(shukrani kwa Sergey G. Brester kwa wazo la kichwa )
Wenzangu, madhumuni ya makala haya ni kushiriki uzoefu wa uendeshaji wa majaribio wa mwaka mzima wa aina mpya ya ufumbuzi wa IDS kulingana na teknolojia ya Udanganyifu.
Ili kudumisha mshikamano wa kimantiki wa uwasilishaji wa nyenzo, ninaona kuwa ni muhimu kuanza na majengo. Kwa hivyo, shida:
- Mashambulizi yaliyolengwa ni aina hatari zaidi ya shambulio, licha ya ukweli kwamba sehemu yao katika jumla ya vitisho ni ndogo.
- Hakuna njia madhubuti zilizohakikishwa za kulinda eneo (au seti ya njia kama hizo) bado imevumbuliwa.
- Kama sheria, mashambulizi yaliyolengwa hufanyika katika hatua kadhaa. Kushinda mzunguko ni moja tu ya hatua za awali, ambazo (unaweza kunipiga mawe) hazisababishi uharibifu mkubwa kwa "mwathirika", isipokuwa, bila shaka, ni mashambulizi ya DEoS (Uharibifu wa huduma) (encryptors, nk). .). "Maumivu" halisi huanza baadaye, wakati mali iliyokamatwa inapoanza kutumika kwa kuzunguka na kuendeleza shambulio la "kina", na hatukugundua hili.
- Kwa kuwa tunaanza kupata hasara halisi wakati washambuliaji hatimaye wanafikia malengo ya shambulio hilo (seva za maombi, DBMS, ghala za data, hazina, vipengele muhimu vya miundombinu), ni sawa kwamba moja ya kazi za huduma ya usalama wa habari ni kukatiza mashambulizi kabla. tukio hili la kusikitisha. Lakini ili kukatiza kitu, lazima kwanza ujue juu yake. Na mapema, bora.
- Ipasavyo, kwa usimamizi wa hatari uliofanikiwa (ambayo ni, kupunguza uharibifu kutoka kwa mashambulio yaliyolengwa), ni muhimu kuwa na zana ambazo zitatoa kiwango cha chini cha TTD (muda wa kugundua - wakati kutoka wakati wa kuingilia hadi wakati shambulio linagunduliwa). Kulingana na tasnia na eneo, kipindi hiki ni wastani wa siku 99 nchini Marekani, siku 106 katika eneo la EMEA, siku 172 katika eneo la APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
- Je, soko linatoa nini?
- "Sanduku za mchanga". Udhibiti mwingine wa kuzuia, ambao ni mbali na bora. Kuna mbinu nyingi madhubuti za kugundua na kupitisha visanduku vya mchanga au suluhu za kuorodhesha. Vijana kutoka "upande wa giza" bado wako hatua moja mbele hapa.
- UEBA (mifumo ya tabia ya kuorodhesha na kutambua upotovu) - kwa nadharia, inaweza kuwa na ufanisi sana. Lakini, kwa maoni yangu, hii ni wakati fulani katika siku zijazo za mbali. Kwa mazoezi, hii bado ni ghali sana, haiaminiki na inahitaji IT iliyokomaa na imara na miundombinu ya usalama wa habari, ambayo tayari ina zana zote ambazo zitazalisha data kwa uchambuzi wa tabia.
- SIEM ni zana nzuri ya uchunguzi, lakini haiwezi kuona na kuonyesha kitu kipya na asili kwa wakati ufaao, kwa sababu sheria za uunganisho ni sawa na saini.
- Kama matokeo, kuna haja ya zana ambayo inaweza:
- ilifanya kazi kwa mafanikio katika hali ya eneo ambalo tayari limeathiriwa,
- kugundua mashambulio yaliyofaulu katika muda halisi, bila kujali zana na udhaifu unaotumiwa,
- haikutegemea saini/kanuni/hati/sera/wasifu na mambo mengine tuli,
- haikuhitaji idadi kubwa ya data na vyanzo vyake kwa uchambuzi,
- ingeruhusu mashambulio kufafanuliwa sio kama aina fulani ya alama za hatari kama matokeo ya kazi ya "hesabu bora zaidi ulimwenguni, iliyo na hati miliki na kwa hivyo iliyofungwa", ambayo inahitaji uchunguzi wa ziada, lakini kivitendo kama tukio la binary - "Ndio, tunashambuliwaβ au βHapana, kila kitu kiko sawaβ,
- ilikuwa ya ulimwengu wote, inayoweza kupanuka na kuwezekana kutekelezwa katika mazingira yoyote tofauti, bila kujali topolojia ya mtandao ya kimantiki iliyotumika.
