Hål som säkerhetsverktyg – 2, eller hur man fångar APT "med levande bete"

(tack till Sergey G. Brester för titelidén sebres)

Kolleger, syftet med den här artikeln är att dela erfarenheten av en årslång testdrift av en ny klass av IDS-lösningar baserade på Deception-teknologier.

För att upprätthålla den logiska sammanhållningen i presentationen av materialet anser jag att det är nödvändigt att börja med premisserna. Så, problemet:

1. Riktade attacker är den farligaste typen av attacker, trots att deras andel av det totala antalet hot är liten.
2. Inget garanterat effektivt sätt att skydda omkretsen (eller en uppsättning sådana) har ännu uppfunnits.
3. Som regel sker riktade attacker i flera steg. Att övervinna omkretsen är bara ett av de inledande stadierna, vilket (du kan kasta sten på mig) inte orsakar mycket skada på "offret", såvida det naturligtvis inte är en DEoS (Destruction of Service) attack (krypteringar, etc.) .). Den verkliga "smärtan" börjar senare, när de fångade tillgångarna börjar användas för att svänga och utveckla en "djupgående" attack, och vi märkte inte detta.
4. Eftersom vi börjar lida rejäla förluster när angripare äntligen når målen för attacken (applikationsservrar, DBMS, datalager, repositories, kritiska infrastrukturelement) är det logiskt att en av uppgifterna för informationssäkerhetstjänsten är att avbryta attacker innan denna sorgliga händelse. Men för att avbryta något måste du först ta reda på det. Och ju förr, desto bättre.
5. Följaktligen, för framgångsrik riskhantering (det vill säga att minska skador från riktade attacker), är det avgörande att ha verktyg som ger ett minimum av TTD (tid att upptäcka - tiden från ögonblicket för intrång till det ögonblick då attacken detekteras). Beroende på bransch och region är denna period i genomsnitt 99 dagar i USA, 106 dagar i EMEA-regionen, 172 dagar i APAC-regionen (M-Trends 2017, A View From the Front Lines, Mandiant).
6. Vad erbjuder marknaden?
   • "Sandlådor". Ytterligare en förebyggande kontroll, som är långt ifrån idealisk. Det finns många effektiva tekniker för att upptäcka och kringgå sandlådor eller vitlistningslösningar. Killarna från den "mörka sidan" ligger fortfarande steget före här.
   • UEBA (system för att profilera beteende och identifiera avvikelser) - i teorin kan vara mycket effektiva. Men enligt mig ligger det här någon gång i en avlägsen framtid. I praktiken är detta fortfarande väldigt dyrt, opålitligt och kräver en mycket mogen och stabil IT- och informationssäkerhetsinfrastruktur, som redan har alla verktyg som ska generera data för beteendeanalys.
   • SIEM är ett bra verktyg för undersökningar, men det kan inte se och visa något nytt och originellt i tid, eftersom korrelationsreglerna är desamma som signaturer.

7. Som ett resultat finns det ett behov av ett verktyg som skulle:
   • framgångsrikt arbetat under förhållanden med en redan komprometterad omkrets,
   • upptäckt framgångsrika attacker i nästan realtid, oavsett vilka verktyg och sårbarheter som används,
   • var inte beroende av signaturer/regler/manus/policyer/profiler och andra statiska saker,
   • inte krävde stora mängder data och deras källor för analys,
   • skulle tillåta att attacker inte definieras som någon form av riskbetyg som ett resultat av arbetet med "de bästa i världen, patenterad och därför sluten matematik", vilket kräver ytterligare undersökning, utan praktiskt taget som en binär händelse - "Ja, vi blir attackerade" eller "Nej, allt är OK",
   • var universell, effektivt skalbar och genomförbar att implementera i vilken heterogen miljö som helst, oavsett vilken fysisk och logisk nätverkstopologi som användes.

Så kallade bedrägerilösningar tävlar nu om rollen som ett sådant verktyg. Det vill säga lösningar baserade på det gamla goda konceptet honeypots, men med en helt annan implementeringsnivå. Det här ämnet är definitivt på uppgång nu.

Enligt resultaten Gartner Security&Risc Management Summit 2017 Bedrägerilösningar ingår i TOP 3 strategier och verktyg som rekommenderas att användas.

Enligt rapporten TAG Cybersecurity Annual 2017 Deception är en av huvudriktningarna för utvecklingen av IDS Intrusion Detection Systems) lösningar.

Ett helt avsnitt av det senare Cisco State of IT Security Report, tillägnad SCADA, är baserad på data från en av ledarna på denna marknad, TrapX Security (Israel), vars lösning har fungerat i vårt testområde i ett år.

TrapX Deception Grid låter dig kosta och driva massivt distribuerade IDS centralt, utan att öka licensbelastningen och kraven på hårdvaruresurser. Faktum är att TrapX är en konstruktör som låter dig skapa från delar av den befintliga IT-infrastrukturen en stor mekanism för att upptäcka attacker i företagsomfattande skala, ett slags distribuerat nätverks-"larm".

