(ขอบคุณ Sergey G. Brester สำหรับแนวคิดเรื่องชื่อ
เพื่อนร่วมงาน วัตถุประสงค์ของบทความนี้คือเพื่อแบ่งปันประสบการณ์ของการดำเนินการทดสอบตลอดทั้งปีของโซลูชัน IDS คลาสใหม่ที่ใช้เทคโนโลยี Deception
เพื่อรักษาการเชื่อมโยงเชิงตรรกะของการนำเสนอเนื้อหา ฉันถือว่าจำเป็นต้องเริ่มต้นด้วยสถานที่ ดังนั้นปัญหา:
- การโจมตีแบบกำหนดเป้าหมายเป็นการโจมตีประเภทที่อันตรายที่สุด แม้ว่าส่วนแบ่งในจำนวนภัยคุกคามทั้งหมดจะมีน้อยก็ตาม
- ยังไม่มีการคิดค้นวิธีการปกป้องปริมณฑล (หรือชุดวิธีการดังกล่าว) ที่มีประสิทธิผลที่รับประกันได้
- ตามกฎแล้ว การโจมตีแบบกำหนดเป้าหมายจะเกิดขึ้นในหลายขั้นตอน การเอาชนะขอบเขตเป็นเพียงหนึ่งในระยะเริ่มต้นซึ่ง (คุณสามารถขว้างก้อนหินใส่ฉันได้) จะไม่สร้างความเสียหายให้กับ "เหยื่อ" มากนักเว้นแต่แน่นอนว่าเป็นการโจมตี DEoS (การทำลายบริการ) (ตัวเข้ารหัส ฯลฯ .) “ความเจ็บปวด” ที่แท้จริงเริ่มต้นขึ้นในภายหลัง เมื่อทรัพย์สินที่ยึดได้เริ่มถูกนำมาใช้เพื่อหมุนและพัฒนาการโจมตี “เชิงลึก” และเราไม่ได้สังเกตเห็นสิ่งนี้
- เนื่องจากเราเริ่มประสบกับความสูญเสียอย่างแท้จริงเมื่อผู้โจมตีบรรลุเป้าหมายการโจมตีในที่สุด (แอปพลิเคชันเซิร์ฟเวอร์, DBMS, คลังข้อมูล, ที่เก็บข้อมูล, องค์ประกอบโครงสร้างพื้นฐานที่สำคัญ) จึงเป็นเหตุผลที่งานหนึ่งของบริการรักษาความปลอดภัยข้อมูลคือการขัดจังหวะการโจมตีก่อน เหตุการณ์ที่น่าเศร้านี้ แต่เพื่อที่จะขัดจังหวะบางสิ่ง คุณต้องค้นหาให้เจอก่อน และยิ่งเร็วเท่าไรก็ยิ่งดีเท่านั้น
- ดังนั้น เพื่อการบริหารความเสี่ยงที่ประสบความสำเร็จ (นั่นคือ การลดความเสียหายจากการโจมตีแบบกำหนดเป้าหมาย) จำเป็นอย่างยิ่งที่จะต้องมีเครื่องมือที่ให้ TTD ขั้นต่ำ (เวลาในการตรวจจับ - เวลาตั้งแต่ช่วงเวลาที่มีการบุกรุกจนถึงช่วงเวลาที่ตรวจพบการโจมตี) ระยะเวลานี้โดยเฉลี่ยอยู่ที่ 99 วันในสหรัฐอเมริกา, 106 วันในภูมิภาค EMEA, 172 วันในภูมิภาค APAC (M-Trends 2017, A View From the Front Lines, Mandiant) ทั้งนี้ขึ้นอยู่กับอุตสาหกรรมและภูมิภาค
- ตลาดเสนออะไร?
