(salamat kay Sergey G. Brester para sa ideya ng pamagat )
Mga kasamahan, ang layunin ng artikulong ito ay ibahagi ang karanasan ng isang taon na pagsubok na operasyon ng isang bagong klase ng mga solusyon sa IDS batay sa mga teknolohiya ng Panlilinlang.
Upang mapanatili ang lohikal na pagkakaugnay-ugnay ng pagtatanghal ng materyal, itinuturing kong kinakailangan na magsimula sa mga lugar. Kaya, ang problema:
- Ang mga naka-target na pag-atake ay ang pinaka-mapanganib na uri ng pag-atake, sa kabila ng katotohanan na ang kanilang bahagi sa kabuuang bilang ng mga banta ay maliit.
- Wala pang garantisadong epektibong paraan ng pagprotekta sa perimeter (o isang hanay ng mga ganitong paraan) ang naimbento.
- Bilang isang patakaran, ang mga naka-target na pag-atake ay nagaganap sa maraming yugto. Ang pagtagumpayan sa perimeter ay isa lamang sa mga unang yugto, na (maaari mong ibato sa akin) ay hindi nagdudulot ng malaking pinsala sa "biktima", maliban kung, siyempre, ito ay isang pag-atake ng DEoS (Pagsira ng serbisyo) (mga encryptors, atbp. .). Ang tunay na "sakit" ay magsisimula sa ibang pagkakataon, kapag ang mga nakuhang asset ay nagsimulang gamitin para sa pag-pivote at pagbuo ng isang "malalim" na pag-atake, at hindi namin ito napansin.
- Dahil nagsisimula tayong magdusa ng tunay na pagkalugi kapag naabot na ng mga umaatake ang mga target ng pag-atake (mga server ng application, DBMS, mga bodega ng data, mga repositoryo, mga kritikal na elemento ng imprastraktura), makatuwiran na ang isa sa mga gawain ng serbisyo ng seguridad ng impormasyon ay upang matakpan ang mga pag-atake bago. ang malungkot na pangyayaring ito. Ngunit upang makagambala sa isang bagay, kailangan mo munang malaman ang tungkol dito. At mas maaga, mas mabuti.
- Alinsunod dito, para sa matagumpay na pamamahala sa peligro (iyon ay, pagbabawas ng pinsala mula sa mga naka-target na pag-atake), kritikal na magkaroon ng mga tool na magbibigay ng pinakamababang TTD (oras para matukoy - ang oras mula sa sandali ng panghihimasok hanggang sa sandaling natukoy ang pag-atake). Depende sa industriya at rehiyon, ang panahong ito ay may average na 99 araw sa US, 106 araw sa rehiyon ng EMEA, 172 araw sa rehiyon ng APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
- Ano ang inaalok ng merkado?
- "Mga Sandbox". Isa pang preventive control, na malayo sa ideal. Maraming epektibong diskarte para sa pag-detect at pag-bypass sa mga sandbox o mga solusyon sa whitelisting. Ang mga lalaki mula sa "dark side" ay isang hakbang pa rin dito.
- UEBA (mga sistema para sa pag-uugali ng profile at pagtukoy ng mga paglihis) - sa teorya, ay maaaring maging napaka-epektibo. Ngunit, sa aking opinyon, ito ay minsan sa malayong hinaharap. Sa pagsasagawa, ito ay napakamahal pa rin, hindi mapagkakatiwalaan at nangangailangan ng isang napaka-mature at matatag na IT at imprastraktura ng seguridad ng impormasyon, na mayroon nang lahat ng mga tool na bubuo ng data para sa pagsusuri sa pag-uugali.
- Ang SIEM ay isang mahusay na tool para sa mga pagsisiyasat, ngunit hindi nito nagagawang makita at magpakita ng bago at orihinal sa isang napapanahong paraan, dahil ang mga panuntunan sa ugnayan ay kapareho ng mga lagda.
- Bilang resulta, may pangangailangan para sa isang tool na:
- matagumpay na nagtrabaho sa mga kondisyon ng isang nakompromisong perimeter,
- nakakita ng matagumpay na pag-atake nang malapit sa real time, anuman ang mga tool at kahinaan na ginamit,
- ay hindi umaasa sa mga lagda/tuntunin/iskrip/patakaran/profile at iba pang hindi nagbabagong bagay,
- hindi nangangailangan ng malaking halaga ng data at ang kanilang mga mapagkukunan para sa pagsusuri,
- ay magbibigay-daan sa mga pag-atake na tukuyin hindi bilang isang uri ng risk-scoring bilang isang resulta ng gawain ng "ang pinakamahusay sa mundo, patented at samakatuwid ay sarado na matematika", na nangangailangan ng karagdagang pagsisiyasat, ngunit praktikal bilang isang binary na kaganapan - "Oo, kami ay inaatake" o "Hindi, lahat ay OK",
- ay pangkalahatan, mahusay na nasusukat at magagawang ipatupad sa anumang magkakaibang kapaligiran, anuman ang pisikal at lohikal na topology ng network na ginamit.
