka shumë teknika efektive për zbulimin dhe anashkalimin e kutive të rërës ose zgjidhjeve të listës së bardhë. Djemtë nga "ana e errët" janë ende një hap përpara këtu.
- UEBA (sistemet për profilizimin e sjelljes dhe identifikimin e devijimeve) - në teori, mund të jetë shumë efektive. Por, për mendimin tim, kjo është diku në një të ardhme të largët. Në praktikë, kjo është ende shumë e shtrenjtë, jo e besueshme dhe kërkon një infrastrukturë shumë të pjekur dhe të qëndrueshme IT dhe sigurie informacioni, e cila tashmë ka të gjitha mjetet që do të gjenerojnë të dhëna për analizën e sjelljes.
- SIEM është një mjet i mirë për hetime, por nuk është në gjendje të shohë dhe të tregojë diçka të re dhe origjinale në kohën e duhur, sepse rregullat e korrelacionit janë të njëjta me nënshkrimet.
- Si rezultat, ekziston nevoja për një mjet që do të:
- punuar me sukses në kushtet e një perimetri tashmë të komprometuar,
- zbuloi sulme të suksesshme pothuajse në kohë reale, pavarësisht nga mjetet dhe dobësitë e përdorura,
- nuk varej nga nënshkrimet/rregullat/skriptet/politikat/profilet dhe gjëra të tjera statike,
- nuk kërkonin sasi të mëdha të dhënash dhe burimet e tyre për analizë,
- do të lejonte që sulmet të përkufizoheshin jo si një lloj vlerësimi i rrezikut si rezultat i punës së "matematikës më të mirë në botë, të patentuar dhe për këtë arsye të mbyllur", e cila kërkon hetim shtesë, por praktikisht si një ngjarje binare - "Po, ne jemi duke u sulmuar" ose "Jo, gjithçka është në rregull",
- ishte universale, me efikasitet të shkallëzuar dhe e realizueshme për t'u zbatuar në çdo mjedis heterogjen, pavarësisht nga topologjia fizike dhe logjike e rrjetit të përdorur.
Të ashtuquajturat zgjidhje mashtrimi tani po konkurrojnë për rolin e një mjeti të tillë. Kjo do të thotë, zgjidhje të bazuara në konceptin e mirë të vjetër të honeypots, por me një nivel krejtësisht të ndryshëm zbatimi. Kjo temë është padyshim në rritje tani.
Sipas rezultateve Zgjidhjet e mashtrimit përfshihen në TOP 3 strategjitë dhe mjetet që rekomandohen të përdoren.
Sipas raportit Mashtrimi është një nga drejtimet kryesore të zhvillimit të zgjidhjeve IDS Intrusion Detection Systems.
Një pjesë e tërë e kësaj të fundit , kushtuar SCADA-s, bazohet në të dhënat e një prej liderëve në këtë treg, TrapX Security (Izrael), zgjidhja e të cilit punon në zonën tonë të testimit prej një viti.
TrapX Deception Grid ju lejon të kushtoni dhe të përdorni IDS të shpërndara masivisht në mënyrë qendrore, pa rritur ngarkesën e licencimit dhe kërkesat për burimet e harduerit. Në fakt, TrapX është një konstruktor që ju lejon të krijoni nga elementët e infrastrukturës ekzistuese të TI-së një mekanizëm të madh për zbulimin e sulmeve në një shkallë të gjerë të ndërmarrjes, një lloj "alarm" të rrjetit të shpërndarë.
Struktura e zgjidhjes
Në laboratorin tonë ne vazhdimisht studiojmë dhe testojmë produkte të ndryshme të reja në fushën e sigurisë IT. Aktualisht, rreth 50 serverë të ndryshëm virtualë janë vendosur këtu, duke përfshirë komponentët TrapX Deception Grid.