Lösningsstruktur

I vårt laboratorium studerar och testar vi ständigt olika nya produkter inom IT-säkerhetsområdet. För närvarande är cirka 50 olika virtuella servrar utplacerade här, inklusive TrapX Deception Grid-komponenter.

Så, uppifrån och ner:

1. TSOC (TrapX Security Operation Console) är hjärnan i systemet. Detta är den centrala hanteringskonsolen genom vilken konfiguration, driftsättning av lösningen och all daglig verksamhet utförs. Eftersom det här är en webbtjänst kan den distribueras var som helst - på omkretsen, i molnet eller hos en MSSP-leverantör.
2. TrapX Appliance (TSA) är en virtuell server till vilken vi ansluter, med hjälp av trunkporten, de undernät som vi vill täcka med övervakning. Alla våra nätverkssensorer "bor" faktiskt här.

   Vårt labb har en TSA utplacerad (mwsapp1), men i verkligheten kan det finnas många. Detta kan vara nödvändigt i stora nätverk där det inte finns någon L2-anslutning mellan segment (ett typiskt exempel är "Holding och dotterbolag" eller "Bankens huvudkontor och filialer") eller om nätverket har isolerade segment, till exempel automatiserade processkontrollsystem. I varje sådan gren/segment kan du distribuera din egen TSA och koppla den till en enda TSOC, där all information kommer att behandlas centralt. Denna arkitektur låter dig bygga distribuerade övervakningssystem utan att behöva radikalt omstrukturera nätverket eller störa befintlig segmentering.

   Vi kan också skicka in en kopia av utgående trafik till TSA via TAP/SPAN. Om vi ​​upptäcker anslutningar med kända botnät, kommando- och kontrollservrar eller TOR-sessioner kommer vi också att få resultatet i konsolen. Network Intelligence Sensor (NIS) ansvarar för detta. I vår miljö är denna funktionalitet implementerad på brandväggen, så vi använde den inte här.

3. Application Traps (Full OS) – traditionella honeypots baserade på Windows-servrar. Du behöver inte många av dem, eftersom huvudsyftet med dessa servrar är att tillhandahålla IT-tjänster till nästa lager av sensorer eller upptäcka attacker på affärsapplikationer som kan distribueras i en Windows-miljö. Vi har en sådan server installerad i vårt laboratorium (FOS01)

   

4. Emulerade fällor är huvudkomponenten i lösningen, som gör att vi, med en enda virtuell maskin, kan skapa ett mycket tätt "minfält" för angripare och mätta företagsnätverket, alla dess vlans, med våra sensorer. Angriparen ser en sådan sensor, eller fantomvärd, som en riktig Windows-dator eller -server, Linux-server eller annan enhet som vi bestämmer oss för att visa honom.

   
   
   För verksamhetens bästa och för nyfikenhetens skull distribuerade vi "ett par av varje varelse" - Windows-datorer och servrar i olika versioner, Linux-servrar, en bankomat med Windows inbäddad, SWIFT Web Access, en nätverksskrivare, en Cisco switch, en Axis IP-kamera, en MacBook, PLC-enhet och till och med en smart glödlampa. Det finns totalt 13 värdar. Generellt rekommenderar leverantören att sådana sensorer används i en mängd på minst 10 % av antalet verkliga värdar. Det översta fältet är det tillgängliga adressutrymmet.

   En mycket viktig punkt är att varje sådan värd inte är en fullfjädrad virtuell maskin som kräver resurser och licenser. Detta är en lockbete, emulering, en process på TSA, som har en uppsättning parametrar och en IP-adress. Därför kan vi, med hjälp av ens en TSA, mätta nätverket med hundratals sådana fantomvärdar, som kommer att fungera som sensorer i larmsystemet. Det är denna teknik som gör det möjligt att kostnadseffektivt skala honungskrukan-konceptet över alla stora distribuerade företag.

   Ur en angripares synvinkel är dessa värdar attraktiva eftersom de innehåller sårbarheter och verkar vara relativt enkla mål. Angriparen ser tjänster på dessa värdar och kan interagera med dem och attackera dem med hjälp av standardverktyg och protokoll (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, etc.). Men det är omöjligt att använda dessa värdar för att utveckla en attack eller köra din egen kod.

5. Kombinationen av dessa två teknologier (FullOS och emulerade fällor) gör att vi kan uppnå en hög statistisk sannolikhet för att en angripare förr eller senare kommer att stöta på någon del av vårt signalnätverk. Men hur kan vi säkerställa att denna sannolikhet är nära 100%?

