(ka lebaka la Sergey G. Brester bakeng sa mohopolo oa sehlooho )
Basebetsi-'moho, sepheo sa sengoloa sena ke ho arolelana boiphihlelo ba tlhahlobo ea selemo kaofela ea sehlopha se secha sa litharollo tsa IDS tse thehiloeng ho mahlale a Thetso.
E le ho boloka momahano o utloahalang oa tlhahiso ea boitsebiso, ke nka ho hlokahala ho qala ka sebaka. Kahoo, bothata:
- Litlhaselo tse lebisitsoeng ke mofuta o kotsi ka ho fetisisa oa tlhaselo, ho sa tsotellehe hore karolo ea bona palo eohle ea litšokelo e nyenyane.
- Ha ho na mokhoa o tiisitsoeng oa ho sireletsa moeli (kapa sete ea mekhoa e joalo) e seng e qapiloe.
- E le molao, litlhaselo tse lebisitsoeng li etsahala ka mekhahlelo e mengata. Ho hlōla perimeter ke e 'ngoe feela ea mehato ea pele, eo (o ka nkotla ka majoe) ha e bake tšenyo e kholo ho "lehlatsipa", ntle le haeba, ha e le hantle, ke tlhaselo ea DEoS (Tshenyo ea tšebeletso) (encryptors, joalo-joalo). .). "Bohloko" ba sebele bo qala hamorao, ha thepa e hapuoeng e qala ho sebelisoa bakeng sa pivoting le ho hlahisa tlhaselo ea "botebo", 'me ha rea ka ra hlokomela sena.
- Kaha re qala ho utloa bohloko ba tahlehelo ea 'nete ha bahlaseli ba qetella ba fihletse lipehelo tsa tlhaselo (li-server tsa kopo, DBMS, polokelo ea data, polokelo, likarolo tsa bohlokoa tsa meaho), hoa utloahala hore e' ngoe ea mesebetsi ea ts'ireletso ea tlhahisoleseling ke ho sitisa litlhaselo pele ho nako. ketsahalo ena e bohloko. Empa e le hore u sitise ntho e itseng, u lokela ho qala ka ho tseba ka eona. 'Me kapele, ho molemo.
- Ka lebaka leo, bakeng sa taolo e atlehileng ea kotsi (ke hore, ho fokotsa tšenyo e tsoang litlhaselong tse lebisitsoeng), ke habohlokoa ho ba le lisebelisoa tse tla fana ka bonyane ba TTD (nako ea ho lemoha - nako ea ho tloha nakong ea ho kenella ho fihlela ha tlhaselo e fumanoa). Ho ipapisitsoe le indasteri le sebaka, nako ena e nka matsatsi a 99 naheng ea Amerika, matsatsi a 106 sebakeng sa EMEA, matsatsi a 172 sebakeng sa APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
- 'Maraka o fana ka eng?
- "Mabokose a lehlabathe". Taolo e 'ngoe e thibelang, e leng hole le ho feta. Ho na le mekhoa e mengata e sebetsang ea ho bona le ho feta li-sandbox kapa litharollo tsa whitelist. Bashemane ba tsoang "lehlakoreng le lefifi" ba ntse ba le mohato o le mong pele mona.
- UEBA (lits'ebetso tsa ho tsebahatsa boits'oaro le ho khetholla liphapang) - ka mohopolo, li ka sebetsa haholo. Empa, ka maikutlo a ka, sena ke nako e 'ngoe ea bokamoso bo hole. Ha e le hantle, sena se ntse se le theko e boima haholo, se sa tšepahaleng 'me se hloka mekhoa ea ts'ireletso ea ts'ireletso ea IT e hōlileng haholo le e tsitsitseng, e seng e ntse e e-na le lisebelisoa tsohle tse tla hlahisa data bakeng sa tlhahlobo ea boitšoaro.
- SIEM ke sesebelisoa se setle sa lipatlisiso, empa ha e khone ho bona le ho bontša ntho e ncha le ea pele ka nako e loketseng, hobane melao ea ho hokahanya e tšoana le li-signature.