Pra, nga lart poshtë:
- TSOC (TrapX Security Operation Console) është truri i sistemit. Kjo është tastiera qendrore e menaxhimit përmes së cilës kryhen konfigurimi, vendosja e zgjidhjes dhe të gjitha operacionet e përditshme. Meqenëse ky është një shërbim në internet, ai mund të vendoset kudo - në perimetër, në cloud ose në një ofrues MSSP.
- TrapX Appliance (TSA) është një server virtual në të cilin ne lidhim, duke përdorur portin trunk, ato nënrrjeta që duam të mbulojmë me monitorim. Gjithashtu, të gjithë sensorët tanë të rrjetit "jetojnë" këtu.
Laboratori ynë ka një TSA të vendosur (mwsapp1), por në realitet mund të ketë shumë. Kjo mund të jetë e nevojshme në rrjetet e mëdha ku nuk ka lidhje L2 midis segmenteve (një shembull tipik është "Holding dhe filialet" ose "Zyra qendrore e bankës dhe degët") ose nëse rrjeti ka segmente të izoluara, për shembull, sisteme të automatizuara të kontrollit të procesit. Në çdo degë/segment të tillë, ju mund të vendosni TSA-në tuaj dhe ta lidhni atë me një TSOC të vetme, ku i gjithë informacioni do të përpunohet në mënyrë qendrore. Kjo arkitekturë ju lejon të ndërtoni sisteme të shpërndara monitorimi pa pasur nevojë të ristrukturoni rrënjësisht rrjetin ose të prishni segmentimin ekzistues.
Gjithashtu, ne mund të dorëzojmë një kopje të trafikut dalës në TSA nëpërmjet TAP/SPAN. Nëse zbulojmë lidhje me botnet të njohura, serverë komandimi dhe kontrolli, ose sesione TOR, do të marrim gjithashtu rezultatin në tastierë. Sensori i inteligjencës së rrjetit (NIS) është përgjegjës për këtë. Në mjedisin tonë, ky funksionalitet zbatohet në murin e zjarrit, kështu që ne nuk e kemi përdorur këtu.
- Kurthe të aplikacionit (Full OS) – honeypots tradicionale të bazuara në serverët e Windows. Ju nuk keni nevojë për shumë prej tyre, pasi qëllimi kryesor i këtyre serverëve është të ofrojë shërbime IT në shtresën tjetër të sensorëve ose të zbulojë sulme ndaj aplikacioneve të biznesit që mund të vendosen në një mjedis Windows. Ne kemi një server të tillë të instaluar në laboratorin tonë (FOS01)
- Kurthet e emuluara janë komponenti kryesor i zgjidhjes, i cili na lejon, duke përdorur një makinë të vetme virtuale, të krijojmë një "fushë të minuar" shumë të dendur për sulmuesit dhe të ngopim rrjetin e ndërmarrjes, të gjitha vlanet e tij, me sensorët tanë. Sulmuesi e sheh një sensor të tillë, ose host fantazmë, si një PC ose server të vërtetë Windows, server Linux ose pajisje tjetër që ne vendosim t'i tregojmë.
Për të mirën e biznesit dhe për hir të kuriozitetit, ne vendosëm "një palë nga çdo krijesë" - PC Windows dhe serverë të versioneve të ndryshme, serverë Linux, një ATM me Windows të integruar, SWIFT Web Access, një printer rrjeti, një Cisco ndërprerës, një kamerë IP Axis, një MacBook, pajisje PLC dhe madje edhe një llambë inteligjente. Janë 13 pritës në total. Në përgjithësi, shitësi rekomandon vendosjen e sensorëve të tillë në një sasi prej të paktën 10% të numrit të hosteve realë. Shiriti i sipërm është hapësira e disponueshme e adresave.Një pikë shumë e rëndësishme është se çdo host i tillë nuk është një makinë virtuale e plotë që kërkon burime dhe licenca. Ky është një mashtrim, emulim, një proces në TSA, i cili ka një grup parametrash dhe një adresë IP. Prandaj, me ndihmën e qoftë edhe një TSA, ne mund ta ngopim rrjetin me qindra pritës të tillë fantazmë, të cilët do të funksionojnë si sensorë në sistemin e alarmit. Është kjo teknologji që bën të mundur shkallëzimin me kosto efektive të konceptit të honeypot në çdo ndërmarrje të madhe të shpërndarë.