- "แซนด์บ็อกซ์". การควบคุมเชิงป้องกันอีกประการหนึ่งซึ่งยังห่างไกลจากอุดมคติ มีเทคนิคที่มีประสิทธิภาพมากมายในการตรวจจับและข้ามแซนด์บ็อกซ์หรือโซลูชันไวท์ลิสต์ พวกจาก "ด้านมืด" ยังคงนำหน้าอยู่หนึ่งก้าวที่นี่
- UEBA (ระบบสำหรับโปรไฟล์พฤติกรรมและการระบุความเบี่ยงเบน) - ตามทฤษฎีแล้วจะมีประสิทธิภาพมาก แต่ในความคิดของฉัน นี่อาจเป็นอนาคตอันไกลโพ้น ในทางปฏิบัติ สิ่งนี้ยังคงมีราคาแพงมาก ไม่น่าเชื่อถือ และต้องการโครงสร้างพื้นฐานด้านไอทีและความปลอดภัยของข้อมูลที่มีความสมบูรณ์และมีเสถียรภาพ ซึ่งมีเครื่องมือทั้งหมดที่จะสร้างข้อมูลสำหรับการวิเคราะห์พฤติกรรมอยู่แล้ว
- SIEM เป็นเครื่องมือที่ดีในการสืบสวน แต่ไม่สามารถมองเห็นและแสดงสิ่งใหม่และต้นฉบับได้ทันเวลา เนื่องจากกฎความสัมพันธ์จะเหมือนกับลายเซ็น
- ด้วยเหตุนี้ จึงจำเป็นต้องมีเครื่องมือที่จะ:
- ประสบความสำเร็จในการทำงานในสภาพปริมณฑลที่ถูกบุกรุกแล้ว
- ตรวจพบการโจมตีที่ประสบความสำเร็จในเวลาใกล้เคียงเรียลไทม์ โดยไม่คำนึงถึงเครื่องมือและช่องโหว่ที่ใช้
- ไม่ได้ขึ้นอยู่กับลายเซ็น/กฎ/สคริปต์/นโยบาย/โปรไฟล์และสิ่งที่คงที่อื่นๆ
- ไม่ต้องการข้อมูลจำนวนมากและแหล่งที่มาในการวิเคราะห์
- จะอนุญาตให้การโจมตีไม่ได้ถูกกำหนดว่าเป็นการให้คะแนนความเสี่ยงอันเป็นผลมาจากการทำงานของ "คณิตศาสตร์ที่ดีที่สุดในโลกที่ได้รับการจดสิทธิบัตรและดังนั้นจึงปิด" ซึ่งต้องมีการตรวจสอบเพิ่มเติม แต่ในทางปฏิบัติเป็นเหตุการณ์ไบนารี่ - "ใช่ เรากำลังถูกโจมตี” หรือ “ไม่ ทุกอย่างโอเค”
- เป็นสากล สามารถปรับขนาดได้อย่างมีประสิทธิภาพ และเป็นไปได้ที่จะนำไปใช้ในสภาพแวดล้อมที่แตกต่างกัน โดยไม่คำนึงถึงโทโพโลยีเครือข่ายทางกายภาพและเชิงตรรกะที่ใช้
โซลูชันการหลอกลวงที่เรียกว่าขณะนี้กำลังแย่งชิงบทบาทของเครื่องมือดังกล่าว นั่นคือวิธีแก้ปัญหาตามแนวคิดเก่าที่ดีของ honeypots แต่มีระดับการใช้งานที่แตกต่างไปจากเดิมอย่างสิ้นเชิง หัวข้อนี้กำลังเพิ่มขึ้นอย่างแน่นอนในขณะนี้
ตามผลลัพธ์
PO данным отчета
ส่วนหลังทั้งหมด
TrapX Deception Grid ช่วยให้คุณสามารถคิดต้นทุนและดำเนินการ IDS ที่กระจายอย่างหนาแน่นจากส่วนกลาง โดยไม่ต้องเพิ่มภาระสิทธิ์การใช้งานและข้อกำหนดสำหรับทรัพยากรฮาร์ดแวร์ ในความเป็นจริง TrapX เป็นตัวสร้างที่ช่วยให้คุณสร้างจากองค์ประกอบของโครงสร้างพื้นฐานด้านไอทีที่มีอยู่ซึ่งเป็นกลไกขนาดใหญ่สำหรับการตรวจจับการโจมตีในระดับทั่วทั้งองค์กร ซึ่งเป็น "สัญญาณเตือน" เครือข่ายแบบกระจาย
