Сӯрох ҳамчун воситаи бехатарӣ - 2, ё чӣ гуна APT-ро "бо доми зинда" гирифтан мумкин аст

(ташаккур ба Сергей Г. Брестер барои идеяи унвон себр)

Ҳамкасбон, ҳадафи ин мақола мубодилаи таҷрибаи амалиёти санҷишии яксолаи синфи нави қарорҳои IDS дар асоси технологияҳои фиреб аст.

Барои нигоҳ доштани мувофиқати мантиқии пешниҳоди мавод, ман зарур мешуморам, ки аз бино оғоз кунем. Пас, мушкилот:

1. Ҳамлаҳои мақсаднок, новобаста аз он, ки ҳиссаи онҳо дар шумораи умумии таҳдидҳо ночиз аст, хатарноктарин намуди ҳамла мебошанд.
2. Ягон воситаи кафолатноки самараноки хифзи периметр (ё мачмуи чунин воситахо) хануз ихтироъ карда нашудааст.
3. Чун қоида, ҳамлаҳои мақсаднок дар якчанд марҳила сурат мегиранд. Бартараф кардани периметр танҳо яке аз марҳилаҳои аввалия аст, ки (шумо метавонед ба сӯи ман санг партоед) ба “ҷабрдида” зарари зиёд намерасонад, агар ин, албатта, ҳамлаи DEoS (нобудкунии хидмат) (рамзгузорон ва ғ.) набошад. .). "Дарди" воқеӣ дертар оғоз мешавад, вақте ки дороиҳои забтшуда барои гардиш ва таҳияи ҳамлаи "амиқ" истифода мешаванд ва мо инро пайхас намекардем.
4. Азбаски мо ба талафоти воқеӣ шурӯъ мекунем, вақте ки ҳамлагарон ниҳоят ба ҳадафҳои ҳамла (серверҳои барномаҳо, DBMS, анборҳои додаҳо, анборҳо, унсурҳои муҳими инфрасохтор) мерасанд), мантиқист, ки яке аз вазифаҳои хадамоти амнияти иттилоотӣ қатъ кардани ҳамлаҳо пеш аз он аст. ин вокеаи аламовар. Аммо барои халалдор кардани чизе, шумо бояд аввал дар бораи он маълумот пайдо кунед. Ва ҳар қадар зудтар, ҳамон қадар беҳтар аст.
5. Мутаносибан, барои идоракунии бомуваффақияти хавф (яъне кам кардани зарар аз ҳамлаҳои мақсаднок), дорои асбобҳое муҳим аст, ки ҳадди ақали TTD-ро таъмин кунанд (вақти ошкор кардан - вақт аз лаҳзаи ҳамла то лаҳзаи ошкор шудани ҳамла). Вобаста аз соҳа ва минтақа, ин давра ба ҳисоби миёна 99 рӯз ​​дар ИМА, 106 рӯз дар минтақаи EMEA, 172 рӯз дар минтақаи APAC (M-Trends 2017, A View from the Front Lines, Mandiant).
6. Бозор чӣ пешниҳод мекунад?
   • "қуттиҳои қумӣ". Боз як назорати пешгирикунанда, ки аз идеал дур аст. Бисёр усулҳои муассир барои ошкор ва гузаштан аз қуттиҳои қум ё ҳалли рӯйхати сафед вуҷуд доранд. Бачахои «тарафи тира» дар ин чо хануз як кадам пештаранд.
   • UEBA (системаҳои профилактикаи рафтор ва муайян кардани инҳирофҳо) - дар назария, метавонад хеле самаранок бошад. Аммо, ба назари ман, ин замоне дар ояндаи дур аст. Дар амал, ин ҳоло ҳам хеле гарон, беэътимод аст ва инфрасохтори хеле баркамол ва устувори ТИ ва амнияти иттилоотиро талаб мекунад, ки аллакай дорои тамоми абзорҳое мебошад, ки маълумотро барои таҳлили рафтор тавлид мекунанд.
   • SIEM як воситаи хуби тафтишот аст, аммо он наметавонад сари вақт чизи нав ва аслиро бубинад ва нишон диҳад, зеро қоидаҳои коррелятсия бо имзоҳо якхелаанд.

