(o ṣeun si Sergey G. Brester fun ero akọle )
Awọn ẹlẹgbẹ, idi ti nkan yii ni lati pin iriri ti iṣẹ idanwo ọdun kan ti kilasi tuntun ti awọn solusan IDS ti o da lori awọn imọ-ẹrọ Ẹtan.
Lati le ṣetọju isọdọkan ọgbọn ti igbejade ohun elo, Mo ro pe o jẹ dandan lati bẹrẹ pẹlu awọn agbegbe. Nitorinaa, iṣoro naa:
- Awọn ikọlu ifọkansi jẹ iru ikọlu ti o lewu julọ, laibikita otitọ pe ipin wọn ni apapọ nọmba awọn irokeke jẹ kekere.
- Ko si awọn ọna idaniloju to munadoko ti idabobo agbegbe (tabi ṣeto iru awọn ọna bẹ) sibẹsibẹ ti ṣe idasilẹ.
- Gẹgẹbi ofin, awọn ikọlu ifọkansi waye ni awọn ipele pupọ. Bibori agbegbe jẹ ọkan ninu awọn ipele akọkọ, eyiti (o le jabọ awọn okuta si mi) ko fa ibajẹ pupọ si “olufaragba”, ayafi ti, dajudaju, o jẹ ikọlu DEoS (Iparun iṣẹ) (awọn encryptors, ati bẹbẹ lọ). .). “irora” gidi bẹrẹ nigbamii, nigbati awọn ohun-ini ti o gba bẹrẹ lati ṣee lo fun pivoting ati idagbasoke ikọlu “ijinle”, ati pe a ko ṣe akiyesi eyi.
- Niwọn igba ti a bẹrẹ lati jiya awọn adanu gidi nigbati awọn ikọlu de ọdọ awọn ibi-afẹde ti ikọlu naa (awọn olupin ohun elo, DBMS, awọn ile itaja data, awọn ibi ipamọ, awọn eroja amayederun to ṣe pataki), o jẹ ọgbọn pe ọkan ninu awọn iṣẹ ṣiṣe ti iṣẹ aabo alaye ni lati da awọn ikọlu duro ṣaaju iṣẹlẹ ibanujẹ yii. Ṣugbọn lati le da nkan duro, o gbọdọ kọkọ wa nipa rẹ. Ati awọn Gere ti, awọn dara.
- Nitorinaa, fun iṣakoso eewu aṣeyọri (iyẹn ni, idinku ibajẹ lati awọn ikọlu ìfọkànsí), o ṣe pataki lati ni awọn irinṣẹ ti yoo pese TTD ti o kere ju (akoko lati ṣawari - akoko lati akoko ifọle si akoko ti a ti rii ikọlu naa). Ti o da lori ile-iṣẹ ati agbegbe, akoko yii jẹ awọn ọjọ 99 ni AMẸRIKA, awọn ọjọ 106 ni agbegbe EMEA, awọn ọjọ 172 ni agbegbe APAC (M-Trends 2017, Wiwo Lati Awọn Laini Iwaju, Mandiant).
- Kini ọja nfunni?
- "Awọn apoti iyanrin". Iṣakoso idena miiran, eyiti o jina lati bojumu. Ọpọlọpọ awọn ilana imunadoko lo wa fun wiwa ati lilọ kiri awọn apoti iyanrin tabi awọn ojutu ti funfun. Awọn eniyan lati "ẹgbẹ dudu" tun jẹ igbesẹ kan siwaju nibi.
- UEBA (awọn eto fun ihuwasi profaili ati idamo awọn iyapa) - ni imọran, le munadoko pupọ. Ṣugbọn, ni ero mi, eyi jẹ nigbakan ni ọjọ iwaju ti o jinna. Ni iṣe, eyi tun jẹ gbowolori pupọ, ti ko ni igbẹkẹle ati nilo IT ti o dagba pupọ ati iduroṣinṣin ati awọn amayederun aabo alaye, eyiti o ti ni gbogbo awọn irinṣẹ ti yoo ṣe ipilẹṣẹ data fun itupalẹ ihuwasi.
- SIEM jẹ ọpa ti o dara fun awọn iwadii, ṣugbọn ko ni anfani lati rii ati ṣafihan nkan tuntun ati atilẹba ni akoko ti akoko, nitori awọn ofin ibamu jẹ kanna bi awọn ibuwọlu.
