(cảm ơn Sergey G. Brester về ý tưởng tiêu đề )
Các đồng nghiệp, mục đích của bài viết này là chia sẻ kinh nghiệm vận hành thử nghiệm kéo dài một năm của một loại giải pháp IDS mới dựa trên công nghệ Deception.
Để duy trì sự mạch lạc hợp lý trong việc trình bày tài liệu, tôi cho rằng cần phải bắt đầu từ các tiền đề. Vì vậy, vấn đề:
- Các cuộc tấn công có mục tiêu là loại tấn công nguy hiểm nhất, mặc dù thực tế là tỷ lệ của chúng trong tổng số các mối đe dọa là rất nhỏ.
- Chưa có phương tiện bảo vệ hiệu quả nào được đảm bảo chu vi (hoặc một bộ phương tiện như vậy) vẫn chưa được phát minh.
- Theo quy định, các cuộc tấn công có mục tiêu diễn ra trong nhiều giai đoạn. Vượt qua vòng ngoài chỉ là một trong những giai đoạn ban đầu, giai đoạn này (bạn có thể ném đá vào tôi) không gây ra nhiều thiệt hại cho “nạn nhân”, tất nhiên trừ khi đó là cuộc tấn công DEoS (Phá hủy dịch vụ) (bộ mã hóa, v.v. .). “Nỗi đau” thực sự bắt đầu sau đó, khi tài sản bị bắt bắt đầu được sử dụng để xoay vòng và phát triển một cuộc tấn công “chiều sâu” và chúng tôi đã không nhận thấy điều này.
- Vì chúng ta bắt đầu chịu tổn thất thực sự khi những kẻ tấn công cuối cùng cũng tiếp cận được mục tiêu của cuộc tấn công (máy chủ ứng dụng, DBMS, kho dữ liệu, kho lưu trữ, các thành phần cơ sở hạ tầng quan trọng), nên hợp lý là một trong những nhiệm vụ của dịch vụ bảo mật thông tin là làm gián đoạn các cuộc tấn công trước đó. sự kiện đau buồn này. Nhưng để làm gián đoạn một việc gì đó, trước tiên bạn phải tìm hiểu về nó. Và càng sớm càng tốt.
- Theo đó, để quản lý rủi ro thành công (nghĩa là giảm thiệt hại từ các cuộc tấn công có mục tiêu), điều quan trọng là phải có các công cụ cung cấp TTD tối thiểu (thời gian phát hiện - thời gian từ thời điểm xâm nhập đến thời điểm phát hiện cuộc tấn công). Tùy thuộc vào ngành và khu vực, khoảng thời gian này trung bình là 99 ngày ở Hoa Kỳ, 106 ngày ở khu vực EMEA, 172 ngày ở khu vực APAC (M-Trends 2017, A View From the Front Lines, Mandiant).
- Thị trường cung cấp những gì?
- "Hộp cát". Một biện pháp kiểm soát phòng ngừa khác không còn lý tưởng nữa. Có nhiều kỹ thuật hiệu quả để phát hiện và vượt qua hộp cát hoặc giải pháp đưa vào danh sách trắng. Những kẻ đến từ “bóng tối” vẫn đi trước một bước ở đây.
- UEBA (hệ thống lập hồ sơ hành vi và xác định sai lệch) - về mặt lý thuyết, có thể rất hiệu quả. Nhưng theo tôi, điều này là ở một thời điểm nào đó trong tương lai xa. Trên thực tế, điều này vẫn rất tốn kém, không đáng tin cậy và đòi hỏi cơ sở hạ tầng bảo mật thông tin và CNTT rất hoàn thiện và ổn định, vốn đã có tất cả các công cụ sẽ tạo ra dữ liệu để phân tích hành vi.
- SIEM là một công cụ tốt để điều tra, nhưng nó không thể xem và hiển thị nội dung mới và nguyên bản một cách kịp thời vì các quy tắc tương quan giống như chữ ký.