7. Дар натиҷа, ба асбобе лозим аст, ки:
   • дар шароити периметри аллакай вайроншуда бомуваффақият кор мекард,
   • новобаста аз асбобҳо ва осебпазириҳои истифодашуда дар вақти воқеӣ ҳамлаҳои муваффақро ошкор карданд,
   • аз имзоҳо/қоидаҳо/скриптҳо/сиёсатҳо/профилҳо ва дигар чизҳои статикӣ вобаста набуд,
   • барои таҳлил миқдори зиёди маълумот ва манбаъҳои онҳоро талаб намекард,
   • имкон медиҳад, ки ҳамлаҳо на ҳамчун як навъ баҳодиҳии хавф дар натиҷаи кори "беҳтарин дар ҷаҳон, математикаи патентӣ ва аз ин рӯ пӯшида", ки таҳқиқоти иловагиро талаб мекунад, балки амалан ҳамчун як ҳодисаи дуӣ - "Бале, ба мо ҳамла мекунанд" ё "Не, ҳамааш хуб аст",
   • универсалӣ, ба таври муассир миқёспазир ва иҷрошаванда дар ҳама гуна муҳити гетерогенӣ, новобаста аз топологияи шабакаи физикӣ ва мантиқии истифодашаванда буд.

Ҳоло барои иҷрои нақши чунин абзор ба истилоҳ усулҳои фиребгарӣ мубориза мебаранд. Яъне, қарорҳо ба консепсияи хуби кӯҳнаи асал асос ёфтаанд, аммо бо сатҳи комилан дигари татбиқ. Ин мавзӯъ бешубҳа дар ҳоли афзоиш аст.

Аз рӯи натиҷаҳо Саммити идоракунии Gartner Security & Risc 2017 Роҳҳои ҳалли фиреб ба ТОП 3 стратегия ва абзорҳое дохил карда шудаанд, ки барои истифода тавсия карда мешаванд.

Мувофики хабар TAG солонаи киберамният 2017 Фиреб яке аз самтҳои асосии таҳияи қарорҳои IDS Detection Systems) мебошад.

Як қисми пурраи охирин Гузориши Cisco оид ба амнияти IT, ки ба SCADA бахшида шудааст, ба маълумоти яке аз пешвоёни ин бозор, TrapX Security (Исроил) асос ёфтааст, ки ҳалли он дар минтақаи озмоишии мо як сол кор мекунад.

TrapX Deception Grid ба шумо имкон медиҳад, ки IDS-и ба таври мутамарказ тақсимшударо бидуни зиёд кардани сарбории иҷозатномадиҳӣ ва талабот ба захираҳои сахтафзор арзиш ва идора кунед. Дарвоқеъ, TrapX як созандаест, ки ба шумо имкон медиҳад, ки аз унсурҳои инфрасохтори мавҷудаи IT як механизми бузурги ошкор кардани ҳамлаҳо дар миқёси корхона, як навъ шабакаи тақсимшуда "огоҳӣ" эҷод кунед.

Сохтори ҳалли

Дар лабораторияи мо мо пайваста маҳсулоти гуногуни навро дар соҳаи амнияти IT меомӯзем ва месанҷем. Дар айни замон, тақрибан 50 серверҳои гуногуни виртуалӣ дар ин ҷо ҷойгир шудаанд, аз ҷумла ҷузъҳои TrapX Deception Grid.

Ҳамин тавр, аз боло ба поён:

1. TSOC (TrapX Security Operation Console) мағзи система мебошад. Ин консоли марказии идоракунӣ мебошад, ки тавассути он конфигуратсия, ҷойгиркунии ҳалли мушкилот ва тамоми амалиёти ҳаррӯза амалӣ карда мешавад. Азбаски ин хидмати веб аст, онро метавон дар ҳама ҷо ҷойгир кард - дар периметр, дар абр ё дар провайдери MSSP.
2. TrapX Appliance (TSA) як сервери маҷозӣ мебошад, ки мо ба он бо истифода аз бандари магистралӣ он зершабақаҳоеро, ки мо мехоҳем бо мониторинг фаро гирем, пайваст мекунем. Инчунин, ҳама сенсорҳои шабакавии мо воқеан дар ин ҷо "зиндагӣ мекунанд".