Kinachojulikana kama suluhisho za udanganyifu sasa zinagombea jukumu la chombo kama hicho. Hiyo ni, ufumbuzi kulingana na dhana nzuri ya zamani ya asali, lakini kwa kiwango tofauti kabisa cha utekelezaji. Mada hii kwa hakika inaongezeka sasa.
Kulingana na matokeo Masuluhisho ya udanganyifu yanajumuishwa katika mikakati na zana 3 BORA ambazo zinapendekezwa kutumika.
Kulingana na ripoti hiyo Udanganyifu ni mojawapo ya mielekeo kuu ya uundaji wa suluhu za Mifumo ya Ugunduzi wa IDS).
Sehemu nzima ya mwisho , kujitolea kwa SCADA, inategemea data kutoka kwa mmoja wa viongozi katika soko hili, TrapX Usalama (Israeli), suluhisho ambalo limekuwa likifanya kazi katika eneo letu la mtihani kwa mwaka.
Gridi ya Udanganyifu ya TrapX hukuruhusu kugharimu na kuendesha IDS zilizosambazwa kwa kiasi kikubwa serikali kuu, bila kuongeza mzigo wa leseni na mahitaji ya rasilimali za maunzi. Kwa kweli, TrapX ni mjenzi anayekuruhusu kuunda kutoka kwa vipengee vya miundombinu iliyopo ya IT utaratibu mmoja mkubwa wa kugundua mashambulio kwa kiwango cha biashara nzima, aina ya "kengele" ya mtandao unaosambazwa.
Muundo wa Suluhisho
Katika maabara yetu sisi daima kujifunza na kupima bidhaa mbalimbali mpya katika uwanja wa usalama wa IT. Hivi sasa, takriban seva 50 tofauti pepe zimetumwa hapa, ikijumuisha vijenzi vya Gridi ya Udanganyifu ya TrapX.
Kwa hivyo, kutoka juu hadi chini:
- TSOC (TrapX Security Operation Console) ni ubongo wa mfumo. Hii ni koni kuu ya usimamizi ambayo usanidi, uwekaji wa suluhisho na shughuli zote za kila siku hufanywa. Kwa kuwa hii ni huduma ya wavuti, inaweza kutumwa mahali popote - kwenye mzunguko, kwenye wingu au kwa mtoaji wa MSSP.
- TrapX Appliance (TSA) ni seva pepe ambayo tunaunganisha, kwa kutumia lango kuu, nyavu hizo ndogo ambazo tunataka kufunika kwa ufuatiliaji. Pia, vitambuzi vyetu vyote vya mtandao "vinaishi" hapa.
Maabara yetu ina TSA moja iliyotumwa (mwsapp1), lakini kwa kweli kunaweza kuwa nyingi. Hii inaweza kuwa muhimu katika mitandao mikubwa ambapo hakuna muunganisho wa L2 kati ya sehemu (mfano wa kawaida ni "Kushikilia na kampuni tanzu" au "Afisi kuu ya benki na matawi") au ikiwa mtandao una sehemu zilizotengwa, kwa mfano, mifumo ya kudhibiti mchakato otomatiki. Katika kila tawi/sehemu kama hiyo, unaweza kupeleka TSA yako mwenyewe na kuiunganisha kwa TSOC moja, ambapo taarifa zote zitachakatwa katikati. Usanifu huu hukuruhusu kuunda mifumo ya ufuatiliaji iliyosambazwa bila hitaji la kuunda upya mtandao kwa kiasi kikubwa au kuharibu sehemu zilizopo.
Pia, tunaweza kuwasilisha nakala ya trafiki inayotoka kwa TSA kupitia TAP/SPAN. Tukigundua miunganisho na roboti zinazojulikana, seva za amri na udhibiti, au vipindi vya TOR, tutapokea pia matokeo kwenye kiweko. Sensor ya Ujasusi ya Mtandao (NIS) inawajibika kwa hili. Katika mazingira yetu, utendaji huu unatekelezwa kwenye firewall, kwa hivyo hatukutumia hapa.
- Mitego ya Maombi (Uendeshaji Kamili) - asali za jadi kulingana na seva za Windows. Huhitaji nyingi kati ya hizo, kwa kuwa lengo kuu la seva hizi ni kutoa huduma za IT kwa safu inayofuata ya vitambuzi au kugundua mashambulizi kwenye programu za biashara ambazo zinaweza kutumwa katika mazingira ya Windows. Tuna seva moja kama hiyo iliyosanikishwa kwenye maabara yetu (FOS01)
- Mitego iliyoigwa ndio sehemu kuu ya suluhisho, ambayo huturuhusu, kwa kutumia mashine moja ya mtandaoni, kuunda "uwanja wa migodi" mnene sana kwa washambuliaji na kueneza mtandao wa biashara, vlans zake zote, na sensorer zetu. Mshambulizi huona kitambuzi kama hicho, au seva pangishi ya phantom, kama Windows PC au seva halisi, seva ya Linux au kifaa kingine ambacho tunaamua kumwonyesha.