- Do đó, cần có một công cụ có thể:
- đã hoạt động thành công trong điều kiện chu vi đã bị xâm phạm,
- đã phát hiện các cuộc tấn công thành công trong thời gian gần như thực, bất kể các công cụ và lỗ hổng được sử dụng,
- không phụ thuộc vào chữ ký/quy tắc/tập lệnh/chính sách/hồ sơ và những thứ tĩnh khác,
- không yêu cầu lượng lớn dữ liệu và nguồn của chúng để phân tích,
- sẽ cho phép các cuộc tấn công được xác định không phải là một loại tính điểm rủi ro nào đó do kết quả của công việc "tốt nhất trên thế giới, được cấp bằng sáng chế và do đó toán học khép kín", đòi hỏi phải điều tra bổ sung, nhưng thực tế là một sự kiện nhị phân - "Có, chúng tôi đang bị tấn công” hoặc “Không, mọi thứ đều ổn”,
- là phổ quát, có thể mở rộng hiệu quả và khả thi để triển khai trong mọi môi trường không đồng nhất, bất kể cấu trúc liên kết mạng vật lý và logic được sử dụng.
Cái gọi là giải pháp lừa dối hiện đang tranh giành vai trò của một công cụ như vậy. Nghĩa là, các giải pháp dựa trên khái niệm cũ về honeypots, nhưng với mức độ triển khai hoàn toàn khác. Chủ đề này chắc chắn đang gia tăng bây giờ.
theo như kết quả Các giải pháp lừa đảo nằm trong TOP 3 chiến lược và công cụ được khuyến khích sử dụng.
Theo bảng báo cáo Lừa dối là một trong những hướng phát triển chính của giải pháp Hệ thống phát hiện xâm nhập IDS.
Toàn bộ phần sau , dành riêng cho SCADA, dựa trên dữ liệu từ một trong những công ty dẫn đầu thị trường này, TrapX Security (Israel), giải pháp của giải pháp này đã hoạt động trong khu vực thử nghiệm của chúng tôi được một năm.
TrapX Deception Grid cho phép bạn tính chi phí và vận hành IDS được phân phối ồ ạt một cách tập trung mà không làm tăng tải cấp phép và yêu cầu về tài nguyên phần cứng. Trên thực tế, TrapX là một công cụ xây dựng cho phép bạn tạo từ các thành phần của cơ sở hạ tầng CNTT hiện có một cơ chế lớn để phát hiện các cuộc tấn công trên quy mô toàn doanh nghiệp, một loại “báo động” mạng phân tán.
Cấu trúc giải pháp
Trong phòng thí nghiệm của mình, chúng tôi liên tục nghiên cứu và thử nghiệm nhiều sản phẩm mới trong lĩnh vực bảo mật CNTT. Hiện tại, có khoảng 50 máy chủ ảo khác nhau được triển khai tại đây, bao gồm các thành phần TrapX Deception Grid.
Vì vậy, từ trên xuống dưới:
- TSOC (Bảng điều khiển hoạt động bảo mật TrapX) là bộ não của hệ thống. Đây là bảng điều khiển quản lý trung tâm, qua đó việc cấu hình, triển khai giải pháp và tất cả các hoạt động hàng ngày được thực hiện. Vì đây là dịch vụ web nên nó có thể được triển khai ở mọi nơi - trên phạm vi ngoại vi, trên đám mây hoặc tại nhà cung cấp MSSP.
- Công cụ TrapX (TSA) là một máy chủ ảo mà chúng tôi kết nối, sử dụng cổng trung kế, các mạng con mà chúng tôi muốn giám sát. Ngoài ra, tất cả các cảm biến mạng của chúng tôi thực sự “sống” ở đây.