โครงสร้างการแก้ปัญหา
ในห้องปฏิบัติการของเรา เราศึกษาและทดสอบผลิตภัณฑ์ใหม่ๆ ในด้านความปลอดภัยด้านไอทีอย่างต่อเนื่อง ปัจจุบันมีการติดตั้งเซิร์ฟเวอร์เสมือนที่แตกต่างกันประมาณ 50 เครื่องที่นี่ รวมถึงส่วนประกอบ TrapX Deception Grid
ดังนั้นจากบนลงล่าง:
- TSOC (TrapX Security Operation Console) คือสมองของระบบ นี่คือคอนโซลการจัดการส่วนกลางที่ใช้กำหนดค่า การปรับใช้โซลูชัน และการดำเนินการในแต่ละวันทั้งหมด เนื่องจากนี่คือบริการบนเว็บ จึงสามารถใช้งานได้ทุกที่ - ในขอบเขต ในระบบคลาวด์ หรือที่ผู้ให้บริการ MSSP
- TrapX Appliance (TSA) เป็นเซิร์ฟเวอร์เสมือนที่เราเชื่อมต่อโดยใช้พอร์ต trunk ซึ่งเป็นซับเน็ตที่เราต้องการครอบคลุมด้วยการตรวจสอบ นอกจากนี้ เซ็นเซอร์เครือข่ายทั้งหมดของเรา "ใช้งานจริง" ที่นี่ด้วย
ห้องปฏิบัติการของเรามีการติดตั้ง TSA หนึ่งรายการ (mwsapp1) แต่ในความเป็นจริงแล้วอาจมีหลายรายการ สิ่งนี้อาจจำเป็นในเครือข่ายขนาดใหญ่ที่ไม่มีการเชื่อมต่อ L2 ระหว่างส่วนต่างๆ (ตัวอย่างทั่วไปคือ “การถือครองและบริษัทสาขา” หรือ “สำนักงานใหญ่และสาขาของธนาคาร”) หรือหากเครือข่ายมีส่วนที่แยกออกไป เช่น ระบบควบคุมกระบวนการอัตโนมัติ ในแต่ละสาขา/เซ็กเมนต์ คุณสามารถปรับใช้ TSA ของคุณเองและเชื่อมต่อกับ TSOC เดียว ซึ่งข้อมูลทั้งหมดจะได้รับการประมวลผลจากส่วนกลาง สถาปัตยกรรมนี้ช่วยให้คุณสร้างระบบการตรวจสอบแบบกระจายโดยไม่จำเป็นต้องปรับโครงสร้างเครือข่ายใหม่อย่างรุนแรงหรือขัดขวางการแบ่งส่วนที่มีอยู่
นอกจากนี้ เราสามารถส่งสำเนาการรับส่งข้อมูลขาออกไปยัง TSA ผ่านทาง TAP/SPAN หากเราตรวจพบการเชื่อมต่อกับบ็อตเน็ต เซิร์ฟเวอร์คำสั่งและการควบคุม หรือเซสชัน TOR เราก็จะได้รับผลลัพธ์ในคอนโซลด้วย Network Intelligence Sensor (NIS) มีหน้าที่รับผิดชอบในเรื่องนี้ ในสภาพแวดล้อมของเรา ฟังก์ชันนี้ถูกใช้งานบนไฟร์วอลล์ ดังนั้นเราจึงไม่ได้ใช้ที่นี่
- Application Traps (ระบบปฏิบัติการเต็ม) – honeypots แบบดั้งเดิมที่ใช้เซิร์ฟเวอร์ Windows คุณไม่ต้องการเซิร์ฟเวอร์เหล่านี้มากนัก เนื่องจากวัตถุประสงค์หลักของเซิร์ฟเวอร์เหล่านี้คือเพื่อให้บริการด้านไอทีแก่เซ็นเซอร์ชั้นถัดไป หรือตรวจจับการโจมตีในแอปพลิเคชันทางธุรกิจที่อาจปรับใช้ในสภาพแวดล้อม Windows เรามีเซิร์ฟเวอร์ดังกล่าวหนึ่งเครื่องติดตั้งอยู่ในห้องปฏิบัติการของเรา (FOS01)