Kwa manufaa ya biashara na kwa ajili ya udadisi, tulipeleka "jozi ya kila kiumbe" - Kompyuta za Windows na seva za matoleo mbalimbali, seva za Linux, ATM iliyopachikwa Windows, Ufikiaji wa Wavuti wa SWIFT, printa ya mtandao, Cisco. swichi, kamera ya Axis IP, MacBook, PLC -device na hata balbu mahiri. Kuna wenyeji 13 kwa jumla. Kwa ujumla, muuzaji anapendekeza kupeleka sensorer vile kwa kiasi cha angalau 10% ya idadi ya majeshi halisi. Upau wa juu ni nafasi ya anwani inayopatikana.Jambo muhimu sana ni kwamba kila mpangishaji kama huyo sio mashine kamili ya mtandaoni inayohitaji rasilimali na leseni. Huu ni udanganyifu, uigaji, mchakato mmoja kwenye TSA, ambayo ina seti ya vigezo na anwani ya IP. Kwa hivyo, kwa msaada wa TSA hata moja, tunaweza kujaza mtandao na mamia ya majeshi ya phantom kama haya, ambayo yatafanya kazi kama sensorer kwenye mfumo wa kengele. Ni teknolojia hii inayowezesha kuongeza kwa gharama nafuu dhana ya chungu cha asali katika biashara yoyote kubwa inayosambazwa.
Kwa mtazamo wa mshambulizi, wapangishi hawa wanavutia kwa sababu wana udhaifu na wanaonekana kuwa walengwa kwa urahisi. Mshambulizi huona huduma kwenye wapangishi hawa na anaweza kuingiliana nao na kuwashambulia kwa kutumia zana na itifaki za kawaida (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, n.k.). Lakini haiwezekani kutumia wapangishi hawa kuunda shambulio au kuendesha nambari yako mwenyewe.
- Mchanganyiko wa teknolojia hizi mbili (FullOS na mitego iliyoigwa) huturuhusu kufikia uwezekano mkubwa wa kitakwimu kwamba mshambulizi atakumbana na baadhi ya kipengele cha mtandao wetu wa kuashiria mapema au baadaye. Lakini tunawezaje kuhakikisha kuwa uwezekano huu unakaribia 100%?
Ishara zinazoitwa za Udanganyifu huingia kwenye vita. Shukrani kwao, tunaweza kujumuisha Kompyuta na seva zote zilizopo za biashara katika Vitambulisho vyetu vilivyosambazwa. Tokeni huwekwa kwenye Kompyuta halisi za watumiaji. Ni muhimu kuelewa kwamba ishara sio mawakala wanaotumia rasilimali na wanaweza kusababisha migogoro. Ishara ni vipengele vya habari vya passiv, aina ya "breadcrumbs" kwa upande wa kushambulia unaoongoza kwenye mtego. Kwa mfano, viendeshi vya mtandao vilivyowekwa kwenye ramani, alamisho kwa wasimamizi bandia wa wavuti kwenye kivinjari na kuhifadhi manenosiri kwao, vipindi vya ssh/rdp/winscp vilivyohifadhiwa, mitego yetu na maoni katika faili za wapangishaji, manenosiri yaliyohifadhiwa kwenye kumbukumbu, hati tambulishi za watumiaji ambao hawapo, ofisini. faili, kufungua ambayo itasababisha mfumo, na mengi zaidi. Kwa hivyo, tunamweka mshambulizi katika mazingira yaliyopotoka, yaliyojaa vekta za kushambulia ambazo hazitoi tishio kwetu, lakini kinyume chake. Na hana njia ya kuamua habari hiyo ni ya kweli na wapi ni ya uwongo. Kwa hivyo, hatuhakikishi tu ugunduzi wa haraka wa shambulio, lakini pia tunapunguza kasi ya maendeleo yake.
Mfano wa kuunda mtego wa mtandao na kuweka ishara. Kiolesura cha kirafiki na hakuna uhariri wa mwongozo wa usanidi, hati n.k.
Katika mazingira yetu, tulisanidi na kuweka idadi ya ishara kama hizo kwenye FOS01 inayoendesha Windows Server 2012R2 na Kompyuta ya majaribio inayoendesha Windows 7. RDP inafanya kazi kwenye mashine hizi na mara kwa mara tunazi "nyonga" kwenye DMZ, ambapo idadi ya vitambuzi vyetu. (mitego iliyoigwa) pia huonyeshwa. Kwa hivyo tunapata mkondo wa mara kwa mara wa matukio, kwa kawaida hivyo kusema.