Ang tinatawag na mga solusyon sa panlilinlang ay nagpapaligsahan ngayon para sa papel ng naturang tool. Iyon ay, mga solusyon batay sa magandang lumang konsepto ng honeypots, ngunit may ganap na magkakaibang antas ng pagpapatupad. Ang paksang ito ay tiyak na tumataas ngayon.
Ayon sa mga resulta Ang mga solusyon sa panlilinlang ay kasama sa TOP 3 na mga diskarte at tool na inirerekomendang gamitin.
Ayon sa ulat Ang panlilinlang ay isa sa mga pangunahing direksyon ng pagbuo ng mga solusyon sa IDS Intrusion Detection Systems).
Isang buong seksyon ng huli , na nakatuon sa SCADA, ay batay sa data mula sa isa sa mga nangunguna sa market na ito, ang TrapX Security (Israel), ang solusyon nito ay nagtatrabaho sa aming lugar ng pagsubok sa loob ng isang taon.
Binibigyang-daan ka ng TrapX Deception Grid na gastusin at patakbuhin ang malawakang ipinamahagi na mga IDS sa gitna, nang hindi dinadagdagan ang pagkarga ng paglilisensya at mga kinakailangan para sa mga mapagkukunan ng hardware. Sa katunayan, ang TrapX ay isang constructor na nagbibigay-daan sa iyong lumikha mula sa mga elemento ng kasalukuyang imprastraktura ng IT ng isang malaking mekanismo para sa pag-detect ng mga pag-atake sa isang enterprise-wide scale, isang uri ng distributed network na "alarm."
Istruktura ng Solusyon
Sa aming laboratoryo kami ay patuloy na nag-aaral at sumusubok sa iba't ibang mga bagong produkto sa larangan ng IT security. Sa kasalukuyan, humigit-kumulang 50 iba't ibang virtual server ang naka-deploy dito, kabilang ang mga bahagi ng TrapX Deception Grid.
Kaya, mula sa itaas hanggang sa ibaba:
- Ang TSOC (TrapX Security Operation Console) ay ang utak ng system. Ito ang sentral na console ng pamamahala kung saan isinasagawa ang pagsasaayos, pag-deploy ng solusyon at lahat ng pang-araw-araw na operasyon. Dahil ito ay isang web service, maaari itong i-deploy kahit saan - sa perimeter, sa cloud o sa isang MSSP provider.
- Ang TrapX Appliance (TSA) ay isang virtual server kung saan kami kumokonekta, gamit ang trunk port, ang mga subnet na gusto naming saklawin ng pagsubaybay. Gayundin, ang lahat ng aming mga sensor ng network ay talagang "live" dito.
Ang aming lab ay may isang TSA na na-deploy (mwsapp1), ngunit sa katotohanan ay maaaring marami. Maaaring kailanganin ito sa malalaking network kung saan walang L2 connectivity sa pagitan ng mga segment (isang tipikal na halimbawa ay "Holding and subsidiaries" o "Bank head office and branches") o kung ang network ay may mga nakahiwalay na segment, halimbawa, mga automated na process control system. Sa bawat naturang sangay/segment, maaari mong i-deploy ang iyong sariling TSA at ikonekta ito sa isang TSOC, kung saan ang lahat ng impormasyon ay ipoproseso sa gitna. Binibigyang-daan ka ng arkitektura na ito na bumuo ng mga distributed monitoring system nang hindi kinakailangang baguhin nang radikal ang network o guluhin ang kasalukuyang segmentation.
Gayundin, maaari kaming magsumite ng kopya ng papalabas na trapiko sa TSA sa pamamagitan ng TAP/SPAN. Kung makakita kami ng mga koneksyon sa mga kilalang botnet, command at control server, o TOR session, matatanggap din namin ang resulta sa console. Ang Network Intelligence Sensor (NIS) ay responsable para dito. Sa aming kapaligiran, ang pagpapaandar na ito ay ipinatupad sa firewall, kaya hindi namin ito ginamit dito.
- Application Traps (Full OS) β tradisyonal na honeypots batay sa mga server ng Windows. Hindi mo kailangan ng marami sa kanila, dahil ang pangunahing layunin ng mga server na ito ay magbigay ng mga serbisyong IT sa susunod na layer ng mga sensor o makakita ng mga pag-atake sa mga application ng negosyo na maaaring i-deploy sa isang kapaligiran ng Windows. Mayroon kaming isang ganoong server na naka-install sa aming laboratoryo (FOS01)
- Ang mga emulated traps ay ang pangunahing bahagi ng solusyon, na nagbibigay-daan sa amin, gamit ang isang solong virtual machine, na lumikha ng isang napakasiksik na "minefield" para sa mga umaatake at mababad ang enterprise network, ang lahat ng mga vlan nito, sa aming mga sensor. Nakikita ng umaatake ang naturang sensor, o phantom host, bilang isang tunay na Windows PC o server, Linux server o iba pang device na nagpasya kaming ipakita sa kanya.