- Bi abajade, iwulo fun ohun elo kan wa ti yoo:
- ṣiṣẹ ni aṣeyọri ni awọn ipo ti agbegbe ti o ti gbogun tẹlẹ,
- ṣe awari awọn ikọlu aṣeyọri ni akoko gidi, laibikita awọn irinṣẹ ati awọn ailagbara ti a lo,
- ko dale lori awọn ibuwọlu / awọn ofin / awọn iwe afọwọkọ / awọn ilana / awọn profaili ati awọn nkan aimi miiran,
- ko nilo iye nla ti data ati awọn orisun wọn fun itupalẹ,
- yoo gba awọn ikọlu laaye lati ṣalaye kii ṣe diẹ ninu iru igbelewọn eewu nitori abajade iṣẹ ti “ti o dara julọ ni agbaye, itọsi ati nitorinaa mathimatiki pipade”, eyiti o nilo iwadii afikun, ṣugbọn adaṣe bi iṣẹlẹ alakomeji - “Bẹẹni, a n kọlu wa” tabi “Rara, ohun gbogbo dara”,
- je gbogbo, daradara ti iwọn ati ki o seese lati se ni eyikeyi orisirisi eda eniyan ayika, laiwo ti ara ati mogbonwa nẹtiwọki topology lo.
Awọn ojutu ti a npe ni ẹtan ti wa ni bayi ti nja fun ipa ti iru ọpa kan. Iyẹn ni, awọn solusan ti o da lori imọran atijọ ti o dara ti awọn oyin, ṣugbọn pẹlu ipele imuse ti o yatọ patapata. Yi koko ni pato lori jinde bayi.
Ni ibamu si awọn abajade Awọn solusan ẹtan wa ninu awọn ilana TOP 3 ati awọn irinṣẹ ti a ṣe iṣeduro lati lo.
Gege bi iroyin na Ẹtan jẹ ọkan ninu awọn itọnisọna akọkọ ti idagbasoke ti IDS Intrusion Detection Systems) awọn solusan.
A gbogbo apakan ti igbehin , igbẹhin si SCADA, da lori data lati ọkan ninu awọn olori ni ọja yii, TrapX Aabo (Israeli), ojutu ti o ti ṣiṣẹ ni agbegbe idanwo wa fun ọdun kan.
TrapX Deception Grid gba ọ laaye lati ṣe idiyele ati ṣiṣẹ IDS ti o pin kaakiri ni aarin, laisi jijẹ ẹru iwe-aṣẹ ati awọn ibeere fun awọn orisun ohun elo. Ni otitọ, TrapX jẹ olupilẹṣẹ ti o fun ọ laaye lati ṣẹda lati awọn eroja ti awọn amayederun IT ti o wa ni ẹrọ nla kan fun wiwa awọn ikọlu lori iwọn jakejado ile-iṣẹ, iru nẹtiwọọki pinpin “itaniji.”
Ilana ojutu
Ninu yàrá wa a ṣe iwadi nigbagbogbo ati idanwo ọpọlọpọ awọn ọja tuntun ni aaye ti aabo IT. Lọwọlọwọ, nipa awọn olupin foju oriṣiriṣi 50 ti wa ni ran lọ si ibi, pẹlu TrapX Deception Grid.
Nitorina, lati oke de isalẹ:
- TSOC (TrapX Security Operation Console) jẹ ọpọlọ ti eto naa. Eyi ni console iṣakoso aringbungbun nipasẹ eyiti iṣeto ni, imuṣiṣẹ ti ojutu ati gbogbo awọn iṣẹ ṣiṣe lojoojumọ. Niwọn igba ti eyi jẹ iṣẹ wẹẹbu, o le ṣe ran lọ nibikibi - lori agbegbe, ni awọsanma tabi ni olupese MSSP.
- Ohun elo TrapX (TSA) jẹ olupin foju kan ninu eyiti a sopọ, ni lilo ibudo ẹhin mọto, awọn subnets wọnyẹn ti a fẹ lati bo pẹlu ibojuwo. Paapaa, gbogbo awọn sensọ nẹtiwọọki wa “gbe” nitootọ nibi.