- กับดักจำลองเป็นองค์ประกอบหลักของโซลูชัน ซึ่งช่วยให้เราใช้เครื่องเสมือนเครื่องเดียว เพื่อสร้าง “เขตทุ่นระเบิด” ที่หนาแน่นมากสำหรับผู้โจมตี และทำให้เครือข่ายองค์กร vlan ทั้งหมดเต็มอิ่มด้วยเซ็นเซอร์ของเรา ผู้โจมตีมองเห็นเซ็นเซอร์หรือโฮสต์แฝงดังกล่าวเป็นพีซีหรือเซิร์ฟเวอร์ Windows จริง เซิร์ฟเวอร์ Linux หรืออุปกรณ์อื่น ๆ ที่เราตัดสินใจแสดงให้เขาเห็น
เพื่อประโยชน์ของธุรกิจและเพื่อความอยากรู้อยากเห็น เราได้ปรับใช้ "สิ่งมีชีวิตแต่ละชนิด" - พีซี Windows และเซิร์ฟเวอร์เวอร์ชันต่างๆ, เซิร์ฟเวอร์ Linux, ATM พร้อม Windows ฝังอยู่, SWIFT Web Access, เครื่องพิมพ์เครือข่าย, Cisco สวิตช์, กล้อง Axis IP, อุปกรณ์ MacBook, PLC และแม้แต่หลอดไฟอัจฉริยะ มีเจ้าภาพทั้งหมด 13 เจ้า โดยทั่วไป ผู้จำหน่ายแนะนำให้ปรับใช้เซ็นเซอร์ดังกล่าวในปริมาณอย่างน้อย 10% ของจำนวนโฮสต์จริง แถบด้านบนเป็นพื้นที่ที่อยู่ที่มีอยู่จุดสำคัญมากคือแต่ละโฮสต์นั้นไม่ใช่เครื่องเสมือนที่มีคุณสมบัติครบถ้วนซึ่งต้องใช้ทรัพยากรและใบอนุญาต นี่คือตัวล่อ การจำลอง หนึ่งในกระบวนการบน TSA ซึ่งมีชุดพารามิเตอร์และที่อยู่ IP ดังนั้นด้วยความช่วยเหลือของ TSA แม้แต่ตัวเดียว เราก็สามารถทำให้เครือข่ายเต็มไปด้วยโฮสต์ Phantom หลายร้อยตัวซึ่งจะทำงานเป็นเซ็นเซอร์ในระบบเตือนภัย เทคโนโลยีนี้เองที่ทำให้สามารถปรับขนาดแนวคิด honeypot ทั่วทั้งองค์กรขนาดใหญ่ที่มีการกระจายสินค้าได้อย่างคุ้มค่า
จากมุมมองของผู้โจมตี โฮสต์เหล่านี้มีความน่าสนใจเนื่องจากมีช่องโหว่และดูเหมือนจะเป็นเป้าหมายที่ค่อนข้างง่าย ผู้โจมตีมองเห็นบริการบนโฮสต์เหล่านี้และสามารถโต้ตอบกับพวกเขาและโจมตีพวกเขาโดยใช้เครื่องมือและโปรโตคอลมาตรฐาน (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus ฯลฯ) แต่มันเป็นไปไม่ได้ที่จะใช้โฮสต์เหล่านี้เพื่อโจมตีหรือรันโค้ดของคุณเอง
- การรวมกันของเทคโนโลยีทั้งสองนี้ (FullOS และกับดักจำลอง) ช่วยให้เราบรรลุความน่าจะเป็นทางสถิติสูงที่ผู้โจมตีจะพบองค์ประกอบบางอย่างของเครือข่ายการส่งสัญญาณของเราไม่ช้าก็เร็ว แต่เราจะแน่ใจได้อย่างไรว่าความน่าจะเป็นนี้ใกล้ 100%?
