Прожектор для внутренней сети

Автор: Алексей Данилин, руководитель направления по развитию бизнеса Positive Technologies

О слабости «периметрового» подхода сказано немало. Год назад случилась показательная история с киберграбителями восточно-европейских банков, использующими технику DarkVishnya. Некто под видом курьера или соискателя проникал в офис, находил в переговорной сетевые розетки или ПК и подключал к ним миниатюрный ноутбук, Raspberry Pi либо стодолларовый USB-стик Bash Bunny. Дальнейшее проникновение в сеть и поиск систем, управляющих банкоматами, велись через модемы по сотовой связи. Банкам нанесли ущерб на сотни миллионов долларов.

В большинстве компаний во внутреннюю сеть можно проникнуть несколькими способами. Злоумышленники могут сочинять искрометные фишинговые письма, искать забытые веб-сервисы с уязвимостями или неосторожных подрядчиков. В среднем выявляется два вектора проникновения, но в некоторых инфраструктурах мы находили сразу пять векторов. Поэтому результативность преодоления периметра очень высокая. В прошлом году в ходе работ по тестированию на проникновение наши эксперты преодолели сетевой периметр в 9 из 10 случаев, причем в половине компаний сделали это за один шаг.

Вторая проблема вытекает из первой. Если компания уверена в надежности периметра, то зачем ей контролировать внутреннюю сеть? И главное — чем контролировать? В различных SOC дефицит данных для выявления угроз отмечали еще несколько лет назад. Есть периметр, где функционируют серверные компоненты, сетевое оборудование, межсетевой экран, система обнаружения вторжений. Есть рабочие станции с антивирусами. А события между периметром и конечными точками накрыты большой такой шапкой-невидимкой. Отсюда эти безумные цифры после пентестов, когда внутренний атакующий (или хакер, преодолевший периметр) может в 100% случаев захватить полный контроль над сетью. Либо взломщик может затаиться в ожидании подходящего момента для удара. В одной из крупных компаний специалисты нашего экспертного центра безопасности фиксировали следы злоумышленников, которые оставались незамеченными более 8 лет.

Как помочь SIEM-системе

Логично предположить, что смотреть необходимо в сторону систем SIEM, которые собирают журналы и анализируют события. Так, да не так. SIEM-системы могут многое, но не все. Ряд уязвимостей, как ошибка в службе удаленного рабочего стола Windows CVE-2019-0708 (она же BlueKeep, затронувшая, вероятно, свыше миллиона систем), эксплуатируются в легитимных процессах, и выявить их по событиям можно только косвенно.

Непросто и обнаружить некоторые хакерские утилиты — из-за огромного количества событий. Например, для выявления инструмента разведки PowerView нужно включить журналирование определенного события Windows (события 1644), оно будет показывать LDAP[2]-активность инструмента PowerView. Но таких событий может генерироваться очень много, и это усложняет детектирование. Гораздо легче находить LDAP-запросы в трафике.

Кроме того, SIEM-система может не детектировать некоторые атаки, такие как DCShadow (новый вид атак на Active Directory), авторы которой заявили: «SIEM вам не поможет». Когда злоумышленники используют эту технику, создается поддельный контроллер домена, который не отправляет события в SIEM-систему. В трафике же хорошо видно добавление нового объекта в схему конфигурации типа «контроллер домена». Но для выявления атак в трафике необходим дополнительный инструмент.

Недостатки периферического зрения IDS

Исторически инспектированием трафика занимаются intrusion detection systems. Они функционируют только «в прямом эфире», поэтому с их помощью невозможно увидеть атаки в прошлом, используя новые правила. Кроме того, такие системы, как правило, не имеют необходимых технологий для выявления угроз внутри сети. В тех случаях, когда IDS используют для анализа внутреннего трафика, преимущественно с помощью сигнатурных методов, в «слепой зоне» остаются скрытые каналы передачи данных, перемещения злоумышленника по сети, атаки на Active Directory и новые виды угроз.