Phòng thí nghiệm của chúng tôi đã triển khai một TSA (mwsapp1), nhưng trên thực tế có thể có nhiều TSA. Điều này có thể cần thiết trong các mạng lớn, nơi không có kết nối L2 giữa các phân đoạn (ví dụ điển hình là “Tập đoàn và công ty con” hoặc “Trụ sở chính và chi nhánh ngân hàng”) hoặc nếu mạng có các phân đoạn biệt lập, chẳng hạn như hệ thống kiểm soát quy trình tự động. Trong mỗi nhánh/phân đoạn như vậy, bạn có thể triển khai TSA của riêng mình và kết nối nó với một TSOC duy nhất, nơi tất cả thông tin sẽ được xử lý tập trung. Kiến trúc này cho phép bạn xây dựng các hệ thống giám sát phân tán mà không cần phải cơ cấu lại mạng một cách triệt để hoặc làm gián đoạn quá trình phân đoạn hiện có.
Ngoài ra, chúng tôi có thể gửi bản sao lưu lượng truy cập đi tới TSA qua TAP/SPAN. Nếu chúng tôi phát hiện các kết nối với các botnet, máy chủ ra lệnh và kiểm soát hoặc phiên TOR đã biết, chúng tôi cũng sẽ nhận được kết quả trong bảng điều khiển. Network Intelligence Sensor (NIS) chịu trách nhiệm cho việc này. Trong môi trường của chúng tôi, chức năng này được triển khai trên tường lửa nên chúng tôi không sử dụng nó ở đây.
- Bẫy ứng dụng (Hệ điều hành đầy đủ) – honeypot truyền thống dựa trên máy chủ Windows. Bạn không cần nhiều máy chủ vì mục đích chính của những máy chủ này là cung cấp dịch vụ CNTT cho lớp cảm biến tiếp theo hoặc phát hiện các cuộc tấn công vào các ứng dụng kinh doanh có thể được triển khai trong môi trường Windows. Chúng tôi có một máy chủ như vậy được cài đặt trong phòng thí nghiệm của chúng tôi (FOS01)
- Bẫy mô phỏng là thành phần chính của giải pháp, cho phép chúng tôi, bằng cách sử dụng một máy ảo duy nhất, tạo ra một “bãi mìn” rất dày đặc cho những kẻ tấn công và làm bão hòa mạng doanh nghiệp, tất cả các vlan của nó, bằng các cảm biến của chúng tôi. Kẻ tấn công coi cảm biến hoặc máy chủ ảo như một PC hoặc máy chủ Windows thực, máy chủ Linux hoặc thiết bị khác mà chúng tôi quyết định cho hắn xem.
Vì lợi ích kinh doanh và vì sự tò mò, chúng tôi đã triển khai “mỗi sinh vật một cặp” - PC Windows và máy chủ thuộc nhiều phiên bản khác nhau, máy chủ Linux, máy ATM có tích hợp Windows, SWIFT Web Access, máy in mạng, Cisco switch, camera Axis IP, MacBook, thiết bị PLC và thậm chí cả bóng đèn thông minh. Tổng cộng có 13 máy chủ. Nói chung, nhà cung cấp khuyến nghị triển khai các cảm biến như vậy với số lượng ít nhất là 10% số lượng máy chủ thực. Thanh trên cùng là không gian địa chỉ có sẵn.Một điểm rất quan trọng là mỗi máy chủ như vậy không phải là một máy ảo chính thức yêu cầu tài nguyên và giấy phép. Đây là một mồi nhử, mô phỏng, một quy trình trên TSA, có một tập hợp các tham số và địa chỉ IP. Do đó, với sự trợ giúp của dù chỉ một TSA, chúng ta có thể bão hòa mạng với hàng trăm máy chủ ảo như vậy, chúng sẽ hoạt động như các cảm biến trong hệ thống báo động. Chính công nghệ này giúp có thể mở rộng quy mô khái niệm honeypot một cách hiệu quả về mặt chi phí trên bất kỳ doanh nghiệp phân tán lớn nào.