โทเค็นที่เรียกว่าการหลอกลวงเข้าสู่การต่อสู้ ต้องขอบคุณสิ่งเหล่านี้ เราจึงสามารถรวมพีซีและเซิร์ฟเวอร์ที่มีอยู่ทั้งหมดขององค์กรไว้ใน IDS แบบกระจายของเราได้ โทเค็นจะถูกวางบนพีซีจริงของผู้ใช้ สิ่งสำคัญคือต้องเข้าใจว่าโทเค็นไม่ใช่ตัวแทนที่ใช้ทรัพยากรและอาจก่อให้เกิดความขัดแย้งได้ โทเค็นเป็นองค์ประกอบข้อมูลแบบพาสซีฟ ซึ่งเป็น "เส้นทาง" ชนิดหนึ่งสำหรับฝ่ายโจมตีที่นำมันเข้าสู่กับดัก ตัวอย่างเช่น ไดรฟ์เครือข่ายที่แมป บุ๊กมาร์กไปยังผู้ดูแลเว็บปลอมในเบราว์เซอร์และรหัสผ่านที่บันทึกไว้สำหรับพวกเขา เซสชัน ssh/rdp/winscp ที่บันทึกไว้ กับดักของเราพร้อมความคิดเห็นในไฟล์โฮสต์ รหัสผ่านที่บันทึกไว้ในหน่วยความจำ ข้อมูลรับรองของผู้ใช้ที่ไม่มีอยู่จริง สำนักงาน ไฟล์ต่างๆ การเปิดซึ่งจะทริกเกอร์ระบบ และอื่นๆ อีกมากมาย ดังนั้นเราจึงวางผู้โจมตีไว้ในสภาพแวดล้อมที่บิดเบี้ยว ซึ่งเต็มไปด้วยเวกเตอร์การโจมตีซึ่งจริงๆ แล้วไม่ได้ก่อให้เกิดภัยคุกคามต่อเรา แต่เป็นไปในทางตรงกันข้าม และเขาไม่มีทางที่จะตัดสินได้ว่าข้อมูลส่วนใดเป็นจริงและส่วนใดเป็นเท็จ ดังนั้นเราจึงไม่เพียงแต่รับประกันการตรวจจับการโจมตีอย่างรวดเร็ว แต่ยังชะลอความคืบหน้าอย่างมากอีกด้วย
ตัวอย่างการสร้างกับดักเครือข่ายและการตั้งค่าโทเค็น อินเทอร์เฟซที่เป็นมิตรและไม่มีการแก้ไขการกำหนดค่า สคริปต์ ฯลฯ ด้วยตนเอง
ในสภาพแวดล้อมของเรา เราได้กำหนดค่าและวางโทเค็นดังกล่าวจำนวนหนึ่งบน FOS01 ที่ใช้ Windows Server 2012R2 และพีซีทดสอบที่ใช้ Windows 7 RDP กำลังทำงานบนเครื่องเหล่านี้ และเรา "แฮงค์" โทเค็นเหล่านั้นใน DMZ เป็นระยะซึ่งมีเซ็นเซอร์จำนวนหนึ่งของเรา (กับดักจำลอง) ก็จะปรากฏขึ้นเช่นกัน ดังนั้นเราจึงได้รับเหตุการณ์ต่างๆ มากมายอย่างต่อเนื่อง
ต่อไปนี้เป็นสถิติโดยสรุปสำหรับปี:
56 – เหตุการณ์ที่บันทึกไว้
2 – ตรวจพบโฮสต์ต้นทางของการโจมตี
แผนที่การโจมตีแบบโต้ตอบและคลิกได้
ในเวลาเดียวกัน โซลูชันจะไม่สร้างเมกะล็อกหรือฟีดเหตุการณ์บางประเภท ซึ่งใช้เวลานานในการทำความเข้าใจ แต่โซลูชันจะจัดหมวดหมู่เหตุการณ์ตามประเภทและช่วยให้ทีมรักษาความปลอดภัยข้อมูลมุ่งเน้นไปที่เหตุการณ์ที่อันตรายที่สุดเป็นหลัก - เมื่อผู้โจมตีพยายามเพิ่มเซสชันการควบคุม (การโต้ตอบ) หรือเมื่อเพย์โหลดไบนารี (การติดไวรัส) ปรากฏในการรับส่งข้อมูลของเรา
ในความคิดของฉัน ข้อมูลทั้งหมดเกี่ยวกับเหตุการณ์สามารถอ่านและนำเสนอได้ในรูปแบบที่เข้าใจง่าย แม้แต่ผู้ใช้ที่มีความรู้พื้นฐานด้านความปลอดภัยของข้อมูลก็ตาม
เหตุการณ์ที่บันทึกไว้ส่วนใหญ่เป็นความพยายามสแกนโฮสต์ของเราหรือการเชื่อมต่อเดี่ยว