Антивирус легко обойти

Вредоносное ПО помещается в «упаковщик» и становится незаметным для антивирусов. Так, сервис Supremacy дает гарантию, что вредоносный файл до трех недель не будет определяться средствами защиты. А вот для сокрытия сетевой активности вредоноса атакующему требуется изменить протокол коммуникации с контрольным сервером, что значительно труднее.

Новый термин — NTA

В 2019 году впервые вышел гартнеровский обзор Market Guide for Network Traffic Analysis. В нем отмечалось, что системы NTA позволили многим клиентам Gartner обнаружить подозрительную активность в трафике, пропущенную инструментами безопасности на периметре. По мнению аналитиков, современный SOC должен включать три компонента: SIEM-систему для сбора и анализа журналов, систему network traffic analysis для анализа сетевого трафика и решение endpoint detection and response для анализа активности на конечных узлах.

Основные функции NTA-решений:

• анализ трафика как на периметре, так и в инфраструктуре;

• выявление атак с помощью комбинации способов детектирования;

• помощь в расследовании инцидентов.

Как NTA может выявлять атаки во внешнем и внутреннем трафике

Мы неоднократно сталкивались с инцидентами, при которых злоумышленники используют менее защищенные филиалы для атаки на головную организацию. Этот процесс значительно упрощается, если у головной организации и филиалов общий контроллер домена. Система NTA (в нашем случае это была PT Network Attack Discovery) помогла выявить разведывательные действия атакующих в домене, обнаружив угрозу за счет разбора протокола SMB и выявления нелегитимных запросов списка пользователей с контроллера домена.

Противодействовать новым типами угроз NTA-решениям помогает ретроспективный анализ событий безопасности. Это детальное исследование трафика за определенный промежуток времени с помощью свежих индикаторов компрометации или новых правил детектирования. Регулярный анализ позволяет принять меры по реагированию на инциденты до того момента, когда преступник получит полный контроль над критически важными ресурсами, выведет деньги или похитит важные сведения.

Обогнать хакера и соблюсти регламенты ИБ

В большинстве компаний если пентестер или атакующий перенаправит трафик через себя, то легко соберет коллекцию учетных данных, «летающих» во внутренней сети в открытом виде. Причина — нарушение стандартов безопасности. PT NAD понимает более 50 протоколов, а 30 наиболее распространенных из них разбирает и на уровне приложений. Благодаря этому он помогает контролировать соблюдение регламентов ИБ. Например, PT NAD видит передачу учетных записей в открытом виде, нешифрованные почтовые сообщения, ошибки конфигурирования сети, использование утилит для удаленного доступа и инструментов сокрытия активности в сети.

Расследование инцидентов и threat hunting

Ряд NTA-систем хранят не только данные о сетевых взаимодействиях, но и сырой трафик. При расследовании инцидента это очень помогает понять, что и как произошло. Можно, например, обнаружив странную попытку подключения с неавторизованного узла на контроллер домена, «поднять» историю сетевой активности узла и обнаружить другие подобные попытки, что говорит о целенаправленных действиях.

NTA-инструментарий также может оказать существенную помощь в threat hunting — при проверке гипотез для поиска признаков компрометации, когда в системе нет формальных признаков взлома.

Резюме

Современные NTA-решения должны иметь механизмы глубокого анализа трафика, использовать комбинацию методов выявления угроз, хранить данные для расследования и ретроспективного анализа. Термин NTA еще достаточно нов для российского рынка, но интерес к нему быстро растет. За минувшие два года мы осуществили более 60 пилотных проектов и внедрений PT NAD. Чтобы заказать бесплатный «пилот», достаточно заполнить анкету на странице PT NAD. По результатам таких работ подразделение ИБ получает подробный отчет о выявленных атаках, ошибках конфигурации систем, нарушении регламентов ИБ и рекомендации по устранению недостатков.

[1] В исследовании лучших практик для SOC института SANS отмечается, что NTA — одна из двух технологий для выявления угроз, работой которых больше всего довольны в SOC.

[2] LDAP — Lightweight Directory Access Protocol (облегченный протокол доступа к каталогам).