Para sa ikabubuti ng negosyo at para sa pag-usisa, nag-deploy kami ng "isang pares ng bawat nilalang" - Mga Windows PC at server ng iba't ibang bersyon, Linux server, ATM na may Windows embedded, SWIFT Web Access, network printer, Cisco switch, isang Axis IP camera, isang MacBook, PLC -device at kahit isang smart light bulb. Mayroong 13 host sa kabuuan. Sa pangkalahatan, inirerekomenda ng vendor ang pag-deploy ng mga naturang sensor sa halagang hindi bababa sa 10% ng bilang ng mga tunay na host. Ang itaas na bar ay ang available na address space.Ang isang napakahalagang punto ay ang bawat naturang host ay hindi isang ganap na virtual machine na nangangailangan ng mga mapagkukunan at lisensya. Ito ay isang decoy, emulation, isang proseso sa TSA, na mayroong isang set ng mga parameter at isang IP address. Samakatuwid, sa tulong ng kahit isang TSA, maaari nating mababad ang network ng daan-daang tulad ng mga phantom host, na gagana bilang mga sensor sa sistema ng alarma. Ang teknolohiyang ito ang nagbibigay-daan sa matipid na sukatin ang konsepto ng honeypot sa anumang malaking ipinamamahaging negosyo.
Mula sa pananaw ng isang umaatake, ang mga host na ito ay kaakit-akit dahil naglalaman ang mga ito ng mga kahinaan at mukhang medyo madaling mga target. Nakikita ng attacker ang mga serbisyo sa mga host na ito at maaaring makipag-ugnayan sa kanila at atakihin sila gamit ang mga karaniwang tool at protocol (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, atbp.). Ngunit imposibleng gamitin ang mga host na ito upang bumuo ng isang pag-atake o patakbuhin ang iyong sariling code.
- Ang kumbinasyon ng dalawang teknolohiyang ito (FullOS at emulated traps) ay nagbibigay-daan sa amin na makamit ang isang mataas na istatistikal na posibilidad na ang isang umaatake ay makakatagpo ng ilang elemento ng aming signaling network. Ngunit paano natin matitiyak na ang posibilidad na ito ay malapit sa 100%?
Ang tinatawag na mga token ng Deception ay pumasok sa labanan. Salamat sa kanila, maaari naming isama ang lahat ng umiiral na mga PC at server ng enterprise sa aming ipinamahagi na mga IDS. Ang mga token ay inilalagay sa mga tunay na PC ng mga gumagamit. Mahalagang maunawaan na ang mga token ay hindi mga ahente na kumukonsumo ng mga mapagkukunan at maaaring magdulot ng mga salungatan. Ang mga token ay mga passive na elemento ng impormasyon, isang uri ng "mga mumo ng tinapay" para sa panig na umaatake na humahantong dito sa isang bitag. Halimbawa, ang mga nakamapang network drive, mga bookmark sa mga pekeng web admin sa browser at naka-save na mga password para sa kanila, naka-save na ssh/rdp/winscp session, ang aming mga bitag na may mga komento sa mga file ng host, mga password na naka-save sa memorya, mga kredensyal ng mga hindi umiiral na user, opisina mga file, pagbubukas na magti-trigger sa system, at marami pang iba. Kaya, inilalagay namin ang umaatake sa isang baluktot na kapaligiran, puspos ng mga vector ng pag-atake na hindi talaga nagdudulot ng banta sa amin, ngunit sa halip ay ang kabaligtaran. At wala siyang paraan upang matukoy kung saan totoo ang impormasyon at kung saan ito mali. Kaya, hindi lamang namin tinitiyak ang mabilis na pagtuklas ng isang pag-atake, ngunit makabuluhang pinabagal din ang pag-unlad nito.
Isang halimbawa ng paggawa ng network trap at pag-set up ng mga token. Friendly interface at walang manu-manong pag-edit ng mga config, script, atbp.
Sa aming kapaligiran, nag-configure at naglagay kami ng ilang tulad na mga token sa FOS01 na nagpapatakbo ng Windows Server 2012R2 at isang pansubok na PC na nagpapatakbo ng Windows 7. Ang RDP ay tumatakbo sa mga makinang ito at pana-panahon naming "nakabitin" ang mga ito sa DMZ, kung saan ang ilan sa aming mga sensor (emulated traps) ay ipinapakita din. Kaya nakakakuha kami ng patuloy na daloy ng mga insidente, natural na magsalita.
