(Hatur nuhun ka Sergey G. Brester pikeun gagasan judul )
Rekan-rekan, tujuan tulisan ieu pikeun ngabagi pangalaman operasi uji taun-taun kelas anyar solusi IDS dumasar kana téknologi Penipuan.
Dina raraga ngajaga kohérénsi logis tina presentasi materi, kuring nganggap perlu mimitian ku enggon. Janten, masalahna:
- Serangan anu disasarkeun mangrupikeun jinis serangan anu paling bahaya, sanaos kanyataan yén pangsa maranéhanana dina jumlah ancaman leutik.
- Teu aya cara anu dijamin efektif pikeun ngajagi perimeter (atanapi sakumpulan alat sapertos kitu) anu acan diciptakeun.
- Sakumaha aturan, serangan sasaran lumangsung dina sababaraha tahap. Overcoming perimeter ngan ukur salah sahiji tahap awal, anu (anjeun tiasa maledog batu kuring) henteu nyababkeun seueur karusakan pikeun "korban", kecuali, tangtosna, éta mangrupikeun serangan DEoS (Destruction of service) (encryptors, jsb). .). Nyata "nyeri" dimimitian engké, nalika aset direbut mimiti dipaké pikeun pivoting sarta ngamekarkeun "jero" serangan, sarta kami henteu perhatikeun ieu.
- Kusabab urang mimiti ngalaman karugian nyata nalika panyerang tungtungna ngahontal target serangan (server aplikasi, DBMS, gudang data, repositori, elemen infrastruktur kritis), logis yén salah sahiji tugas jasa kaamanan inpormasi nyaéta ngaganggu serangan sateuacanna. acara sedih ieu. Tapi pikeun ngaganggu hiji hal, anjeun kedah terang heula ngeunaan éta. Jeung sooner, nu hadé.
- Sasuai, pikeun manajemén résiko suksés (nyaéta, ngurangan karuksakan tina serangan sasaran), hal anu kritis pikeun mibanda parabot anu bakal nyadiakeun TTD minimum (waktos ngadeteksi - waktu ti momen intrusion ka momen serangan nu dideteksi). Gumantung kana industri jeung wewengkon, periode ieu rata-rata 99 poé di AS, 106 poé di wewengkon EMEA, 172 poé di wewengkon APAC (M-Trends 2017, A View Ti Garis hareup, Mandiant).
- Naon tawaran pasar?
- "Kotak pasir". kontrol preventif sejen, nu tebih ti idéal. Aya seueur téknik anu épéktip pikeun ngadeteksi sareng ngalangkungan kotak pasir atanapi solusi daptar bodas. The guys ti "sisi poék" masih hiji hambalan payun di dieu.
- UEBA (sistem pikeun profil kabiasaan sareng ngaidentipikasi panyimpangan) - dina tiori, tiasa efektif pisan. Tapi, dina pamanggih kuring, ieu sometime di masa depan jauh. Dina prakna, ieu masih mahal pisan, teu bisa dipercaya jeung merlukeun IT pisan dewasa sarta stabil sarta infrastruktur kaamanan informasi, nu geus boga sagala parabot nu bakal ngahasilkeun data pikeun analisis behavioral.
- SIEM mangrupikeun alat anu saé pikeun panalungtikan, tapi henteu tiasa ningali sareng nunjukkeun anu énggal sareng asli dina waktosna, sabab aturan korelasi sami sareng tanda tangan.
- Hasilna, aya kabutuhan alat anu bakal:
- hasil digawé dina kaayaan perimeter geus compromised,
- ngadeteksi serangan anu suksés dina waktos nyata, henteu paduli alat sareng kerentanan anu dianggo,
- henteu gumantung kana tanda tangan / aturan / naskah / kabijakan / profil sareng hal-hal statik sanés,
- teu merlukeun jumlah badag data jeung sumber maranéhanana pikeun analisis,
- bakal ngidinan serangan dihartikeun teu sabagé jenis resiko-nyetak salaku hasil tina karya "pangalusna di dunya, dipaténkeun sahingga matematik ditutup", nu merlukeun panalungtikan tambahan, tapi praktis salaku acara binér - "Leres, urang keur diserang" atawa "Henteu, sagalana OK",
- éta universal, éfisién scalable sarta meujeuhna pikeun nerapkeun dina sagala lingkungan hétérogén, paduli topologi jaringan fisik jeung logis dipaké.