Từ quan điểm của kẻ tấn công, những máy chủ này rất hấp dẫn vì chúng chứa các lỗ hổng và dường như là mục tiêu tương đối dễ dàng. Kẻ tấn công nhìn thấy các dịch vụ trên các máy chủ này và có thể tương tác với chúng cũng như tấn công chúng bằng các công cụ và giao thức tiêu chuẩn (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, v.v.). Nhưng không thể sử dụng các máy chủ này để phát triển cuộc tấn công hoặc chạy mã của riêng bạn.
- Sự kết hợp của hai công nghệ này (FullOS và bẫy mô phỏng) cho phép chúng tôi đạt được xác suất thống kê cao rằng kẻ tấn công sớm hay muộn sẽ gặp phải một số thành phần trong mạng tín hiệu của chúng tôi. Nhưng làm thế nào chúng ta có thể chắc chắn rằng xác suất này là gần 100%?
Cái gọi là mã thông báo lừa dối tham gia vào trận chiến. Nhờ họ, chúng tôi có thể đưa tất cả các PC và máy chủ hiện có của doanh nghiệp vào IDS phân tán của mình. Token được đặt trên máy tính thật của người dùng. Điều quan trọng là phải hiểu rằng mã thông báo không phải là tác nhân tiêu tốn tài nguyên và có thể gây ra xung đột. Mã thông báo là các yếu tố thông tin thụ động, một loại “mẩu bánh mì” cho bên tấn công dẫn họ vào bẫy. Ví dụ: ánh xạ ổ đĩa mạng, dấu trang tới quản trị viên web giả mạo trong trình duyệt và lưu mật khẩu cho họ, phiên ssh/rdp/winscp đã lưu, bẫy của chúng tôi với nhận xét trong tệp máy chủ, mật khẩu được lưu trong bộ nhớ, thông tin đăng nhập của người dùng không tồn tại, văn phòng các tập tin, việc mở sẽ kích hoạt hệ thống và hơn thế nữa. Do đó, chúng tôi đặt kẻ tấn công vào một môi trường méo mó, bão hòa với các vectơ tấn công không thực sự gây ra mối đe dọa cho chúng tôi mà ngược lại. Và anh ta không có cách nào để xác định thông tin nào là đúng và thông tin nào là sai. Do đó, chúng tôi không chỉ đảm bảo phát hiện nhanh cuộc tấn công mà còn làm chậm đáng kể tiến trình của nó.
Một ví dụ về tạo bẫy mạng và thiết lập mã thông báo. Giao diện thân thiện và không cần chỉnh sửa thủ công các cấu hình, tập lệnh, v.v.
Trong môi trường của chúng tôi, chúng tôi đã định cấu hình và đặt một số mã thông báo như vậy trên FOS01 chạy Windows Server 2012R2 và một PC thử nghiệm chạy Windows 7. RDP đang chạy trên các máy này và chúng tôi định kỳ “treo” chúng trong DMZ, nơi có một số cảm biến của chúng tôi. (bẫy mô phỏng) cũng được hiển thị. Vì vậy, có thể nói, chúng ta liên tục gặp phải một loạt các sự cố.
Vì vậy, đây là một số thống kê nhanh trong năm:
56 – sự cố được ghi nhận,
2 – phát hiện máy chủ nguồn tấn công.
Bản đồ tấn công tương tác, có thể nhấp
Đồng thời, giải pháp không tạo ra một số loại nguồn cấp dữ liệu sự kiện hoặc nhật ký lớn, điều này cần nhiều thời gian để hiểu. Thay vào đó, giải pháp tự phân loại các sự kiện theo loại của chúng và cho phép nhóm bảo mật thông tin tập trung chủ yếu vào những sự kiện nguy hiểm nhất - khi kẻ tấn công cố gắng tăng phiên kiểm soát (tương tác) hoặc khi tải trọng nhị phân (lây nhiễm) xuất hiện trong lưu lượng truy cập của chúng tôi.