- Ka lebaka leo, ho na le tlhokahalo ea lisebelisoa tse tla:
- e sebelitse ka katleho maemong a sebaka se seng se senyehile,
- e fumane litlhaselo tse atlehileng ka nako e haufi, ho sa tsotelehe lisebelisoa le bofokoli bo sebelisitsoeng,
- e ne e sa itšetlehe ka li-signature / melao / lingoloa / maano / liprofaele le lintho tse ling tse tsitsitseng,
- ha e hloke lintlha tse ngata le mehloli ea tsona bakeng sa tlhahlobo,
- e ka lumella litlhaselo hore li se ke tsa hlalosoa e le mofuta o itseng oa ho ipeha kotsing ka lebaka la mosebetsi oa "mathematics a molemo ka ho fetisisa lefatšeng, a nang le tokelo ea molao 'me ka hona a koetsoe", e hlokang lipatlisiso tse eketsehileng, empa hoo e batlang e le ketsahalo ea binary - "Ee, rea hlaseloa” kapa “Che, tsohle li lokile”,
- e ne e le ea bokahohleng, e lekanyelitsoeng ka mokhoa o atlehileng le e ka khonehang ho e kenya ts'ebetsong tikolohong efe kapa efe e fapaneng, ho sa tsotellehe hore na topology ea marang-rang e sebelisitsoeng joang le e utloahalang.
Seo ho thoeng ke litharollo tsa thetso joale se tseka karolo ea sesebelisoa se joalo. Ke hore, litharollo tse thehiloeng khopolong e ntle ea khale ea mahe a linotsi, empa ka boemo bo fapaneng ka ho feletseng ba ts'ebetsong. Ka sebele sehlooho sena se ntse se phahama hona joale.
Ho latela liphetho Litharollo tsa thetso li kenyelelitsoe ho TOP 3 maano le lisebelisoa tse khothalletsoang hore li sebelisoe.
Ho latela tlaleho Thetso ke e 'ngoe ea litataiso tsa mantlha tsa nts'etsopele ea tharollo ea IDS Intrusion Detection Systems).
Karolo e felletseng ea ho qetela , e inehetseng ho SCADA, e thehiloe boitsebisong bo tsoang ho e mong oa baeta-pele ba 'marakeng ona, TrapX Security (Israel), tharollo ea eona e' nileng ea sebetsa sebakeng sa rona sa teko ka selemo.
TrapX Deception Grid e o lumella ho bitsa le ho sebelisa IDS e ajoang haholo bohareng, ntle le ho eketsa mojaro oa laesense le litlhoko tsa lisebelisoa tsa Hardware. Ha e le hantle, TrapX ke sehahi se u lumellang hore u thehe ho tsoa ho likarolo tsa lisebelisoa tsa IT tse teng mochine o le mong o moholo oa ho lemoha litlhaselo ka bongata ba khoebo, mofuta oa "alamo" ea marang-rang.
Sebopeho sa Tharollo
Ka laboratoring ea rona re lula re ithuta le ho leka lihlahisoa tse ncha tse fapaneng tšimong ea ts'ireletso ea IT. Hajoale, li-server tse ka bang 50 tse fapaneng li kentsoe mona, ho kenyeletsoa likarolo tsa TrapX Deception Grid.
Kahoo, ho tloha holimo ho ea tlase:
- TSOC (TrapX Security Operation Console) ke boko ba tsamaiso. Ena ke setsi sa tsamaiso se bohareng seo tlhophiso, phepelo ea tharollo le ts'ebetso eohle ea letsatsi le letsatsi li etsoang. Kaha ena ke ts'ebeletso ea webo, e ka romelloa kae kapa kae - ho pota-pota, marung kapa ho mofani oa MSSP.
- TrapX Appliance (TSA) ke seva sa nnete seo re hokelang ho sona, re sebelisa boema-kepe ba kutu, li-subnets tseo re batlang ho li koahela ka tlhokomelo. Hape, li-sensor tsa rona tsa marang-rang li "phela" mona.
