Deception – мінне поле для хакера

Deception – мінне поле для хакера

Як неправдива інформація захищає від атак?

Віце-президент Gartner Нейл Макдональд на Gartner Security & Risk Management Summit 2017 сказав: «У 2017 році рівень загроз інформаційній безпеці (ІБ) залишається на дуже високому рівні. У міру того, як зловмисники удосконалюють свої навички та інструментарій, підприємства також повинні розвивати свої можливості щодо захисту від атак».

27 червня 2017 року ця загальновідома істина стала очевидною навіть для людей, далеких від галузі ІБ. Кібератака з епіцентром в Україні вразила сотні підприємств по всьому світу. У черговий раз CISO переконалися, що традиційні підходи до забезпечення ІТ-безпеки на основі превентивних рішень щодо захисту периметра і робочих місць перестали бути ефективними. Певно, що галузі потрібні нові класи рішень і стратегії.

За підсумками Gartner Security & Risk Management Summit 2017 було сформульовано і озвучено низку найперспективніших технологій інформаційної безпеки, зокрема Deception.

Що таке Deception

Deception-технологія — це використання технік активної омани атакувальників із застосуванням спеціалізованих пасток, принад та інших методів дезінформації.

Завдяки використанню deception-технології всередині корпоративного периметра підприємства отримують можливість раннього виявлення найнебезпечніших спрямованих атак, які успішно подолали інші превентивні механізми, такі як міжмережеві екрани, системи запобігання вторгненням і антивірусні рішення.

Крім того, завдяки цій стратегії можна значно ускладнити і знизити швидкість просування атакувальника всередині мережі, а також істотно обмежити можливості використання автоматизованих інструментів атаки, які й були використані протягом Petya-A. Тому deception-рішення можна віднести не тільки до класу моніторингових систем, а й до інструментів активної протидії.

Незважаючи на те, що сам термін Deception ще досить новий, в основі рішення лежить стара концепція Honeypot-ів, але з принципово іншим рівнем реалізації, можливостями масштабування й автоматизації. Є ціла низка безкоштовних, open source продуктів, але можливість застосування їх в enterprise-середовищі викликає питання.

Також є низка успішних комерційних deception-платформ, таких як TrapX, Illusive Networks, TopSpin Security, Attivo Networks, окремі елементи deception є в інших продуктах, таких як Inside IDR від Rapid7. Так що сама ідея не нова, але продукти, які допомагають її успішно втілюватися в корпоративному середовищі з’явилися недавно. Першою ластівкою в 2011 році була ізраїльська розробка TrapX DeceptionGrid, яка давно й успішно використовується на найважливіших об’єктах Ізраїлю.

Кейси з використання Deception

У 2017 році чудовим прикладом використання Deception був кейс En Marche! — партії і виборчого штабу Макрона. Розуміючи високий професійний рівень хакерів, фахівці зі штабу En Marche! вирішили використовувати іншу тактику — контратаку. У результаті було застосовано класичну стратегію з пастками. Було створено безліч фейкових поштових скриньок з підробленою інформацією, яка, як і передбачалося, була вкрадена й оприлюднена. Але шкоди для передвиборної кампанії це не принесло — Еммануель Макрон став Президентом Франції.

Deception може стати чудовим вибором для тих клієнтів, в інфраструктурі яких є багато вбудованих, спеціалізованих комп’ютерів, SCADA-пристроїв, можливості щодо захисту яких часто дуже обмежені. Так, фахівці TrapX успішно виявили спрямовану атаку, джерелом якої був ПК, вбудований в аналізатор рівня кисню у крові пацієнта (кейс Medjack).

Іншим прикладом є кейс Zombie_Zero, коли завдяки цьому рішенню велика логістична компанія виявила, що їх нові складські PDA прийшли від виробника з прошивкою, у яку вже було вбудовано недокументовані засоби віддаленого доступу й управління.

Як працює Deception

Численні публікації та відкриті кейси успішних вторгнень у захищені системи у різних країнах світу явно свідчать про те, що традиційні превентивні техніки вже не працюють. Зловмисники рано чи пізно знаходять засіб проникнути в периметр. Після цього починається так званий період прихованого поширення. Залежно від галузі та регіону цей період у середньому становить 99 днів у США, 106 днів у регіоні EMEA, 172 дні в регіоні APAC (M-Trends 2017, A View From the Front Lines, Mandiant). Протягом атаки на енергосистеми України зловмисники були в мережі близько року.

На цьому етапі завдання атакувальної сторони — підібратися до тих IT-активів, які є метою атаки, і при цьому залишитися непоміченими. Відповідно головне завдання тих, хто захищається, — максимально швидко дізнатися про зловмисника в мережі.

На цьому етапі атакувальники активно збирають інформацію всередині мережі та використовують її для побудови вектора атаки. У наш час атакувальники намагаються не використовувати такі «гучні» інструменти, як активне мережеве сканування, вгадування паролів методом перебору тощо. Вони прагнуть максимально використовувати інформацію, яку можуть зібрати на скомпрометованих робочих станціях — паролі, мережеве оточення, закладки, файли користувачів і конфігурації систем. При цьому вони впевнені, що ця інформація справжня. А якщо це не так?