Nga këndvështrimi i sulmuesit, këto hoste janë tërheqëse sepse përmbajnë dobësi dhe duken të jenë objektiva relativisht të lehtë. Sulmuesi sheh shërbimet në këto hoste dhe mund të ndërveprojë me ta dhe t'i sulmojë duke përdorur mjete dhe protokolle standarde (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, etj.). Por është e pamundur të përdorni këto hoste për të zhvilluar një sulm ose për të ekzekutuar kodin tuaj.
- Kombinimi i këtyre dy teknologjive (FullOS dhe kurthe të emuluara) na lejon të arrijmë një probabilitet të lartë statistikor që një sulmues herët a vonë të ndeshet me ndonjë element të rrjetit tonë të sinjalizimit. Por si mund të sigurohemi që kjo probabilitet të jetë afër 100%?
Të ashtuquajturat argumente Mashtrimi hyjnë në betejë. Falë tyre, ne mund të përfshijmë të gjithë PC-të dhe serverët ekzistues të ndërmarrjes në IDS-të tona të shpërndara. Shenjat vendosen në kompjuterët e vërtetë të përdoruesve. Është e rëndësishme të kuptohet se argumentet nuk janë agjentë që konsumojnë burime dhe mund të shkaktojnë konflikte. Shenjat janë elementë informacioni pasiv, një lloj "thërrimi i bukës" për palën sulmuese që e çojnë atë në një kurth. Për shembull, disqet e rrjetit të hartuar, faqerojtësit për administratorët e rremë të uebit në shfletues dhe fjalëkalimet e ruajtura për ta, seancat e ruajtura ssh/rdp/winscp, kurthet tona me komente në skedarët e hosteve, fjalëkalimet e ruajtura në memorie, kredencialet e përdoruesve që nuk ekzistojnë, zyra skedarë, hapja e të cilave do të aktivizojë sistemin, dhe shumë më tepër. Kështu, ne e vendosim sulmuesin në një mjedis të shtrembëruar, të ngopur me vektorë sulmi që në fakt nuk paraqesin kërcënim për ne, por përkundrazi. Dhe ai nuk ka asnjë mënyrë për të përcaktuar se ku informacioni është i vërtetë dhe ku është i rremë. Kështu, ne jo vetëm që sigurojmë zbulimin e shpejtë të një sulmi, por gjithashtu ngadalësojmë ndjeshëm përparimin e tij.
Një shembull i krijimit të një kurthi rrjeti dhe vendosjes së argumenteve. Ndërfaqe miqësore dhe pa redaktim manual të konfigurimeve, skripteve, etj.
Në mjedisin tonë, ne konfiguruam dhe vendosëm një numër shenjash të tilla në FOS01 që ekzekuton Windows Server 2012R2 dhe një PC testues me Windows 7. RDP po funksionon në këto makina dhe ne i "varim" ato periodikisht në DMZ, ku një numër i sensorëve tanë (kurthe të emuluara) shfaqen gjithashtu. Pra, ne marrim një rrjedhë të vazhdueshme incidentesh, natyrisht si të thuash.
Pra, këtu janë disa statistika të shpejta për vitin:
56 – incidente të regjistruara,
2 – u zbuluan hostet e burimit të sulmit.