Laabu wa ni TSA kan ti a fi ranṣẹ (mwsapp1), ṣugbọn ni otitọ ọpọlọpọ le wa. Eyi le jẹ pataki ni awọn nẹtiwọọki nla nibiti ko si Asopọmọra L2 laarin awọn apakan (apẹẹrẹ aṣoju jẹ “Imudani ati awọn ẹka” tabi “ori ọfiisi banki ati awọn ẹka”) tabi ti nẹtiwọọki ba ni awọn apakan ti o ya sọtọ, fun apẹẹrẹ, awọn eto iṣakoso adaṣe adaṣe. Ni kọọkan iru ẹka / apa, o le ran awọn ara rẹ TSA ki o si so o si kan nikan TSOC, ibi ti gbogbo alaye yoo wa ni centrally ni ilọsiwaju. Itumọ faaji yii ngbanilaaye lati kọ awọn eto ibojuwo pinpin laisi iwulo lati tunto nẹtiwọọki ni ipilẹṣẹ tabi fa idalọwọduro ipin ti o wa tẹlẹ.
Paapaa, a le fi ẹda kan ti ijabọ ti njade lọ si TSA nipasẹ TAP/SPAN. Ti a ba rii awọn asopọ pẹlu awọn botnets ti a mọ, aṣẹ ati awọn olupin iṣakoso, tabi awọn akoko TOR, a yoo tun gba abajade ninu console. Sensọ Intelligence Network (NIS) jẹ iduro fun eyi. Ni agbegbe wa, iṣẹ ṣiṣe yii ni imuse lori ogiriina, nitorinaa a ko lo nibi.
- Awọn ẹgẹ ohun elo (OS ni kikun) - awọn ikoko oyin ibile ti o da lori awọn olupin Windows. Iwọ ko nilo ọpọlọpọ ninu wọn, nitori idi akọkọ ti awọn olupin wọnyi ni lati pese awọn iṣẹ IT si ipele atẹle ti awọn sensosi tabi rii awọn ikọlu lori awọn ohun elo iṣowo ti o le gbe lọ si agbegbe Windows kan. A ni iru olupin ti a fi sori ẹrọ ni yàrá wa (FOS01)
- Awọn ẹgẹ ẹlẹgẹ jẹ paati akọkọ ti ojutu, eyiti o fun wa laaye, ni lilo ẹrọ foju kan ṣoṣo, lati ṣẹda “oko mi” ipon pupọ fun awọn ikọlu ati saturate nẹtiwọọki ile-iṣẹ, gbogbo awọn vlan rẹ, pẹlu awọn sensosi wa. Olukọni naa rii iru sensọ kan, tabi agbalejo Phantom, bi Windows PC tabi olupin gidi kan, olupin Linux tabi ẹrọ miiran ti a pinnu lati ṣafihan rẹ.
Fun rere ti iṣowo naa ati nitori iwariiri, a gbe “meji ti ẹda kọọkan” - Awọn PC Windows ati awọn olupin ti awọn ẹya oriṣiriṣi, awọn olupin Linux, ATM kan pẹlu Windows ti a fi sii, Wiwọle Wẹẹbu SWIFT, itẹwe nẹtiwọọki, Sisiko yipada, Axis IP kamẹra, a MacBook, PLC -ẹrọ ati paapa a smati gilobu ina. Awọn agbalejo 13 wa lapapọ. Ni gbogbogbo, olutaja ṣe iṣeduro gbigbe iru awọn sensọ ni iye ti o kere ju 10% ti nọmba awọn agbalejo gidi. Pẹpẹ oke ni aaye adirẹsi ti o wa.Ojuami pataki kan ni pe iru ogun kọọkan kii ṣe ẹrọ foju kikun ti o nilo awọn orisun ati awọn iwe-aṣẹ. Eyi jẹ ẹtan, imulation, ilana kan lori TSA, eyiti o ni eto awọn aye ati adiresi IP kan. Nitorinaa, pẹlu iranlọwọ ti TSA kan paapaa, a le saturate nẹtiwọọki pẹlu awọn ọgọọgọrun ti iru awọn ogun Phantom, eyiti yoo ṣiṣẹ bi awọn sensosi ninu eto itaniji. O jẹ imọ-ẹrọ yii ti o jẹ ki o ṣee ṣe lati ni idiyele-ni imunadoko iwọn ero oyin ikoko kọja eyikeyi ile-iṣẹ ti o pin kaakiri.
Lati oju wiwo ikọlu, awọn agbalejo wọnyi wuni nitori wọn ni awọn ailagbara ninu ati pe wọn dabi awọn ibi-afẹde ti o rọrun. Olukọni naa rii awọn iṣẹ lori awọn ọmọ-ogun wọnyi ati pe o le ṣe ajọṣepọ pẹlu wọn ki o kọlu wọn nipa lilo awọn irinṣẹ ati awọn ilana deede (smb/wmi/ssh/telnet/web/dnp/bonjour/Modbus, ati bẹbẹ lọ). Ṣugbọn ko ṣee ṣe lati lo awọn ọmọ-ogun wọnyi lati ṣe agbekalẹ ikọlu kan tabi ṣiṣẹ koodu tirẹ.