Lab ea rona e na le TSA e le 'ngoe e kentsoeng (mwsapp1), empa ha e le hantle ho ka ba le tse ngata. Sena se ka 'na sa hlokahala ho marang-rang a maholo moo ho se nang khokahanyo ea L2 pakeng tsa likarolo (mohlala o tloaelehileng ke "Ho tšoara le li-subsidiary" kapa "ofisi ea hlooho ea banka le makala") kapa haeba marang-rang a na le likarolo tse ka thōko, mohlala, mekhoa ea ho laola mekhoa e ikemetseng. Lekaleng le leng le le leng / karolo e joalo, o ka tsamaisa TSA ea hau mme oa e hokahanya le TSOC e le 'ngoe, moo tlhahisoleseling eohle e tla sebetsoa bohareng. Meaho ena e u lumella ho haha mekhoa ea ho shebella e abuoang ntle le tlhoko ea ho hlophisa bocha marang-rang kapa ho senya karohano e teng.
Hape, re ka romella kopi ea sephethephethe se tsoang TSA ka TAP/SPAN. Haeba re lemoha likhokahano le li-botnets tse tsebahalang, li-server tsa taelo le taolo, kapa linako tsa TOR, re tla boela re fumane sephetho ho console. Network Intelligence Sensor (NIS) e ikarabella bakeng sa sena. Sebakeng sa rona, ts'ebetso ena e sebelisoa ho firewall, kahoo ha rea e sebelisa mona.
- Lisebelisoa tsa Ts'ebetso (Full OS) - lipitsa tsa mahe a linotsi tsa setso tse thehiloeng ho li-server tsa Windows. Ha u hloke tse ngata tsa tsona, kaha sepheo sa mantlha sa li-server tsena ke ho fana ka lits'ebeletso tsa IT ho karolo e latelang ea li-sensor kapa ho lemoha litlhaselo ho lits'ebetso tsa khoebo tse ka romelloang tikolohong ea Windows. Re na le seva se le seng se joalo se kentsoeng laboratoring ea rona (FOS01)
- Maraba a tšoantšitsoeng ke karolo e ka sehloohong ea tharollo, e re lumellang, ka ho sebelisa mochine o le mong oa sebele, ho theha "lebala la liqhomane" le teteaneng haholo bakeng sa bahlaseli le ho tlatsa marang-rang a khoebo, li-vlans tsohle tsa eona, ka li-sensor tsa rona. Mohlaseli o bona sensor e joalo, kapa phantom host host, e le Windows PC kapa seva sa sebele, seva sa Linux kapa sesebelisoa se seng seo re khethang ho se bontša.
Molemong oa khoebo le molemong oa bohelehele, re sebelisitse "sebopuoa se seng le se seng" - Windows PC le li-server tsa liphetolelo tse fapaneng, li-server tsa Linux, ATM e kentsoeng Windows, SWIFT Web Access, mohatisi oa marang-rang, Cisco. switjha, e Axis IP khamera, MacBook, PLC -device esita le bohlale lebone lebone. Ho na le baamoheli ba 13 ka kakaretso. Ka kakaretso, morekisi o khothalletsa ho romela li-sensor tse joalo ka bonyane 10% ea palo ea mabotho a sebele. Sebaka se ka holimo ke sebaka se fumanehang sa aterese.Ntlha ea bohlokoa haholo ke hore moamoheli e mong le e mong ea joalo ha se mochini o felletseng o hlokang lisebelisoa le laesense. Ena ke thetso, mohlala, ts'ebetso e le 'ngoe ho TSA, e nang le litekanyetso le aterese ea IP. Ka hona, ka thuso ea TSA e le 'ngoe, re ka tlatsa marang-rang ka makholo a mabotho a joalo a phantom, a tla sebetsa e le li-sensor tsamaisong ea alamo. Ke theknoloji ena e etsang hore ho khonehe ho lekanya mohopolo oa pitsa ea mahe a linotsi ka mokhoa o atlehileng khoebong efe kapa efe e kholo e ajoang.