   Лабораторияи мо дорои як TSA ҷойгир карда шудааст (mwsapp1), аммо дар асл шумораи онҳо метавонад зиёд бошад. Ин метавонад дар шабакаҳои калоне, ки дар байни сегментҳо пайвасти L2 вуҷуд надорад (мисоли маъмулӣ “Ҳолдинг ва фаръӣ” ё “Дафтари Бонк ва филиалҳо” аст) ё агар шабака сегментҳои ҷудогона дошта бошад, масалан, системаҳои автоматикунонидашудаи идоракунии раванд зарур аст. Дар ҳар як чунин филиал/сегмент шумо метавонед TSA-и шахсии худро ҷойгир кунед ва онро ба як TSOC пайваст кунед, ки дар он ҳама маълумот ба таври мутамарказ коркард карда мешавад. Ин меъморӣ ба шумо имкон медиҳад, ки системаҳои мониторинги тақсимшударо бидуни ниёз ба таҷдиди сохтори шабака ё вайрон кардани сегментатсияи мавҷуда созед.

   Инчунин, мо метавонем нусхаи трафики содиротӣ ба TSA тавассути TAP/SPAN пешниҳод кунем. Агар мо пайвастҳоро бо ботнетҳои маълум, серверҳои фармон ва назорат ё сессияҳои TOR муайян кунем, мо натиҷаро дар консол низ мегирем. Sensor Network Intelligence (NIS) барои ин масъул аст. Дар муҳити мо, ин функсия дар брандмауэр амалӣ карда мешавад, аз ин рӯ мо онро дар ин ҷо истифода набурдем.

3. App Traps (Full OS) - асалҳои анъанавӣ дар серверҳои Windows. Шумо ба бисёре аз онҳо ниёз надоред, зеро ҳадафи асосии ин серверҳо пешниҳоди хидматҳои IT ба қабати навбатии сенсорҳо ё ошкор кардани ҳамлаҳо ба замимаҳои тиҷорӣ, ки метавонанд дар муҳити Windows ҷойгир карда шаванд, мебошад. Мо як чунин серверро дар лабораторияи худ насб кардаем (FOS01)

   

4. Домҳои тақлидшуда ҷузъи асосии ҳалли онҳо мебошанд, ки ба мо имкон медиҳад, ки бо истифода аз як мошини ягонаи виртуалӣ барои ҳамлагарон як “майдони мина”-и хеле зиччи эҷод кунем ва шабакаи корхона, тамоми вланҳои онро бо сенсорҳои худ сер кунем. Ҳамлагар чунин сенсор ё ҳости фантомро ҳамчун компютери воқеии Windows ё сервер, сервери Linux ё дастгоҳи дигаре мебинад, ки мо тасмим гирифтем ба ӯ нишон диҳем.

   
   
   Ба манфиати тиҷорат ва ба хотири кунҷковӣ, мо "як ҷуфти ҳар як махлуқ" - компютерҳои Windows ва серверҳои версияҳои гуногун, серверҳои Linux, банкомат бо Windows embedded, SWIFT Web Access, принтери шабакавӣ, Cisco -ро ҷойгир кардем. коммутатор, камераи Axis IP, MacBook, PLC -дастгоҳ ва ҳатто лампаи интеллектуалӣ. Дар маҷмӯъ 13 мизбон мавҷуд аст. Умуман, фурӯшанда тавсия медиҳад, ки чунин сенсорҳо ба миқдори ҳадди аққал 10% шумораи ҳостҳои воқеӣ ҷойгир карда шаванд. Сатри боло фазои суроғаи дастрас аст.

   Нуктаи хеле муҳим ин аст, ки ҳар як чунин мизбон як мошини мукаммали виртуалӣ нест, ки захираҳо ва иҷозатномаҳоро талаб мекунад. Ин фиреб, тақлид, як раванд дар TSA мебошад, ки маҷмӯи параметрҳо ва суроғаи IP дорад. Аз ин рӯ, бо ёрии ҳатто як TSA, мо метавонем шабакаро бо садҳо чунин ҳостҳои фантомӣ, ки ҳамчун сенсорҳо дар системаи ҳушдор кор мекунанд, пур кунем. Маҳз ин технология имкон медиҳад, ки консепсияи асалро дар ҳама гуна корхонаи азими тақсимшуда ба таври камхарҷ васеъ намояд.