หรือพยายามใช้รหัสผ่านแบบเดรัจฉานสำหรับ RDP
แต่ก็มีกรณีที่น่าสนใจอีกมากมาย โดยเฉพาะอย่างยิ่งเมื่อผู้โจมตี "จัดการ" เพื่อเดารหัสผ่านสำหรับ RDP และเข้าถึงเครือข่ายท้องถิ่น
ผู้โจมตีพยายามรันโค้ดโดยใช้ psexec
ผู้โจมตีพบเซสชันที่บันทึกไว้ ซึ่งทำให้เขาติดกับดักในรูปแบบของเซิร์ฟเวอร์ Linux ทันทีหลังจากเชื่อมต่อด้วยชุดคำสั่งที่เตรียมไว้ล่วงหน้าหนึ่งชุด ระบบจะพยายามทำลายไฟล์บันทึกทั้งหมดและตัวแปรระบบที่เกี่ยวข้อง
ผู้โจมตีพยายามที่จะดำเนินการฉีด SQL บน honeypot ที่เลียนแบบการเข้าถึงเว็บ SWIFT
นอกเหนือจากการโจมตี "ตามธรรมชาติ" ดังกล่าวแล้ว เรายังได้ทำการทดสอบของเราเองอีกหลายรายการด้วย หนึ่งในสิ่งที่เปิดเผยมากที่สุดคือการทดสอบเวลาในการตรวจจับของเวิร์มเครือข่ายบนเครือข่าย ในการทำเช่นนี้เราใช้เครื่องมือจาก GuardiCore ที่เรียกว่า
เราปรับใช้ศูนย์บัญชาการในพื้นที่ เปิดตัวอินสแตนซ์แรกของเวิร์มบนเครื่องใดเครื่องหนึ่ง และได้รับการแจ้งเตือนครั้งแรกในคอนโซล TrapX ในเวลาไม่ถึงหนึ่งนาทีครึ่ง TTD 90 วินาทีเทียบกับ 106 วันโดยเฉลี่ย...
ด้วยความสามารถในการผสานรวมกับโซลูชันประเภทอื่นๆ เราจึงสามารถเปลี่ยนจากการตรวจจับภัยคุกคามอย่างรวดเร็วไปเป็นการตอบสนองต่อภัยคุกคามเหล่านั้นโดยอัตโนมัติ
ตัวอย่างเช่น การทำงานร่วมกับระบบ NAC (การควบคุมการเข้าถึงเครือข่าย) หรือกับ CarbonBlack จะช่วยให้คุณสามารถตัดการเชื่อมต่อพีซีที่ถูกบุกรุกจากเครือข่ายได้โดยอัตโนมัติ
การบูรณาการกับแซนด์บ็อกซ์ช่วยให้สามารถส่งไฟล์ที่เกี่ยวข้องกับการโจมตีเพื่อทำการวิเคราะห์ได้โดยอัตโนมัติ
บูรณาการ McAfee
โซลูชันนี้ยังมีระบบความสัมพันธ์ของเหตุการณ์ในตัวอีกด้วย
แต่เราไม่พอใจกับความสามารถของมัน เราจึงรวมมันเข้ากับ HP ArcSight
ระบบตั๋วในตัวช่วยให้คนทั้งโลกรับมือกับภัยคุกคามที่ตรวจพบได้
เนื่องจากโซลูชันได้รับการพัฒนา "ตั้งแต่เริ่มต้น" เพื่อสนองความต้องการของหน่วยงานภาครัฐและกลุ่มองค์กรขนาดใหญ่ โซลูชันดังกล่าวจึงใช้โมเดลการเข้าถึงตามบทบาท การบูรณาการกับ AD ระบบรายงานและทริกเกอร์ที่พัฒนาขึ้น (การแจ้งเตือนเหตุการณ์) การเรียบเรียงสำหรับ โครงสร้างการถือครองขนาดใหญ่หรือผู้ให้บริการ MSSP
แทนเรซูเม่
หากมีระบบการตรวจสอบดังกล่าวซึ่งพูดโดยเปรียบเทียบแล้วครอบคลุมด้านหลังของเราจากนั้นทุกอย่างก็เพิ่งเริ่มต้นด้วยการประนีประนอมของขอบเขต สิ่งที่สำคัญที่สุดคือมีโอกาสที่แท้จริงในการจัดการกับเหตุการณ์ด้านความปลอดภัยของข้อมูล และไม่จัดการกับผลที่ตามมา
ที่มา: will.com