Використовуючи сучасні deception-системи, підприємство може створити віртуальне «мінне поле» для атакувальної сторони, наситити інформаційний простір атакувальника неправдивою інформацією, використання якої моментально його виявить. Так, завдяки deception-рішенням можна виявити атакувальника за лічені години, а то й хвилини.

Наприклад, якщо атакувальник сканує мережу чи здійснює пасивний збір мережевих пакетів, його можна обдурити, показавши безліч підроблених пристроїв, привабливих для атаки.

При цьому сучасні deception-рішення можуть генерувати такі «пастки», які неможливо відрізнити від реальних Windows/Linux/Mac-пристроїв, мережевого обладнання, банкоматів, POS-пристроїв, SCADA-пристроїв, баз даних, корпоративних додатків (Oracle, SAP, CyberArk тощо) і навіть SWIFT-інфраструктури. Будь-яка спроба взаємодії з цими «сенсорами» призведе до виявлення атакувальника.

На етапі збору паролів із захопленої робочої станції deception-рішення можна «згодувати» атакувальнику низку неправдивих паролів, використання яких моментально і зі 100 % вірогідністю просигналізує про атаку. З TrapX Deception Grid можна створювати безліч таких «принад» у вигляді паролів, закладок, збережених сесій різних сервісів, конфігураційних файлів, приєднаних мережевих дисків тощо.

Весь додатковий «маскувальний» інформаційний шар приховано від звичайних користувачів. Тому будь-яка взаємодія з такою сенсорною системою практично з 99 % вірогідністю сигналізує про початок атаки. Усі кроки та дії зловмисника протоколюються, автоматично збираються всі дані про тактику атакувальної сторони, відбувається автоматичний аналіз інструментарію хакерів.

Достатньо один раз побачити, щоб зрозуміти всю силу і важливість технології Deception для захисту інфраструктури. З ресурсами компанії Softprom можна провести комплексну демонстрацію і пілотний проект технології Deception.

Розбір можливостей на кейсі Petya-A

Якщо повернутися до кейсу Petya-A, то використовуючи deception-рішення, можна дуже швидко виявити і ліквідувати цю загрозу на етапі поширення — вірус перераховує всі доступні йому в мережі машини через виклик NetServerEnum і потім сканує на наявність відкритого TCP 139/445 порту. Уже на цьому етапі виявляємо факт мережевого сканування і можемо припинити атаку, ізолювавши скомпрометовану робочу станцію.

Наступним етапом було тестування знайдених хостів на наявність уразливості MS17-010. Ця подія однозначно розпізнається як Reconnaissance з відповідним повідомленням IT-служби. Паралельно вірус збирав паролі за допомогою Mimikatz. Використовуючи знайдені паролі, Petya-A за допомогою PSEXEC і WMI заражав робочі станції, невразливі для EternalBlue/EternalRomance.

На цьому етапі, використовуючи TrapX, виявляємо факт використання заздалегідь підготовлених і розміщених облікових даних, взаємодію з сенсорами через керувальні інтерфейси, що є 100 % індикатором атаки. У консолі з’являються події типу Interaction та Infection, і вже розсудливо автоматично ізолювати скомпрометовані робочі станції в карантинній підмережі завдяки інтеграції з NAC-системами.

Крім безпосереднього виявлення атаки, маємо можливість автоматично провести статичний і динамічний аналіз шкідливого коду, для того, щоб щонайменше швидко сформувати індикатори компрометації (IoCs) і за допомогою, наприклад, SIEM, перевірити весь парк ПК і серверів на їх наявність, виявити, ізолювати і відновити всі активи, що зазнали атаки.

Великою перевагою deception-рішень є те, що їх можна впровадити досить швидко і вони не використовують агентів. Тому відсутній ризик негативного впливу на роботу наявних інформаційних систем. Завдяки широким можливостям інтеграції з іншими захисними рішеннями, такими як «пісочниці», SIEM, NAC, антивірусні рішення, можливо створювати сценарії автоматичного реагування на загрози відразу в момент їх появи.

Загальні переваги deception-рішень

  1. Швидке виявлення кваліфікованих атакувальників або шкідливого коду всередині мережі навіть після того, як вони подолали всі захисні рубежі.
  2. Дуже низький рівень помилкових спрацьовувань.
  3. Мінімальний вплив на наявну інфраструктуру — немає необхідності в перебудові мережі, немає агентів, немає ризику «щось зламати».
  4. На відміну від класичних honeypots, застосовуючи сучасні deception-рішення, додаткові витрати на системне ПЗ не потрібні.
  5. Захищає інвестиції в інформаційну безпеку за рахунок інтеграції і посилення наявних ІБ-рішень.
  6. Варто один раз спробувати, щоб усвідомити важливість і можливості рішення DeceptionGrid Platform.