Harta e sulmit interaktive, e klikueshme
Në të njëjtën kohë, zgjidhja nuk gjeneron një lloj mega-log ose furnizim ngjarjesh, i cili kërkon shumë kohë për t'u kuptuar. Në vend të kësaj, vetë zgjidhja i klasifikon ngjarjet sipas llojeve të tyre dhe i lejon ekipit të sigurisë së informacionit të fokusohet kryesisht në ato më të rrezikshmet - kur sulmuesi përpiqet të ngrejë sesionet e kontrollit (ndërveprim) ose kur ngarkesat binare (infeksioni) shfaqen në trafikun tonë.
I gjithë informacioni rreth ngjarjeve është i lexueshëm dhe i paraqitur, për mendimin tim, në një formë lehtësisht të kuptueshme edhe për një përdorues me njohuri bazë në fushën e sigurisë së informacionit.
Shumica e incidenteve të regjistruara janë përpjekje për të skanuar hostet tanë ose lidhje të vetme.
Ose përpjekjet për të përdorur fjalëkalimet me forcë brutale për RDP
Por kishte edhe raste më interesante, veçanërisht kur sulmuesit "arritën" të merrnin me mend fjalëkalimin për RDP dhe të fitonin akses në rrjetin lokal.
Një sulmues përpiqet të ekzekutojë kodin duke përdorur psexec.
Sulmuesi gjeti një seancë të ruajtur, e cila e çoi atë në një kurth në formën e një serveri Linux. Menjëherë pas lidhjes, me një grup komandash të përgatitur paraprakisht, u përpoq të shkatërronte të gjithë skedarët e regjistrit dhe variablat përkatëse të sistemit.
Një sulmues përpiqet të kryejë injeksion SQL në një honeypot që imiton SWIFT Web Access.
Përveç sulmeve të tilla "natyrore", ne kryem edhe një sërë testesh tona. Një nga më zbuluesit është testimi i kohës së zbulimit të një krimbi të rrjetit në një rrjet. Për ta bërë këtë, ne përdorëm një mjet nga GuardiCore të quajtur . Ky është një krimb i rrjetit që mund të rrëmbejë Windows dhe Linux, por pa asnjë "ngarkesë".
Ne vendosëm një qendër komanduese lokale, lëshuam shembullin e parë të krimbit në një nga makinat dhe morëm alarmin e parë në konsolën TrapX në më pak se një minutë e gjysmë. TTD 90 sekonda kundrejt 106 ditëve mesatarisht...
Falë aftësisë për t'u integruar me klasa të tjera zgjidhjesh, ne mund të kalojmë nga zbulimi i shpejtë i kërcënimeve në përgjigjen automatike ndaj tyre.
Për shembull, integrimi me sistemet NAC (Network Access Control) ose me CarbonBlack do t'ju lejojë të shkëputni automatikisht PC-të e komprometuar nga rrjeti.
Integrimi me sandboxet lejon që skedarët e përfshirë në një sulm të dorëzohen automatikisht për analizë.
Integrimi i McAfee
Zgjidhja ka gjithashtu sistemin e vet të integruar të korrelacionit të ngjarjeve.
Por ne nuk ishim të kënaqur me aftësitë e tij, kështu që e integruam me HP ArcSight.
Sistemi i integruar i biletave ndihmon të gjithë botën të përballet me kërcënimet e zbuluara.
Meqenëse zgjidhja u zhvillua "që nga fillimi" për nevojat e agjencive qeveritare dhe një segmenti të madh të korporatës, ajo zbaton natyrshëm një model aksesi të bazuar në role, integrim me AD, një sistem të zhvilluar raportesh dhe aktivizuesish (lajmërime ngjarjesh), orkestrimi për strukturat e mëdha mbajtëse ose ofruesit e MSSP.
Në vend të një të rinisë
Nëse ekziston një sistem i tillë monitorimi, i cili në mënyrë figurative na mbulon kurrizin, atëherë me kompromisin e perimetrit gjithçka sapo fillon. Gjëja më e rëndësishme është që të ketë një mundësi reale për t'u marrë me incidentet e sigurisë së informacionit, dhe jo për t'u marrë me pasojat e tyre.
Burimi: www.habr.com