(başlık fikri için Sergey G. Brester'a teşekkürler )
Meslektaşlarım, bu makalenin amacı Aldatma teknolojilerine dayanan yeni bir IDS çözümleri sınıfının bir yıllık test operasyonu deneyimini paylaşmaktır.
Materyalin sunumunun mantıksal tutarlılığını korumak için öncüllerle başlamanın gerekli olduğunu düşünüyorum. Yani sorun:
- Hedefli saldırılar, toplam tehdit sayısı içindeki payı az olmasına rağmen en tehlikeli saldırı türüdür.
- Çevreyi korumanın garantili etkili bir yolu (veya bu tür bir dizi araç) henüz icat edilmedi.
- Kural olarak hedefli saldırılar birkaç aşamada gerçekleşir. Çevreyi aşmak, ilk aşamalardan yalnızca bir tanesidir ve bu (bana taş atabilirsiniz), elbette bir DEoS (Hizmetin imhası) saldırısı (şifreleyiciler vb.) olmadığı sürece "kurban" a çok fazla zarar vermez. .). Gerçek "acı" daha sonra, ele geçirilen varlıklar bir "derinlik" saldırısının döndürülmesi ve geliştirilmesi için kullanılmaya başladığında başlıyor ve biz bunu fark etmedik.
- Saldırganlar nihayet saldırı hedeflerine (uygulama sunucuları, DBMS, veri ambarları, depolar, kritik altyapı elemanları) ulaştığında gerçek kayıplar yaşamaya başladığımızdan, bilgi güvenliği hizmetinin görevlerinden birinin saldırıları önceden engellemek olması mantıklıdır. bu üzücü olay. Ancak bir şeyi kesintiye uğratmak için önce onu öğrenmelisiniz. Ve ne kadar erken olursa o kadar iyi.
- Buna göre, başarılı risk yönetimi (yani hedefli saldırılardan kaynaklanan hasarın azaltılması) için, minimum TTD'yi (tespit süresi - izinsiz giriş anından saldırının tespit edildiği ana kadar geçen süre) sağlayacak araçlara sahip olmak kritik öneme sahiptir. Sektöre ve bölgeye göre bu süre ortalama olarak ABD'de 99 gün, EMEA bölgesinde 106 gün, APAC bölgesinde ise 172 gündür (M-Trends 2017, A View From the Front Lines, Mandiant).
- Piyasa ne sunuyor?
- "Korumalı alanlar". İdeal olmaktan uzak başka bir önleyici kontrol. Korumalı alanları veya beyaz listeye alma çözümlerini tespit etmek ve atlamak için birçok etkili teknik vardır. “Karanlık tarafın” adamları burada hala bir adım önde.
- UEBA (davranışın profilini çıkarmaya ve sapmaları tanımlamaya yönelik sistemler) teorik olarak çok etkili olabilir. Ancak bana göre bu uzak bir gelecekte olacak. Uygulamada bu hala çok pahalıdır, güvenilmezdir ve davranışsal analiz için veri üretecek tüm araçlara zaten sahip olan çok olgun ve istikrarlı bir BT ve bilgi güvenliği altyapısı gerektirir.
- SIEM araştırmalar için iyi bir araçtır ancak korelasyon kuralları imzalarla aynı olduğundan yeni ve orijinal bir şeyi zamanında görüp gösterememektedir.
- Sonuç olarak, şunları yapabilecek bir araca ihtiyaç vardır:
- zaten tehlikeye atılmış bir çevre koşullarında başarılı bir şekilde çalıştı,
- Kullanılan araçlara ve güvenlik açıklarına bakılmaksızın başarılı saldırıları neredeyse gerçek zamanlı olarak tespit etti,
- imzalara/kurallara/komut dosyalarına/politikalara/profillere ve diğer statik şeylere bağlı değildi,
- Analiz için büyük miktarda veriye ve bunların kaynaklarına ihtiyaç duyulmaması,
- saldırıların, ek araştırma gerektiren “dünyanın en iyisi, patentli ve dolayısıyla kapalı matematiğinin” çalışması sonucunda bir tür risk puanlaması olarak değil, pratikte ikili bir olay olarak tanımlanmasına olanak tanıyacak - “Evet, Saldırıya uğruyoruz” veya “Hayır, her şey yolunda”,
- kullanılan fiziksel ve mantıksal ağ topolojisine bakılmaksızın evrenseldi, verimli bir şekilde ölçeklenebilirdi ve her türlü heterojen ortamda uygulanması mümkündü.