   De så kallade Deception-tokensen går in i striden. Tack vare dem kan vi inkludera alla befintliga datorer och servrar i företaget i vår distribuerade IDS. Tokens placeras på användarnas riktiga datorer. Det är viktigt att förstå att tokens inte är agenter som förbrukar resurser och kan orsaka konflikter. Tokens är passiva informationselement, ett slags "brödsmulor" för den anfallande sidan som leder den in i en fälla. Till exempel mappade nätverksenheter, bokmärken till falska webbadministratörer i webbläsaren och sparade lösenord för dem, sparade ssh/rdp/winscp-sessioner, våra fällor med kommentarer i värdfiler, lösenord sparade i minnet, referenser för icke-existerande användare, office filer, öppning som kommer att utlösa systemet och mycket mer. Således placerar vi angriparen i en förvrängd miljö, mättad med attackvektorer som faktiskt inte utgör ett hot mot oss, utan snarare tvärtom. Och han har inget sätt att avgöra var informationen är sann och var den är falsk. Således säkerställer vi inte bara snabb upptäckt av en attack, utan bromsar också avsevärt dess framsteg.

Ett exempel på att skapa en nätverksfälla och sätta upp tokens. Vänligt gränssnitt och ingen manuell redigering av konfigurationer, skript, etc.

I vår miljö har vi konfigurerat och placerat ett antal sådana tokens på FOS01 som kör Windows Server 2012R2 och en testdator som kör Windows 7. RDP körs på dessa maskiner och vi "hänger" dem med jämna mellanrum i DMZ, där ett antal av våra sensorer (emulerade fällor) visas också. Så vi får en ständig ström av incidenter, naturligt så att säga.

Så här är lite snabb statistik för året:

56 208 – incidenter registrerade,
2 912 – värdar för attackkälla upptäcktes.

Interaktiv, klickbar attackkarta

Samtidigt genererar lösningen inte någon form av megalogg eller händelseflöde, vilket tar lång tid att förstå. Istället klassificerar lösningen själv händelser efter deras typ och låter informationssäkerhetsteamet fokusera främst på de farligaste – när angriparen försöker höja kontrollsessioner (interaktion) eller när binära nyttolaster (infektion) dyker upp i vår trafik.

All information om händelser är läsbar och presenteras enligt mig i en lättförståelig form även för en användare med grundläggande kunskaper inom informationssäkerhetsområdet.

De flesta av de registrerade incidenterna är försök att skanna våra värdar eller enstaka anslutningar.

Eller försök att brutalt tvinga lösenord för RDP

Men det fanns också mer intressanta fall, särskilt när angripare "lyckades" gissa lösenordet för RDP och få tillgång till det lokala nätverket.

En angripare försöker köra kod med psexec.

Angriparen hittade en sparad session, som ledde honom in i en fälla i form av en Linux-server. Omedelbart efter anslutning, med en förberedd uppsättning kommandon, försökte den förstöra alla loggfiler och motsvarande systemvariabler.

En angripare försöker utföra SQL-injektion på en honeypot som imiterar SWIFT Web Access.

Förutom sådana "naturliga" attacker genomförde vi även ett antal egna tester. En av de mest avslöjande är att testa upptäcktstiden för en nätverksmask i ett nätverk. För att göra detta använde vi ett verktyg från GuardiCore som heter Infektion Monkey. Detta är en nätverksmask som kan kapa Windows och Linux, men utan någon "nyttolast".
Vi distribuerade en lokal kommandocentral, lanserade den första instansen av masken på en av maskinerna och fick den första varningen i TrapX-konsolen på mindre än en och en halv minut. TTD 90 sekunder mot 106 dagar i genomsnitt...

Tack vare möjligheten att integrera med andra klasser av lösningar kan vi gå från att bara snabbt upptäcka hot till att automatiskt svara på dem.

Integrering med NAC-system (Network Access Control) eller med CarbonBlack gör till exempel att du automatiskt kan koppla bort komprometterade datorer från nätverket.

Integration med sandlådor gör att filer som är involverade i en attack automatiskt skickas in för analys.

McAfee integration

Lösningen har också ett eget inbyggt händelsekorrelationssystem.

Men vi var inte nöjda med dess kapacitet, så vi integrerade den med HP ArcSight.

Det inbyggda biljettsystemet hjälper hela världen att hantera upptäckta hot.

Eftersom lösningen utvecklades ”från start” för behoven hos statliga myndigheter och ett stort företagssegment, implementerar den naturligtvis en rollbaserad åtkomstmodell, integration med AD, ett utvecklat system med rapporter och triggers (event alerts), orkestrering för stora innehavsstrukturer eller MSSP-leverantörer.

I stället för ett CV

Om det finns ett sådant övervakningssystem, som bildligt talat täcker vår rygg, så har allt bara börjat med omkretsens kompromiss. Det viktigaste är att det finns en reell möjlighet att hantera informationssäkerhetsincidenter, och inte att hantera deras konsekvenser.

Källa: will.com