Theo tôi, tất cả thông tin về các sự kiện đều có thể đọc được và trình bày ở dạng dễ hiểu ngay cả đối với người dùng có kiến thức cơ bản trong lĩnh vực bảo mật thông tin.
Hầu hết các sự cố được ghi lại là các nỗ lực quét máy chủ của chúng tôi hoặc các kết nối đơn lẻ.
Hoặc cố gắng đánh cắp mật khẩu cho RDP
Nhưng cũng có những trường hợp thú vị hơn, đặc biệt là khi kẻ tấn công “đoán được” mật khẩu của RDP và giành quyền truy cập vào mạng cục bộ.
Kẻ tấn công cố gắng thực thi mã bằng psexec.
Kẻ tấn công đã tìm thấy một phiên đã lưu, khiến hắn rơi vào bẫy dưới dạng máy chủ Linux. Ngay sau khi kết nối, bằng một bộ lệnh được chuẩn bị trước, nó đã cố gắng phá hủy tất cả các tệp nhật ký và các biến hệ thống tương ứng.
Kẻ tấn công cố gắng thực hiện chèn SQL vào honeypot bắt chước SWIFT Web Access.
Ngoài những cuộc tấn công “tự nhiên” như vậy, chúng tôi còn tiến hành một số thử nghiệm của riêng mình. Một trong những điều đáng chú ý nhất là việc kiểm tra thời gian phát hiện sâu mạng trên mạng. Để làm điều này, chúng tôi đã sử dụng một công cụ của GuardiCore có tên là . Đây là một loại sâu mạng có thể chiếm quyền điều khiển Windows và Linux nhưng không có bất kỳ “tải trọng” nào.
Chúng tôi đã triển khai một trung tâm chỉ huy cục bộ, khởi chạy phiên bản sâu đầu tiên trên một trong các máy và nhận được cảnh báo đầu tiên trong bảng điều khiển TrapX trong vòng chưa đầy một phút rưỡi. TTD trung bình là 90 giây so với 106 ngày...
Nhờ khả năng tích hợp với các loại giải pháp khác, chúng tôi có thể chuyển từ việc nhanh chóng phát hiện các mối đe dọa sang tự động ứng phó với chúng.
Ví dụ: việc tích hợp với hệ thống NAC (Kiểm soát truy cập mạng) hoặc với CarbonBlack sẽ cho phép bạn tự động ngắt kết nối các PC bị xâm nhập khỏi mạng.
Tích hợp với hộp cát cho phép các tệp liên quan đến cuộc tấn công được tự động gửi đi để phân tích.
Tích hợp McAfee
Giải pháp này cũng có hệ thống tương quan sự kiện tích hợp sẵn.
Nhưng chúng tôi không hài lòng với khả năng của nó nên chúng tôi đã tích hợp nó với HP ArcSight.
Hệ thống bán vé tích hợp giúp cả thế giới đối phó với các mối đe dọa được phát hiện.
Do giải pháp này được phát triển “ngay từ đầu” cho nhu cầu của các cơ quan chính phủ và phân khúc doanh nghiệp lớn, nên nó triển khai một cách tự nhiên mô hình truy cập dựa trên vai trò, tích hợp với AD, một hệ thống báo cáo và kích hoạt (cảnh báo sự kiện) được phát triển, điều phối cho cơ cấu nắm giữ lớn hoặc nhà cung cấp MSSP.
Thay vì một bản lý lịch
Nếu có một hệ thống giám sát như vậy, nói theo nghĩa bóng, sẽ bảo vệ chúng ta, thì với sự thỏa hiệp về chu vi, mọi thứ chỉ mới bắt đầu. Điều quan trọng nhất là có cơ hội thực sự để giải quyết các sự cố an toàn thông tin chứ không phải giải quyết hậu quả của chúng.
Nguồn: www.habr.com