   Аз нуқтаи назари ҳамлакунанда, ин ҳостҳо ҷолибанд, зеро онҳо осебпазирӣ доранд ва ҳадафҳои нисбатан осон ба назар мерасанд. Ҳамлагар хидматҳоро дар ин ҳостҳо мебинад ва метавонад бо онҳо ҳамкорӣ кунад ва бо истифода аз абзорҳо ва протоколҳои стандартӣ (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus ва ғайра) ба онҳо ҳамла кунад. Аммо истифодаи ин ҳостҳо барои таҳияи ҳамла ё иҷро кардани рамзи худ ғайриимкон аст.

5. Омезиши ин ду технология (FullOS ва домҳои тақлидшуда) ба мо имкон медиҳад, ки эҳтимолияти баланди оморӣ ба даст орем, ки ҳамлакунанда дер ё зуд бо ягон унсури шабакаи сигнализатсияи мо дучор хоҳад шуд. Аммо чӣ гуна мо метавонем боварӣ ҳосил кунем, ки ин эҳтимолият ба 100% наздик аст?

   Нишонҳои ба ном фиреб ба ҷанг дохил мешаванд. Ба шарофати онҳо, мо метавонем ҳамаи компютерҳо ва серверҳои мавҷудаи корхонаро ба IDS тақсимшудаи худ дохил кунем. Токенҳо дар компютерҳои воқеии корбарон ҷойгир карда мешаванд. Фаҳмидани он муҳим аст, ки токенҳо агентҳое нестанд, ки захираҳоро истеъмол мекунанд ва метавонанд боиси низоъ шаванд. Токенҳо унсурҳои иттилоотии ғайрифаъол мебошанд, як навъ "нонрезаҳо" барои ҷониби ҳамлакунанда, ки онро ба дом мебарад. Масалан, драйвҳои шабакавии хариташуда, хатчӯбҳо ба администраторҳои қалбакӣ дар браузер ва паролҳои захирашуда барои онҳо, сеансҳои захирашудаи ssh/rdp/winscp, домҳои мо бо шарҳҳо дар файлҳои ҳостҳо, паролҳое, ки дар хотира сабт шудаанд, эътимодномаи корбарони мавҷуда, офис файлҳо, ки кушодани системаро ба вуҷуд меорад ва ғайра. Ҳамин тариқ, мо ҳамлакунандаро дар муҳити таҳрифшуда ҷойгир мекунем, ки бо векторҳои ҳамла, ки воқеан ба мо таҳдид намекунанд, балки баръакс. Ва ӯ имкон надорад, ки маълумот дар куҷо дуруст аст ва дар куҷо дурӯғ аст. Ҳамин тариқ, мо на танҳо ошкор кардани ҳамларо таъмин мекунем, балки пешрафти онро ба таври назаррас суст мекунем.

Намунаи эҷоди доми шабака ва насби нишонаҳо. Интерфейси дӯстона ва бидуни таҳрири дастӣ конфигуратсияҳо, скриптҳо ва ғайра.

Дар муҳити мо, мо як қатор чунин аломатҳоро дар FOS01 бо Windows Server 2012R2 ва компютери санҷишӣ бо Windows 7 танзим ва ҷойгир кардем. RDP дар ин мошинҳо кор мекунад ва мо онҳоро давра ба давра дар DMZ, ки дар он як қатор сенсорҳои мо "овехта мешаванд". (домҳои тақлидшуда) низ намоиш дода мешаванд. Ҳамин тавр, мо як ҷараёни доимии ҳодисаҳоро ба даст меорем, ки табиист.

Ҳамин тавр, инҳоянд баъзе омори зуд барои сол:

56 - ҳодисаҳои сабтшуда,
2 - ҳостҳои манбаи ҳамла ошкор карда шуданд.

Харитаи ҳамлаи интерактивӣ, кликшаванда

Дар айни замон, ҳалли ягон намуди мега-лог ё канали рӯйдодҳоро тавлид намекунад, ки барои фаҳмидани он вақти зиёд лозим аст. Ба ҷои ин, худи ҳалли ҳодиса рӯйдодҳоро аз рӯи намудҳояшон гурӯҳбандӣ мекунад ва ба гурӯҳи амнияти иттилоотӣ имкон медиҳад, ки диққати худро пеш аз ҳама ба хатарноктаринҳо равона кунад - вақте ки ҳамлакунанда кӯшиши баланд бардоштани сеансҳои назоратӣ (ҳамкорӣ) ё вақте ки бори дуӣ (сироят) дар трафики мо пайдо мешавад.