Kaya, narito ang ilang mabilis na istatistika para sa taon:
56 β naitala ang mga insidente,
2 β natukoy ang mga host ng pinagmulan ng pag-atake.
Interactive, naki-click na mapa ng pag-atake
Kasabay nito, ang solusyon ay hindi bumubuo ng ilang uri ng mega-log o feed ng kaganapan, na tumatagal ng mahabang panahon upang maunawaan. Sa halip, ang solusyon mismo ay nag-uuri ng mga kaganapan ayon sa kanilang mga uri at nagbibigay-daan sa pangkat ng seguridad ng impormasyon na pangunahing tumuon sa mga pinaka-mapanganib - kapag sinubukan ng umaatake na itaas ang mga control session (interaksyon) o kapag lumitaw ang mga binary payload (impeksyon) sa aming trapiko.
Ang lahat ng impormasyon tungkol sa mga kaganapan ay nababasa at ipinakita, sa aking opinyon, sa isang madaling maunawaan na form kahit para sa isang gumagamit na may pangunahing kaalaman sa larangan ng seguridad ng impormasyon.
Karamihan sa mga naitalang insidente ay mga pagtatangka na i-scan ang aming mga host o iisang koneksyon.
O mga pagtatangka na i-brute force ang mga password para sa RDP
Ngunit mayroon ding mas kawili-wiling mga kaso, lalo na kapag ang mga umaatake ay "pinamamahalaan" na hulaan ang password para sa RDP at makakuha ng access sa lokal na network.
Sinusubukan ng isang attacker na magsagawa ng code gamit ang psexec.
Natagpuan ng attacker ang isang naka-save na session, na humantong sa kanya sa isang bitag sa anyo ng isang server ng Linux. Kaagad pagkatapos kumonekta, gamit ang isang paunang inihanda na hanay ng mga utos, sinubukan nitong sirain ang lahat ng mga log file at kaukulang mga variable ng system.
Sinusubukan ng isang attacker na magsagawa ng SQL injection sa isang honeypot na ginagaya ang SWIFT Web Access.
Bilang karagdagan sa mga naturang "natural" na pag-atake, nagsagawa din kami ng ilang sariling mga pagsubok. Ang isa sa mga pinaka-nagsisiwalat ay ang pagsubok sa oras ng pagtuklas ng isang network worm sa isang network. Upang gawin ito gumamit kami ng isang tool mula sa GuardiCore na tinatawag . Ito ay isang network worm na maaaring mag-hijack ng Windows at Linux, ngunit walang anumang "payload".
Nag-deploy kami ng lokal na command center, inilunsad ang unang instance ng worm sa isa sa mga machine, at natanggap ang unang alerto sa TrapX console sa wala pang isang minuto at kalahati. TTD 90 segundo kumpara sa 106 araw sa average...
Salamat sa kakayahang magsama sa iba pang mga klase ng mga solusyon, maaari tayong lumipat mula sa mabilis na pagtuklas ng mga banta hanggang sa awtomatikong pagtugon sa mga ito.
Halimbawa, ang pagsasama sa mga sistema ng NAC (Network Access Control) o sa CarbonBlack ay magbibigay-daan sa iyong awtomatikong idiskonekta ang mga nakompromisong PC mula sa network.
Ang pagsasama sa mga sandbox ay nagbibigay-daan sa mga file na kasangkot sa isang pag-atake na awtomatikong maisumite para sa pagsusuri.
Pagsasama ng McAfee
Ang solusyon ay mayroon ding sarili nitong built-in na event correlation system.
Ngunit hindi kami nasiyahan sa mga kakayahan nito, kaya isinama namin ito sa HP ArcSight.
Ang built-in na ticketing system ay tumutulong sa buong mundo na makayanan ang mga nakitang banta.
Dahil ang solusyon ay binuo "mula sa simula" para sa mga pangangailangan ng mga ahensya ng gobyerno at isang malaking corporate segment, natural itong nagpapatupad ng isang role-based na access model, integration sa AD, isang binuo na sistema ng mga ulat at trigger (mga alerto sa kaganapan), orchestration para sa malalaking holding structure o MSSP provider.
Sa halip na isang resume
Kung mayroong tulad ng isang sistema ng pagsubaybay, na, sa makasagisag na pagsasalita, ay sumasakop sa aming likod, pagkatapos ay sa kompromiso ng perimeter ang lahat ay nagsisimula pa lamang. Ang pinakamahalagang bagay ay mayroong isang tunay na pagkakataon upang harapin ang mga insidente sa seguridad ng impormasyon, at hindi upang harapin ang kanilang mga kahihinatnan.
Pinagmulan: www.habr.com