- Apapo awọn imọ-ẹrọ meji wọnyi (FullOS ati awọn ẹgẹ alafarawe) gba wa laaye lati ṣaṣeyọri iṣeeṣe iṣiro giga kan ti ikọlu yoo pẹ tabi ya ba pade diẹ ninu nkan ti nẹtiwọọki ifihan agbara wa. Ṣugbọn bawo ni a ṣe le rii daju pe iṣeeṣe yii sunmọ 100%?
Awọn ami Ẹtan ti a npe ni Ẹtan wọ inu ogun naa. Ṣeun si wọn, a le pẹlu gbogbo awọn PC ti o wa tẹlẹ ati awọn olupin ti ile-iṣẹ ni ID ID ti a pin. Àmi ti wa ni gbe lori awọn olumulo 'gidi PC. O ṣe pataki lati ni oye pe awọn ami kii ṣe awọn aṣoju ti o nlo awọn ohun elo ati pe o le fa awọn ija. Awọn ami-ami jẹ awọn eroja alaye palolo, iru “akara” fun ẹgbẹ ikọlu ti o yorisi rẹ sinu pakute kan. Fun apẹẹrẹ, awọn awakọ nẹtiwọọki ti ya aworan, awọn bukumaaki si awọn admins wẹẹbu iro ni ẹrọ aṣawakiri ati awọn ọrọ igbaniwọle ti o fipamọ fun wọn, awọn akoko ssh/rdp/winscp ti a fipamọ, awọn ẹgẹ wa pẹlu awọn asọye ninu awọn faili ogun, awọn ọrọ igbaniwọle ti a fipamọ sinu iranti, awọn iwe-ẹri ti awọn olumulo ti ko si, ọfiisi awọn faili, ṣiṣi eyiti yoo ṣe okunfa eto, ati pupọ diẹ sii. Nitorinaa, a gbe ikọlu naa si agbegbe ti o daru, ti o kun fun awọn apanija ikọlu ti ko ṣe irokeke ewu si wa, ṣugbọn dipo idakeji. Ati pe ko ni ọna lati pinnu ibi ti alaye naa jẹ otitọ ati ibi ti o jẹ eke. Nitorinaa, a ko rii daju wiwa iyara ti ikọlu nikan, ṣugbọn tun fa fifalẹ ilọsiwaju rẹ ni pataki.
Apeere ti ṣiṣẹda pakute netiwọki ati ṣeto awọn ami. Ni wiwo ore ko si si ṣiṣatunṣe afọwọṣe ti awọn atunto, awọn iwe afọwọkọ, ati bẹbẹ lọ.
Ni agbegbe wa, a tunto ati gbe nọmba kan ti iru awọn ami lori FOS01 nṣiṣẹ Windows Server 2012R2 ati idanwo PC ti nṣiṣẹ Windows 7. RDP nṣiṣẹ lori awọn ẹrọ wọnyi ati pe a "fikọ" wọn lorekore ni DMZ, nibiti nọmba kan ti awọn sensọ wa. (emulated ẹgẹ) ti wa ni tun han. Nitorinaa a gba ṣiṣan ti awọn iṣẹlẹ nigbagbogbo, nipa ti ara bẹ lati sọ.
Nitorinaa, eyi ni diẹ ninu awọn iṣiro iyara fun ọdun:
56 - awọn iṣẹlẹ ti o gbasilẹ,
2 – kolu orisun ogun ri.
Ibanisọrọ, maapu ikọlu ti tẹ
Ni akoko kanna, ojutu naa ko ṣe agbejade iru mega-log tabi kikọ sii iṣẹlẹ, eyiti o gba akoko pipẹ lati ni oye. Dipo, ojutu funrararẹ ṣe iyasọtọ awọn iṣẹlẹ nipasẹ awọn oriṣi wọn ati gba ẹgbẹ aabo alaye laaye lati dojukọ akọkọ lori awọn ti o lewu julọ - nigbati olukolu gbiyanju lati gbe awọn akoko iṣakoso (ibaraẹnisọrọ) tabi nigbati awọn isanwo alakomeji (ikolu) han ninu ijabọ wa.