Aldatma çözümleri olarak adlandırılan çözümler artık böyle bir aracın rolü için yarışıyor. Yani, eski güzel bal küpü konseptine dayanan, ancak tamamen farklı bir uygulama düzeyine sahip çözümler. Bu konu artık kesinlikle yükselişte.
Sonuçlara göre Aldatma çözümleri kullanılması önerilen ilk 3 strateji ve araç arasında yer almaktadır.
Rapora göre Aldatma, IDS Saldırı Tespit Sistemleri) çözümlerinin geliştirilmesinin ana yönlerinden biridir.
İkincisinin bütün bir bölümü SCADA'ya özel, çözümü bir yıldır test alanımızda çalışan, bu pazarın liderlerinden biri olan TrapX Security'nin (İsrail) verilerine dayanmaktadır.
TrapX Deception Grid, lisanslama yükünü ve donanım kaynakları gereksinimlerini artırmadan, büyük miktarda dağıtılmış IDS'nin maliyetini ve merkezi olarak yönetilmesini sağlar. Aslında TrapX, mevcut BT altyapısının öğelerinden, kuruluş çapındaki saldırıları tespit etmek için büyük bir mekanizma, bir tür dağıtılmış ağ "alarmı" oluşturmanıza olanak tanıyan bir kurucudur.
Çözüm Yapısı
Laboratuvarımızda sürekli olarak BT güvenliği alanındaki çeşitli yeni ürünleri inceliyor ve test ediyoruz. Şu anda TrapX Deception Grid bileşenleri de dahil olmak üzere yaklaşık 50 farklı sanal sunucu burada konuşlandırılmış durumda.
Yani yukarıdan aşağıya:
- TSOC (TrapX Güvenlik Operasyon Konsolu) sistemin beynidir. Bu, çözümün yapılandırılması, devreye alınması ve tüm günlük operasyonların gerçekleştirildiği merkezi yönetim konsoludur. Bu bir web hizmeti olduğundan çevrede, bulutta veya bir MSSP sağlayıcısında herhangi bir yere dağıtılabilir.
- TrapX Appliance (TSA), izlemeyle kapsamak istediğimiz alt ağlara trunk portunu kullanarak bağlandığımız sanal bir sunucudur. Ayrıca tüm ağ sensörlerimiz aslında burada "yaşıyor".
Laboratuvarımızda konuşlandırılmış bir TSA var (mwsapp1), ancak gerçekte çok sayıda olabilir. Bu, bölümler arasında L2 bağlantısının olmadığı büyük ağlarda gerekli olabilir (tipik bir örnek, "Holding ve bağlı ortaklıklar" veya "Banka genel merkezi ve şubeleridir") veya ağda, örneğin otomatik süreç kontrol sistemleri gibi izole bölümler varsa, bu gerekli olabilir. Bu tür dalların/segmentlerin her birinde, kendi TSA'nızı dağıtabilir ve onu, tüm bilgilerin merkezi olarak işleneceği tek bir TSOC'ye bağlayabilirsiniz. Bu mimari, ağı kökten yeniden yapılandırmaya veya mevcut bölümlendirmeyi bozmaya gerek kalmadan dağıtılmış izleme sistemleri oluşturmanıza olanak tanır.
Ayrıca giden trafiğin bir kopyasını TAP/SPAN aracılığıyla TSA'ya gönderebiliriz. Bilinen botnet'lerle, komut ve kontrol sunucularıyla veya TOR oturumlarıyla bağlantılar tespit edersek sonucu konsolda da alırız. Bundan Ağ Zekası Sensörü (NIS) sorumludur. Bizim ortamımızda bu işlevsellik güvenlik duvarında uygulandığından burada kullanmadık.
- Uygulama Tuzakları (Tam İşletim Sistemi) – Windows sunucularını temel alan geleneksel bal küpleri. Bu sunucuların asıl amacı bir sonraki sensör katmanına BT hizmetleri sağlamak veya Windows ortamında konuşlandırılabilecek iş uygulamalarına yönelik saldırıları tespit etmek olduğundan bunların çoğuna ihtiyacınız yoktur. Laboratuvarımızda böyle bir sunucu kuruludur (FOS01)
- Öykünülmüş tuzaklar, tek bir sanal makine kullanarak saldırganlar için çok yoğun bir "mayın tarlası" oluşturmamıza ve kurumsal ağı, tüm vlan'larını sensörlerimizle doldurmamıza olanak tanıyan çözümün ana bileşenidir. Saldırgan böyle bir sensörü veya hayalet ana bilgisayarı, gerçek bir Windows PC'si veya sunucusu, Linux sunucusu veya ona göstermeye karar verdiğimiz başka bir cihaz olarak görür.