Ҳама маълумот дар бораи рӯйдодҳо қобили хондан аст ва ба назари ман, дар шакли осон фаҳмо ҳатто барои корбаре, ки дониши ибтидоӣ дар соҳаи амнияти иттилоотӣ дорад, пешниҳод карда мешавад.

Аксари ҳодисаҳои сабтшуда кӯшиши скан кардани ҳостҳои мо ё пайвастҳои ягона мебошанд.

Ё кӯшиши ворид кардани паролҳои маҷбурии RDP

Аммо ҳолатҳои ҷолибтар низ буданд, хусусан вақте ки ҳамлагарон пароли RDP-ро "мудиранд" ва ба шабакаи маҳаллӣ дастрасӣ пайдо карданд.

Ҳамлагар кӯшиш мекунад, ки кодро бо истифода аз psexec иҷро кунад.

Ҳамлагар сеанси захирашударо ёфт, ки ӯро ба дом дар шакли сервери Linux бурд. Дарҳол пас аз пайвастшавӣ, бо як маҷмӯи фармонҳои пешакӣ омодашуда, он кӯшиш кард, ки ҳамаи файлҳои журнал ва тағирёбандаҳои системаи мувофиқро нест кунад.

Ҳамлагар кӯшиш мекунад, ки тазриқи SQL-ро дар кӯзаи асал, ки ба дастрасии SWIFT Web Access тақлид мекунад, анҷом диҳад.

Ба гайр аз ин гуна хучумхои «табий» мо як катор озмоишхои худро низ гузаронидем. Яке аз ошкоро ин санҷиши вақти ошкор кардани кирми шабака дар шабака мебошад. Барои ин мо асбоберо аз GuardiCore истифода бурдем Маймун сироят. Ин як кирми шабакавӣ аст, ки метавонад Windows ва Linux-ро ғорат кунад, аммо бидуни "борбор".
Мо як маркази фармондеҳии маҳаллиро ҷойгир кардем, аввалин намунаи кирмро дар яке аз мошинҳо оғоз кардем ва дар тӯли камтар аз якуним дақиқа дар консоли TrapX огоҳии аввалинро гирифтем. TTD 90 сония дар муқоиса бо 106 рӯз ба ҳисоби миёна ...

Бо шарофати қобилияти ҳамгироӣ бо дигар синфҳои қарорҳо, мо метавонем аз ошкор кардани зуд ба таҳдидҳо ба вокуниши худкор ба онҳо гузарем.

Масалан, ҳамгироӣ бо системаҳои NAC (Назорати дастрасӣ ба шабака) ё бо CarbonBlack ба шумо имкон медиҳад, ки компютерҳои осебдидаро аз шабака ба таври худкор ҷудо кунед.

Интегратсия бо қуттиҳои қуттиҳо имкон медиҳад, ки файлҳои дар ҳамла иштирокдошта ба таври худкор барои таҳлил пешниҳод карда шаванд.

Интегратсияи McAfee

Ҳалли инчунин дорои системаи коррелятсияи рӯйдодҳои дохилии худро дорад.

Аммо мо аз имкониятҳои он қаноатманд набудем, бинобар ин мо онро бо HP ArcSight ҳамгиро кардем.

Системаи дарунсохташудаи чиптаҳо ба тамоми ҷаҳон дар мубориза бо таҳдидҳои ошкоршуда кӯмак мекунад.

Азбаски ин ҳалли "аз аввал" барои эҳтиёҷоти мақомоти давлатӣ ва сегменти бузурги корпоративӣ таҳия шудааст, он табиатан модели дастрасии нақш, ҳамгироӣ бо AD, системаи таҳияшудаи гузоришҳо ва триггерҳо (огоҳиҳои ҳодиса), оркестрро барои сохторҳои калон ё провайдерҳои MSSP.

Ба ҷои ивазшавӣ

Агар чунин системаи назорат мавчуд бошад, ки образнок карда гуем, пуштаи моро мепушонад, пас бо созиши периметр хама чиз акнун огоз меёбад. Муҳимтар аз ҳама он аст, ки имкони воқеии мубориза бо ҳодисаҳои амнияти иттилоотӣ вуҷуд дорад, на бо оқибатҳои онҳо.

Манбаъ: will.com