Nu disebut solusi tipu daya ayeuna vying pikeun peran alat saperti. Hartina, solusi dumasar kana konsép heubeul alus honeypots, tapi kalawan tingkat palaksanaan lengkep beda. Topik ieu pasti naék ayeuna.
Numutkeun kana hasilna Solusi panipuan kalebet dina TOP 3 strategi sareng alat anu disarankeun pikeun dianggo.
Numutkeun laporan Penipuan mangrupikeun salah sahiji arah utama pangembangan solusi IDS Intrusion Detection Systems).
Sakabeh bagian tina dimungkinkeun , dedicated ka SCADA, dumasar kana data ti salah sahiji pamingpin di pasar ieu, TrapX Kaamanan (Israel), leyuran nu geus gawe di wewengkon test urang salila sataun.
TrapX tipu daya Grid ngidinan Anjeun pikeun ongkos na beroperasi massively disebarkeun IDS sentral, tanpa ngaronjatna beban lisénsi jeung sarat pikeun sumberdaya hardware. Nyatana, TrapX mangrupikeun konstruktor anu ngamungkinkeun anjeun nyiptakeun tina unsur-unsur infrastruktur IT anu tos aya hiji mékanisme anu ageung pikeun ngadeteksi serangan dina skala perusahaan, sajenis jaringan anu disebarkeun "alarem".
Struktur Solusi
Di laboratorium kami urang terus-terusan diajar sareng nguji rupa-rupa produk anyar dina widang kaamanan IT. Ayeuna, sakitar 50 server maya anu béda-béda disebarkeun di dieu, kalebet komponén TrapX Deception Grid.
Janten, ti luhur ka handap:
- TSOC (TrapX Security Operation Console) nyaéta otak sistem. Ieu mangrupikeun konsol manajemén pusat dimana konfigurasi, panyebaran solusi sareng sadaya operasi dinten-dinten dilaksanakeun. Kusabab ieu mangrupikeun jasa wéb, éta tiasa disebarkeun dimana waé - dina perimeter, dina méga atanapi di panyadia MSSP.
- TrapX Appliance (TSA) mangrupikeun pangladén virtual anu urang sambungkeun, nganggo port batang, subnet anu urang hoyong tutup sareng ngawaskeun. Ogé, sadaya sensor jaringan urang sabenerna "hirup" di dieu.
Lab kami ngagaduhan hiji TSA anu disebarkeun (mwsapp1), tapi kanyataanana tiasa seueur. Ieu bisa jadi diperlukeun dina jaringan badag dimana euweuh konektipitas L2 antara bagéan (conto has "Ngayakeun jeung subsidiaries" atawa "kantor pusat Bank jeung cabang") atawa lamun jaringan geus terasing bagéan, contona, sistem kontrol prosés otomatis. Dina unggal cabang / bagean sapertos, anjeun tiasa nyebarkeun Tsa anjeun nyalira sareng sambungkeun ka TSOC tunggal, dimana sadaya inpormasi bakal diolah sacara sentral. Arsitéktur ieu ngamungkinkeun anjeun ngawangun sistem ngawaskeun anu disebarkeun tanpa kedah sacara radikal nyusun ulang jaringan atanapi ngaganggu ségméntasi anu tos aya.
Ogé, urang tiasa ngalebetkeun salinan patalimarga kaluar ka TSA via TAP/SPAN. Lamun urang ngadeteksi sambungan kalawan botnets dipikawanoh, paréntah jeung server kontrol, atawa sesi TOR, urang ogé bakal nampa hasil dina konsol nu. Network Intelligence Sensor (NIS) tanggung jawab pikeun ieu. Di lingkungan urang, pungsionalitas ieu dilaksanakeun dina firewall, ku kituna kami henteu nganggo di dieu.
- Perangkap Aplikasi (Full OS) - honeypots tradisional dumasar kana server Windows. Anjeun teu kedah seueur di antarana, sabab tujuan utama server ieu nyaéta nyayogikeun jasa IT ka lapisan sensor salajengna atanapi ngadeteksi serangan dina aplikasi bisnis anu tiasa disebarkeun dina lingkungan Windows. Kami ngagaduhan hiji server sapertos anu dipasang di laboratorium kami (FOS01)
- Sarap anu ditiru mangrupikeun komponén utama solusi, anu ngamungkinkeun urang, ngagunakeun hiji mesin virtual tunggal, nyiptakeun "ladang ranjau" anu padet pisan pikeun panyerang sareng jenuh jaringan perusahaan, sadaya vlan na, kalayan sensor kami. Panyerang ningali sensor sapertos kitu, atanapi host phantom, salaku PC Windows nyata atanapi server, server Linux atanapi alat sanés anu kami mutuskeun pikeun nunjukkeun ka anjeunna.