Kwa hivyo, hapa kuna takwimu za haraka za mwaka:
56 - matukio yaliyorekodiwa,
2 - majeshi ya chanzo cha mashambulizi yamegunduliwa.
Maingiliano, ramani ya mashambulizi inayoweza kubofya
Wakati huo huo, suluhisho haitoi aina fulani ya mega-logi au kulisha tukio, ambayo inachukua muda mrefu kuelewa. Badala yake, suluhisho lenyewe huainisha matukio kulingana na aina zake na huruhusu timu ya usalama ya taarifa kuzingatia hasa zile hatari zaidi - wakati mshambuliaji anapojaribu kuongeza vipindi vya udhibiti (mwingiliano) au wakati mizigo ya binary (maambukizi) yanapoonekana kwenye trafiki yetu.
Taarifa zote kuhusu matukio zinasomeka na zinawasilishwa, kwa maoni yangu, kwa njia rahisi kuelewa hata kwa mtumiaji aliye na ujuzi wa msingi katika uwanja wa usalama wa habari.
Matukio mengi yaliyorekodiwa ni majaribio ya kuchanganua waandaji wetu au miunganisho ya mtu mmoja.
Au hujaribu kulazimisha manenosiri kwa ukatili kwa RDP
Lakini pia kulikuwa na matukio ya kuvutia zaidi, hasa wakati washambuliaji "waliweza" kukisia nenosiri la RDP na kupata upatikanaji wa mtandao wa ndani.
Mshambulizi anajaribu kutekeleza msimbo kwa kutumia psexec.
Mshambulizi alipata kipindi kilichohifadhiwa, ambacho kilimpeleka kwenye mtego kwa namna ya seva ya Linux. Mara tu baada ya kuunganishwa, na seti moja ya amri iliyopangwa tayari, ilijaribu kuharibu faili zote za logi na vigezo vinavyolingana vya mfumo.
Mshambulizi anajaribu kutekeleza sindano ya SQL kwenye chungu cha asali kinachoiga Ufikiaji wa Wavuti wa SWIFT.
Mbali na mashambulizi hayo ya "asili", pia tulifanya idadi ya majaribio yetu wenyewe. Mojawapo ya kufichua zaidi ni kujaribu wakati wa kugundua wadudu kwenye mtandao. Ili kufanya hivyo tulitumia zana kutoka kwa GuardiCore inayoitwa . Huu ni mdudu wa mtandao ambao unaweza kuteka nyara Windows na Linux, lakini bila "mzigo" wowote.
Tulisambaza kituo cha amri cha ndani, tukazindua tukio la kwanza la minyoo kwenye moja ya mashine, na tukapokea arifa ya kwanza kwenye kiweko cha TrapX chini ya dakika moja na nusu. TTD sekunde 90 dhidi ya siku 106 kwa wastani...
Shukrani kwa uwezo wa kujumuika na aina zingine za suluhu, tunaweza kutoka kwa kugundua vitisho kwa haraka hadi kujibu kiotomatiki.
Kwa mfano, kuunganishwa na mifumo ya NAC (Network Access Control) au CarbonBlack itakuruhusu kutenganisha kiotomatiki Kompyuta zilizoathiriwa kutoka kwa mtandao.
Ujumuishaji na sanduku za mchanga huruhusu faili zinazohusika katika shambulio kuwasilishwa kiotomatiki kwa uchambuzi.
Ushirikiano wa McAfee
Suluhisho pia lina mfumo wake wa uunganisho wa tukio uliojengwa ndani.
Lakini hatukuridhika na uwezo wake, kwa hivyo tuliiunganisha na HP ArcSight.
Mfumo wa tiketi uliojengewa ndani husaidia ulimwengu mzima kukabiliana na vitisho vilivyogunduliwa.
Kwa kuwa suluhisho lilitengenezwa "tangu mwanzo" kwa mahitaji ya mashirika ya serikali na sehemu kubwa ya ushirika, kwa kawaida hutumia mfano wa ufikiaji wa msingi, ushirikiano na AD, mfumo uliotengenezwa wa ripoti na vichochezi (tahadhari za tukio), utayarishaji wa miundo mikubwa ya kushikilia au watoa huduma wa MSSP.
Badala ya kuanza tena
Ikiwa kuna mfumo huo wa ufuatiliaji, ambao, kwa kusema kwa mfano, hufunika nyuma yetu, basi kwa maelewano ya mzunguko kila kitu kinaanza tu. Jambo muhimu zaidi ni kwamba kuna fursa halisi ya kukabiliana na matukio ya usalama wa habari, na si kukabiliana na matokeo yao.
Chanzo: mapenzi.com