Gbogbo alaye nipa awọn iṣẹlẹ jẹ kika ati gbekalẹ, ni ero mi, ni irọrun lati ni oye fọọmu paapaa fun olumulo ti o ni oye ipilẹ ni aaye aabo alaye.
Pupọ julọ awọn iṣẹlẹ ti o gbasilẹ jẹ awọn igbiyanju lati ṣayẹwo awọn agbalejo wa tabi awọn asopọ ẹyọkan.
Tabi awọn igbiyanju lati fi agbara mu awọn ọrọ igbaniwọle fun RDP
Ṣugbọn awọn ọran ti o nifẹ si tun wa, paapaa nigbati awọn ikọlu “ṣakoso” lati gboju ọrọ igbaniwọle fun RDP ati ni iraye si nẹtiwọọki agbegbe.
Olukọni gbiyanju lati ṣiṣẹ koodu nipa lilo psexec.
Olukọni naa rii igba ti o fipamọ, eyiti o mu u lọ sinu ẹgẹ ni irisi olupin Linux kan. Lẹsẹkẹsẹ lẹhin sisopọ, pẹlu eto ti a ti pese tẹlẹ ti awọn aṣẹ, o gbiyanju lati run gbogbo awọn faili log ati awọn oniyipada eto ti o baamu.
Olukọni gbiyanju lati ṣe abẹrẹ SQL lori ikoko oyin kan ti o farawe Wiwọle Wẹẹbu SWIFT.
Ni afikun si iru awọn ikọlu “adayeba”, a tun ṣe nọmba awọn idanwo tiwa. Ọkan ninu iṣafihan pupọ julọ ni idanwo akoko wiwa ti alajerun netiwọki lori nẹtiwọọki kan. Lati ṣe eyi a lo ọpa kan lati GuardiCore ti a npe ni . Eyi jẹ alajerun nẹtiwọọki ti o le ji Windows ati Lainos, ṣugbọn laisi “ẹru isanwo”.
A ran ile-iṣẹ pipaṣẹ agbegbe kan, ṣe ifilọlẹ apẹẹrẹ akọkọ ti alajerun lori ọkan ninu awọn ẹrọ, ati gba itaniji akọkọ ninu console TrapX ni o kere ju iṣẹju kan ati idaji. TTD 90 iṣẹju-aaya dipo awọn ọjọ 106 ni apapọ…
Ṣeun si agbara lati ṣepọ pẹlu awọn kilasi miiran ti awọn solusan, a le gbe lati wiwa awọn irokeke ni iyara lati dahun laifọwọyi si wọn.
Fun apẹẹrẹ, iṣọpọ pẹlu awọn ọna ṣiṣe NAC (Iṣakoso Wiwọle Nẹtiwọọki) tabi pẹlu CarbonBlack yoo gba ọ laaye lati ge asopọ awọn PC ti o gbogun laifọwọyi lati netiwọki.
Ibarapọ pẹlu awọn apoti iyanrin ngbanilaaye awọn faili ti o ni ipa ninu ikọlu lati fi silẹ laifọwọyi fun itupalẹ.
McAfee Integration
Ojutu naa tun ni eto isọdọkan iṣẹlẹ ti ara rẹ.
Ṣugbọn a ko ni itẹlọrun pẹlu awọn agbara rẹ, nitorinaa a ṣepọ pẹlu HP ArcSight.
Eto tikẹti ti a ṣe sinu ṣe iranlọwọ fun gbogbo agbaye lati koju awọn irokeke ti a rii.
Niwọn igba ti a ti ṣe agbekalẹ ojutu naa “lati ibẹrẹ” fun awọn iwulo ti awọn ile-iṣẹ ijọba ati apakan ile-iṣẹ nla kan, nipa ti ara ṣe imuse awoṣe wiwọle ti o da lori ipa, iṣọpọ pẹlu AD, eto idagbasoke ti awọn ijabọ ati awọn okunfa (awọn itaniji iṣẹlẹ), orchestration fun awọn ẹya idaduro nla tabi awọn olupese MSSP.
Dipo ti a bẹrẹ
Ti iru eto ibojuwo kan ba wa, eyiti, ni sisọtọ, bo ẹhin wa, lẹhinna pẹlu adehun ti agbegbe ohun gbogbo n bẹrẹ. Ohun pataki julọ ni pe aye gidi wa lati koju awọn iṣẹlẹ aabo alaye, kii ṣe lati koju awọn abajade wọn.
orisun: www.habr.com