Ho ea ka pono ea bahlaseli, baamoheli bana ba khahleha hobane ba na le bofokoli 'me ba bonahala e le liphofu tse batlang li le bonolo. Mohlaseli o bona lits'ebeletso ho batho bana mme a ka sebelisana le bona mme a ba hlasela a sebelisa lisebelisoa le liprothokholo tse tloaelehileng (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, joalo-joalo). Empa ha ho khonehe ho sebelisa mabotho ana ho hlahisa tlhaselo kapa ho tsamaisa khoutu ea hau.
- Motsoako oa mekhoa ena e 'meli ea theknoloji (FullOS le maraba a emulated) e re lumella ho finyella monyetla o phahameng oa lipalo-palo oa hore mohlaseli o tla kopana le karolo e itseng ea marang-rang a rona a lipontšo. Empa re ka etsa bonnete ba hore monyetla ona o haufi le 100%?
Seo ho thoeng ke li-tokens tsa Thetso li kena ntoeng. Ka lebaka la bona, re ka kenyelletsa li-PC tsohle tse teng le li-server tsa khoebo ho li-IDS tsa rona tse phatlalalitsoeng. Li-tokens li behiloe ho li-PC tsa 'nete tsa basebelisi. Ke habohlokoa ho utloisisa hore li-tokens ha li mahlahana a jang lisebelisoa mme li ka baka likhohlano. Li-tokens ke likarolo tsa tlhahisoleseling tse sa sebetseng, mofuta oa "breadcrumbs" bakeng sa lehlakore le hlaselang le le lebisang lerabeng. Mohlala, li-drive tsa marang-rang tse entsoeng ka 'mapa, li-bookmark ho li-admin tsa marang-rang tse seng tsa nnete ho sebatli le li-password tse bolokiloeng bakeng sa tsona, li-session tsa ssh/rdp/winscp, maraba a rona a nang le maikutlo ho lifaele tsa mabotho, li-password tse bolokiloeng mohopolong, lintlha tsa basebelisi ba seng teng, ofisi. lifaele, ho bula ho tla tsosa sistimi, le tse ling tse ngata. Ka hona, re beha mohlaseli sebakeng se sothehileng, se tletseng li-vector tse hlaselang tse sa hlahiseng tšokelo ho rona, empa ho fapana le hoo. ’Me ha a na mokhoa oa ho fumana hore na boitsebiso boo ke ’nete hokae le hore na bo fosahetse hokae. Kahoo, ha re netefatse feela ho lemoha kapele tlhaselo, empa hape re fokotsa haholo tsoelo-pele ea eona.
Mohlala oa ho theha leraba la marang-rang le ho theha li-tokens. Sehokelo sa botsoalle 'me ha ho na ho hlophisoa ka letsoho ha li-configs, scripts, joalo-joalo.
Sebakeng sa rona, re ile ra hlophisa le ho beha li-tokens tse joalo ho FOS01 e sebelisang Windows Server 2012R2 le PC ea teko e sebetsang Windows 7. RDP e sebetsa ka mechine ena 'me nako le nako re "e fanyeha" ho DMZ, moo ho nang le li-sensor tsa rona tse ngata. (emulated maraba) le tsona li hlahisoa. Kahoo re fumana letoto le sa feleng la liketsahalo, ka tlhaho ho bua joalo.
Kahoo, mona ke lipalo-palo tse potlakileng tsa selemo:
56 - liketsahalo tse tlalehiloeng,
2 - mabotho a mohloli oa tlhaselo a fumanoe.
E sebelisanang, 'mapa oa tlhaselo o ka tobehang
Ka nako e ts'oanang, tharollo ha e hlahise mofuta o itseng oa mega-log kapa lijo tsa ketsahalo, tse nkang nako e telele ho utloisisa. Ho e-na le hoo, tharollo ka boeona e arola liketsahalo ka mefuta ea tsona 'me e lumella sehlopha sa ts'ireletso ea tlhahisoleseding hore se tsepamise maikutlo haholo-holo ho tse kotsi ka ho fetisisa - ha mohlaseli a leka ho phahamisa linako tsa taolo (tšebelisano) kapa ha litefiso tsa binary (tšoaetso) li hlaha sephethephetheng sa rona.