Pikeun kapentingan bisnis sareng pikeun rasa panasaran, kami nyebarkeun "sapasang unggal mahluk" - Windows PC sareng server tina sababaraha versi, server Linux, ATM sareng Windows dipasang, SWIFT Web Access, printer jaringan, Cisco. saklar, kaméra Axis IP, MacBook a, PLC -alat na malah bohlam lampu pinter. Jumlahna aya 13 host. Sacara umum, padagang nyarankeun nyebarkeun sensor sapertos dina jumlah sahenteuna 10% tina jumlah host nyata. Bar luhur nyaéta rohangan alamat anu sayogi.Hiji titik pohara penting nyaéta yén unggal host sapertos sanes mesin virtual full-fledged anu merlukeun sumberdaya sarta lisensi. Ieu mangrupakeun decoy, emulation, hiji prosés dina TSA, nu boga sakumpulan parameter jeung alamat IP. Ku alatan éta, kalayan bantuan malah hiji TSA, urang tiasa saturate jaringan kalawan ratusan host phantom misalna, nu bakal dianggo salaku sensor dina sistem alarem. Téknologi ieu ngamungkinkeun pikeun skala-éféktif konsép honeypot dina sagala perusahaan anu disebarkeun ageung.
Tina sudut pandang panyerang, host ieu pikaresepeun sabab ngandung kerentanan sareng sigana janten target anu gampang. Panyerang ningali jasa dina host ieu sareng tiasa berinteraksi sareng aranjeunna sareng nyerang aranjeunna nganggo alat sareng protokol standar (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, jsb.). Tapi mustahil ngagunakeun host ieu pikeun ngembangkeun serangan atanapi ngajalankeun kode anjeun nyalira.
- Kombinasi dua téknologi ieu (FullOS sareng sarap anu ditiru) ngamungkinkeun urang pikeun ngahontal kamungkinan statistik anu luhur yén panyerang gancang-gancang bakal mendakan sababaraha unsur jaringan sinyal urang. Tapi kumaha urang bisa mastikeun yén probabiliti ieu deukeut ka 100%?
Nu disebut tokens tipu daya asup perangna. Hatur nuhun ka aranjeunna, urang tiasa ngalebetkeun sadaya PC sareng server perusahaan anu aya dina IDS anu disebarkeun kami. Token disimpen dina PC nyata pangguna. Kadé ngartos yen tokens teu agén nu meakeun sumberdaya sarta bisa ngabalukarkeun konflik. Token mangrupakeun elemen informasi pasip, jenis "breadcrumbs" pikeun sisi narajang nu ngakibatkeun kana bubu a. Salaku conto, drive jaringan anu dipetakeun, téténggér pikeun admin wéb palsu dina browser sareng kecap konci anu disimpen pikeun aranjeunna, sési ssh / rdp / winscp disimpen, perangkap kami sareng koméntar dina file host, kecap akses anu disimpen dina mémori, kapercayaan pangguna anu henteu aya, kantor. file, muka anu bakal memicu sistem, sareng seueur deui. Ku kituna, urang nempatkeun panyerang dina lingkungan menyimpang, jenuh ku véktor serangan nu sabenerna teu anceman ka urang, tapi sabalikna. Sareng anjeunna henteu gaduh jalan pikeun nangtukeun mana inpormasi anu leres sareng dimana éta palsu. Ku kituna, urang teu ngan mastikeun deteksi gancang serangan, tapi ogé nyata ngalambatkeun kamajuan na.
Conto nyieun bubu jaringan sareng nyetél token. Antarbeungeut anu ramah sareng henteu aya éditan manual configs, naskah, jsb.
Di lingkungan urang, urang ngonpigurasi sarta nempatkeun sababaraha tokens misalna dina FOS01 ngajalankeun Windows Server 2012R2 sarta PC test ngajalankeun Windows 7. RDP dijalankeun dina mesin ieu sarta kami périodik "ngagantung" aranjeunna dina DMZ, dimana sajumlah sensor kami. (bubu ditiru) ogé ditampilkeun. Ku kituna urang meunang aliran konstan kajadian, lumrah jadi mun nyarita.