İşin iyiliği ve merak uğruna, "her yaratıktan bir çift" dağıttık - Windows PC'ler ve çeşitli sürümlerdeki sunucular, Linux sunucuları, Windows yerleşik bir ATM, SWIFT Web Erişimi, bir ağ yazıcısı, bir Cisco anahtar, bir Axis IP kamera, bir MacBook, PLC cihazı ve hatta bir akıllı ampul. Toplamda 13 ana bilgisayar var. Genel olarak satıcı, bu tür sensörlerin gerçek ana bilgisayar sayısının en az %10'u oranında dağıtılmasını önerir. Üstteki çubuk kullanılabilir adres alanıdır.Çok önemli bir nokta, bu tür ana bilgisayarların her birinin, kaynak ve lisans gerektiren tam teşekküllü bir sanal makine olmamasıdır. Bu, TSA'da bir dizi parametreye ve bir IP adresine sahip olan bir tuzak, öykünme ve tek bir süreçtir. Bu nedenle, bir TSA'nın bile yardımıyla ağı, alarm sisteminde sensör olarak çalışacak bu tür yüzlerce hayalet ana bilgisayarla doyurabiliriz. Balküpü konseptini herhangi bir büyük dağıtılmış kuruluşta uygun maliyetli bir şekilde ölçeklendirmeyi mümkün kılan da bu teknolojidir.
Saldırganın bakış açısından bu ana bilgisayarlar, güvenlik açıkları içerdikleri ve nispeten kolay hedefler gibi göründükleri için çekicidir. Saldırgan bu ana bilgisayarlardaki hizmetleri görür ve onlarla etkileşime girebilir ve standart araç ve protokolleri (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus vb.) kullanarak onlara saldırabilir. Ancak bu ana bilgisayarları bir saldırı geliştirmek veya kendi kodunuzu çalıştırmak için kullanmak imkansızdır.
- Bu iki teknolojinin (FullOS ve taklit tuzaklar) birleşimi, bir saldırganın er ya da geç sinyal ağımızın bazı unsurlarıyla karşılaşacağı yönünde yüksek istatistiksel olasılık elde etmemizi sağlar. Peki bu olasılığın %100'e yakın olduğundan nasıl emin olabiliriz?
Sözde Aldatma jetonları savaşa giriyor. Onlar sayesinde işletmenin mevcut tüm bilgisayarlarını ve sunucularını dağıtılmış IDS'imize dahil edebiliyoruz. Tokenlar kullanıcıların gerçek bilgisayarlarına yerleştirilir. Tokenların kaynakları tüketen ve çatışmalara neden olabilecek aracılar olmadığını anlamak önemlidir. Jetonlar, saldıran taraf için onu tuzağa düşüren bir tür "kırıntı" olan pasif bilgi unsurlarıdır. Örneğin, eşlenen ağ sürücüleri, tarayıcıdaki sahte web yöneticilerinin yer imleri ve onlar için kayıtlı şifreler, kayıtlı ssh/rdp/winscp oturumları, ana bilgisayar dosyalarındaki yorumları içeren tuzaklarımız, belleğe kaydedilen şifreler, var olmayan kullanıcıların kimlik bilgileri, ofis sistemi tetikleyecek dosyalar ve çok daha fazlası. Böylece saldırganı, bizim için aslında tehdit oluşturmayan, aksine tam tersi olan saldırı vektörleriyle doymuş, çarpık bir ortama yerleştiririz. Ve bilginin nerede doğru, nerede yanlış olduğunu belirlemenin hiçbir yolu yok. Böylece bir saldırının hızlı bir şekilde tespit edilmesini sağlamakla kalmıyor, aynı zamanda ilerlemesini de önemli ölçüde yavaşlatıyoruz.
Ağ tuzağı oluşturma ve belirteçleri ayarlama örneği. Kullanıcı dostu arayüz ve yapılandırmaların, komut dosyalarının vb. manuel olarak düzenlenmesi gerekmez.
Ortamımızda, Windows Server 01R2012 çalıştıran FOS2'e ve Windows 7 çalıştıran bir test bilgisayarına bu tür tokenleri yapılandırdık ve yerleştirdik. RDP bu makinelerde çalışıyor ve bunları periyodik olarak bazı sensörlerimizin bulunduğu DMZ'ye "asıyoruz". (benzetilmiş tuzaklar) da görüntülenir. Yani doğal olarak tabiri caizse sürekli bir olay akışıyla karşılaşıyoruz.