Lintlha tsohle tse mabapi le liketsahalo li ka baloa le ho hlahisoa, ka maikutlo a ka, ka mokhoa o bonolo ho utloisisa esita le bakeng sa mosebedisi ea nang le tsebo ea motheo tšimong ea ts'ireletso ea tlhahisoleseding.
Boholo ba liketsahalo tse rekotiloeng ke liteko tsa ho skena baamoheli ba rona kapa likhokahano tsa batho ba le bang.
Kapa ho leka ho senya li-passwords tsa RDP
Empa ho ne ho boetse ho e-na le linyeoe tse ling tse thahasellisang, haholo-holo ha bahlaseli "ba khona" ho hakanya phasewete bakeng sa RDP le ho fumana marang-rang a sebaka seo.
Mohlaseli o leka ho kenya khoutu a sebelisa psexec.
Mohlaseli o ile a fumana seboka se bolokiloeng, se ileng sa mo lebisa lerabeng ka mokhoa oa seva sa Linux. Hang ka mor'a ho hokahanya, ka taelo e le 'ngoe e lokiselitsoeng esale pele, e ile ea leka ho senya lifaele tsohle tsa log le mefuta e lumellanang ea tsamaiso.
Mohlaseli o leka ho etsa ente ea SQL ka pitsa ea mahe a linotsi e etsisang SWIFT Web Access.
Ho phaella litlhaselong tse joalo tsa “tlhaho,” re ile ra boela ra etsa liteko tse ’maloa tsa rōna. E 'ngoe ea tse senolang haholo ke ho lekola nako ea ho lemoha seboko sa marang-rang marang-rang. Ho etsa sena re sebelisitse sesebelisoa se tsoang ho GuardiCore se bitsoang . Ena ke seboko sa marang-rang se ka koetelang Windows le Linux, empa ntle le "payload" efe kapa efe.
Re ile ra kenya setsi sa litaelo sa lehae, ra thakhola mohlala oa pele oa seboko ho o mong oa mechini, mme ra amohela tlhokomeliso ea pele ho khomphutha ea TrapX ka nako e ka tlase ho motsotso le halofo. TTD metsotsoana e 90 khahlano le matsatsi a 106 ka karolelano ...
Ka lebaka la bokhoni ba ho ikopanya le lihlopha tse ling tsa litharollo, re ka tloha ho tloha ho lemoha litšokelo ho isa ho arabela ka bohona.
Mohlala, ho hokahana le litsamaiso tsa NAC (Network Access Control) kapa le CarbonBlack ho tla u lumella ho itokolla ka bohona li-PC tse senyehileng marang-rang.
Ho kopanngoa le li-sandboxes ho lumella lifaele tse amehang tlhaselong hore li romeloe ka bo eona bakeng sa tlhahlobo.
Ho kopanya ha McAfee
Tharollo e boetse e na le mokhoa oa eona oa ho hokahanya liketsahalo.
Empa ha rea ka ra khotsofala ke bokhoni ba eona, kahoo re ile ra e kopanya le HP ArcSight.
Sistimi e hahelletsoeng ka har'a litekete e thusa lefats'e lohle ho sebetsana le litšokelo tse bonoang.
Kaha tharollo e ile ea ntlafatsoa "ho tloha qalong" bakeng sa litlhoko tsa mekhatlo ea 'muso le karolo e kholo ea lik'hamphani, ka tlhaho e sebelisa mokhoa oa ho fihlella o itšetlehileng ka karolo, ho kopanngoa le AD, tsamaiso e tsoetseng pele ea litlaleho le li-triggers (litemoso tsa liketsahalo), orchestration for meaho e meholo ea ho ts'oara kapa bafani ba MSSP.
Ho e-na le ho qala hape
Haeba ho na le mokhoa o joalo oa ho shebella, oo, ka tsela ea tšoantšetso, o koahelang mokokotlo oa rona, joale ka ho sekisetsa ha perimeter ntho e 'ngoe le e' ngoe e qala feela. Ntho ea bohlokoa ka ho fetisisa ke hore ho na le monyetla oa sebele oa ho sebetsana le liketsahalo tsa ts'ireletso ea tlhahisoleseding, le ho se sebetsane le liphello tsa bona.
Source: www.habr.com