Janten, ieu sababaraha statistik gancang pikeun taun:
56 - kajadian kacatet,
2 - host sumber serangan dideteksi.
Interaktif, peta serangan anu tiasa diklik
Dina waktu nu sarua, leyuran teu ngahasilkeun sababaraha jenis mega-log atawa acara feed, nu nyokot lila ngartos. Sabalikna, solusina sorangan ngagolongkeun kajadian dumasar kana jinisna sareng ngamungkinkeun tim kaamanan inpormasi museurkeun utamina kana anu paling bahaya - nalika panyerang nyobian ningkatkeun sesi kontrol (interaksi) atanapi nalika payloads binér (inféksi) muncul dina lalu lintas urang.
Sadaya inpormasi ngeunaan acara tiasa dibaca sareng dibere, dina pamanggih kuring, dina bentuk anu gampang kahartos bahkan pikeun pangguna anu gaduh pangaweruh dasar dina widang kaamanan inpormasi.
Kaseueuran kajadian anu dirékam mangrupikeun usaha pikeun nyeken host atanapi sambungan tunggal kami.
Atanapi nyobian maksakeun kecap konci pikeun RDP
Tapi aya ogé kasus anu langkung narik, khususna nalika panyerang "junun" nebak sandi pikeun RDP sareng kéngingkeun aksés kana jaringan lokal.
Panyerang nyobian ngaéksekusi kode nganggo psexec.
Panyerang mendakan sési anu disimpen, anu nyababkeun anjeunna kana bubu dina bentuk server Linux. Langsung saatos nyambungkeun, sareng hiji set paréntah anu tos disiapkeun, éta nyobian ngancurkeun sadaya file log sareng variabel sistem anu saluyu.
Penyerang nyobian ngalakukeun suntikan SQL dina honeypot anu niru Aksés Wéb SWIFT.
Salian serangan "alami" sapertos kitu, kami ogé ngalaksanakeun sababaraha tés sorangan. Salah sahiji anu pang terangkeun nyaéta nguji waktos deteksi cacing jaringan dina jaringan. Jang ngalampahkeun ieu kami nganggo alat ti GuardiCore anu disebut . Ieu mangrupikeun cacing jaringan anu tiasa ngabajak Windows sareng Linux, tapi tanpa "payload".
Kami nyebarkeun pusat komando lokal, ngaluncurkeun conto cacing anu munggaran dina salah sahiji mesin, sareng nampi peringatan munggaran dina konsol TrapX kirang ti satengah menit. TTD 90 detik versus 106 dinten rata-rata...
Hatur nuhun kana kamampuan pikeun ngahijikeun sareng kelas solusi anu sanés, urang tiasa ngalih tina ngan ukur gancang ngadeteksi ancaman pikeun ngaréspon sacara otomatis.
Salaku conto, integrasi sareng sistem NAC (Network Access Control) atanapi sareng CarbonBlack bakal ngamungkinkeun anjeun otomatis megatkeun sambungan PC anu dikompromi tina jaringan.
Integrasi sareng kotak pasir ngamungkinkeun file anu kalibet dina serangan sacara otomatis dikintunkeun pikeun dianalisis.
integrasi McAfee
Solusina ogé ngagaduhan sistem korélasi acara anu diwangun.
Tapi kami henteu puas ku kamampuanana, janten kami ngahijikeun sareng HP ArcSight.
Sistem tikét anu diwangun ngabantosan sakumna dunya pikeun ngatasi ancaman anu dideteksi.
Kusabab solusi ieu dikembangkeun "ti mimiti" pikeun kaperluan instansi pamaréntah sarta bagean perusahaan badag, éta alami implements model aksés basis peran, integrasi jeung AD, sistem dimekarkeun tina laporan jeung pemicu (gelar acara), orchestration pikeun struktur nyekel badag atawa panyadia MSSP.
Gantina neruskeun a
Upami aya sistem ngawaskeun sapertos kitu, anu, sacara kiasan, nyertakeun tonggong urang, teras kalayan kompromi perimeter sadayana ngan ukur dimimitian. Hal pangpentingna nyaéta yén aya kasempetan nyata pikeun nungkulan insiden kaamanan informasi, sarta teu nungkulan konsékuansi maranéhanana.
sumber: www.habr.com