İşte bu yıl için bazı hızlı istatistikler:
56 – olay kaydedildi,
2 – saldırı kaynağı ana bilgisayarları tespit edildi.
Etkileşimli, tıklanabilir saldırı haritası
Aynı zamanda çözüm, anlaşılması uzun zaman alan bir tür mega-log veya olay akışı oluşturmuyor. Bunun yerine, çözümün kendisi olayları türlerine göre sınıflandırır ve bilgi güvenliği ekibinin öncelikle en tehlikeli olanlara (saldırganın kontrol oturumlarını artırmaya çalıştığında (etkileşim) veya trafiğimizde ikili veriler (bulaşma) göründüğünde) odaklanmasına olanak tanır.
Olaylara ilişkin tüm bilgiler, bence bilgi güvenliği alanında temel bilgiye sahip bir kullanıcı için bile anlaşılması kolay bir biçimde okunabilir ve sunulmaktadır.
Kaydedilen olayların çoğu, ana bilgisayarlarımızı veya tekli bağlantılarımızı tarama girişimleridir.
Veya RDP için kaba kuvvet şifrelerini denemeye çalışır
Ancak, özellikle saldırganların RDP şifresini tahmin etmeyi ve yerel ağa erişim sağlamayı "başardıkları" daha ilginç durumlar da vardı.
Saldırgan psexec kullanarak kod yürütmeye çalışır.
Saldırgan, kendisini Linux sunucusu biçimindeki bir tuzağa düşüren kayıtlı bir oturum buldu. Bağlandıktan hemen sonra, önceden hazırlanmış bir dizi komutla tüm günlük dosyalarını ve ilgili sistem değişkenlerini yok etmeye çalıştı.
Saldırgan, SWIFT Web Erişimini taklit eden bir bal küpü üzerinde SQL enjeksiyonu gerçekleştirmeye çalışır.
Bu tür “doğal” saldırıların yanı sıra kendi testlerimizi de gerçekleştirdik. En açıklayıcı yöntemlerden biri ağdaki bir ağ solucanının tespit süresinin test edilmesidir. Bunu yapmak için GuardiCore'un adlı bir aracını kullandık. . Bu, Windows ve Linux'u ele geçirebilen ancak herhangi bir "veri yükü" olmayan bir ağ solucanıdır.
Yerel bir komuta merkezi kurduk, solucanın ilk örneğini makinelerden birinde başlattık ve bir buçuk dakikadan kısa bir süre içinde TrapX konsolundaki ilk uyarıyı aldık. TTD 90 saniyeye karşılık ortalama 106 gün...
Diğer çözüm sınıflarıyla entegrasyon yeteneği sayesinde, tehditleri hızlı bir şekilde tespit etmekten, onlara otomatik olarak yanıt vermeye geçebiliyoruz.
Örneğin, NAC (Ağ Erişim Kontrolü) sistemleriyle veya CarbonBlack ile entegrasyon, güvenliği ihlal edilmiş bilgisayarların ağ bağlantısını otomatik olarak kesmenize olanak tanır.
Korumalı alanlarla entegrasyon, saldırıya dahil olan dosyaların analiz için otomatik olarak gönderilmesine olanak tanır.
McAfee entegrasyonu
Çözüm ayrıca kendi yerleşik olay korelasyon sistemine de sahiptir.
Ancak yeteneklerinden memnun olmadığımız için onu HP ArcSight ile entegre ettik.
Yerleşik biletleme sistemi, tüm dünyanın tespit edilen tehditlerle başa çıkmasına yardımcı olur.
Çözüm, devlet kurumlarının ve büyük bir kurumsal segmentin ihtiyaçları için "başlangıçtan itibaren" geliştirildiğinden, doğal olarak rol tabanlı bir erişim modeli, AD ile entegrasyon, gelişmiş bir rapor ve tetikleyici sistemi (olay uyarıları), büyük holding yapıları veya MSSP sağlayıcıları.
Özgeçmiş yerine
Mecazi anlamda sırtımızı örten böyle bir izleme sistemi varsa, o zaman çevreden ödün verilmesiyle her şey daha yeni başlıyor. En önemli şey, bilgi güvenliği olaylarıyla başa çıkmak ve sonuçlarıyla uğraşmak için gerçek bir fırsatın olmasıdır.
Kaynak: habr.com