Анализируй это, или почему мы назвали PT NAD комбайном в мире ИБ

от автора

В области информационной безопасности существует большое количество решений, но в основном они узкоспециализированные и позволяют защищаться максимум от 2-3 векторов атаки. Мы решили рассказать о решении, которое претендует на роль лидера по числу векторов атак, которые способно предотвратить, и по числу задач ИБ, которое способно решить. Это NTA-продукт (Network Traffic Analysis), предназначенный для выявления атак на периметре и внутри сети.

Как известно, традиционные периметровые средства ИБ уже давно перестали быть панацеей от всех бед. Существенную часть всех атак на рынке составляют целевые, первой стадией которых является разведка. Для опытного хакера, получив представление о развернутых сетевых и ИБ-сервисах на периметре, найти соответствующие уязвимости и попасть внутрь сети не представляет труда, и отчеты аналитиков и исследователей безопасности это подтверждают. Поэтому в арсенале службы ИБ должны быть решения, позволяющие детектировать и предотвращать атаку, когда злоумышленник уже проник в сеть. А между прочим, упрямая и печальная статистика говорит о том, что при отсутствии современных средств борьбы с целевыми атаками, включая решения по анализу трафика, зловредное шпионское ПО может находиться в сетях компаний незаметно по несколько месяцев и больше.

NTA – молодой класс решений. Система глубокого анализа сетевого трафика автоматически обнаруживает попытки проникновения по ряду признаков, помогает в расследовании и восстановлении хронологии инцидентов.

Рис. 1. Покрываемые техники ATT&CK решением PT NAD
Рис. 1. Покрываемые техники ATT&CK решением PT NAD

На российском рынке в этом классе зарекомендовал себя Network Attack Discovery от Positive Technologies, который определяет 85 протоколов и разбирает 30 из них. Результаты сканирования трафика при таких показателях могут быть весьма и весьма интересными. Проведенные пилотирования решений у ряда наших заказчиков это подтвердили.

В этой статье мы расскажем о своем опыте проведения пилотов по анализу трафика, который помогает детектировать атаки, в том числе скрытые на периметре и внутри сети, и весьма полезно при расследовании инцидентов, а также за счет функционала хранения и анализа сырого трафика. Забегая вперёд, перечислим те функции решения, которые, на наш взгляд, позволяют PT NAD назвать комбайном в мире ИБ.

Благодаря анализу трафика вы можете решать следующие задачи:

  • детектирование атак на периметре и внутри сети,

  • восстановление хронологии атаки,

  • выявление попыток эксплуатации уязвимостей,

  • выявление попыток эксплуатации уязвимостей,

  • выявление уязвимых мест в инфраструктуре,

  • помощь в выработке компенсирующих мер для предотвращения атак,

  • выявление скрытых атак,

  • проведение расследований,

  • сбор доказательной базы в рамках расследования инцидентов ИБ,

  • помощь в выполнении требований законодательства (КИИ, ГИС, АСУ ТП и т.д.),

  • выявление попыток нарушения внутренних политик информационной безопасности.

Рис. 2. Правила для атак в PT NAD
Рис. 2. Правила для атак в PT NAD

Мы собрали несколько интересных, на наш взгляд, кейсов, которые позволяют оценить эффективность использования PT NAD для борьбы с современными киберугрозами.

Кейс «порты наружу»

У одного из наших заказчиков выявили открытые наружу порты управления (22, 3389), что являлось нарушением политик ИБ. Это получилось сделать за счет идентификации многочисленных попыток подбора паролей с внешних IP-адресов.

Кроме того, было выявлено как сканирование портов извне, так и попытки подключения к различным сервисам даже при их фактическом отсутствии (фактически – инициирование атаки, выявление доступных из Интернет сервисов).

С помощью этой уязвимости злоумышленник мог проникнуть внутрь сети и начать атаку. Например, по результатам одного из исследований на 22-й порт, а также 80 и 443 приходится примерно 65% атак.

По итогу были закрыты порты 3389 и настроена авторизация по сертификатам на ssh (22 порт).

Рис. 3. PT NAD выявил сканирование сети (IP адреса удалены)
Рис. 3. PT NAD выявил сканирование сети (IP адреса удалены)

RCE-уязвимость и на что обратить внимание

У другого заказчика была выявлена эксплуатация RCE-уязвимости CVE-2022-22954, поскольку не было выполнено обновление публичного сервиса в связи с блокировкой аккаунта на сервисном портале вендора.

Злоумышленниками была успешно выполнена атака, после чего они попытались запустить майнер. Но у них не получилось, поскольку (вы, наверное, уже догадались) с помощью PT NAD была выявлена атака и попытка подключения к пулу майнинга, после чего выполнена санация сервиса + создано соответствующее правило на запрет доступа.

Рис. 4. PT NAD выявил майнер (IP адрес отправителя удален)
Рис. 4. PT NAD выявил майнер (IP адрес отправителя удален)

 Атаки на веб-серверы

Среди других инцидентов ИБ, которые мы обнаружили в ходе пилотирования, сканирования внешних IP адресов, множественные попытки эксплуатировать уязвимости веб-серверов – CVE 2021-41773, log4j (CVE-2021-44228), попытки произвести различные инъекции.

Злоумышленники периодически находят уязвимости в сервисах, а также ошибки в конфигурировании систем. При успешной эксплуатации уязвимости, они могут остановить сервисы, подменить их на свои с целью фишинговых атак на пользователей данного сервиса, а также развивать дальнейшую атаку на ИТ инфраструктуру компании.

Необходимо понимать, что уязвимости, прежде всего, – следствие ошибок при разработке/создании систем/сервисов, но встречаются ситуации, когда они являются фактически косвенными особенностями функционирования систем/сервисов.

Что можно сделать?

  1. Прежде всего, регулярно проводить проверки конфигураций используемых СЗИ. Важно, чтобы функционал выявления и предотвращения угроз и вредоносного ПО был включен (sad but true).

  2. Также необходимо осуществлять полноценный мониторинг ИТ-инфраструктуры в контексте ИБ. Как минимум – детальный анализ сетевого трафика на предмет индикаторов компрометации, нелегитимного трафика, обращений к вредоносным ресурсам. С данной задачей отлично справляются NTA-решения.

  3. Регламентировать использование сканеров уязвимостей для регулярного выявления уязвимых узлов в ИТ-инфраструктуре, и обеспечить периодическое тестирование на проникновение для объективной оценки уровня защищенности ИТ-инфраструктуры компании.

Эти 3 меры – тот минимум, который обеспечит достаточный уровень эффективности системы защиты и даст объективную оценку ее уровня.

Туннелирование трафика

Помимо этого, в ходе пилотирования PT NAD были выявлены нарушения регламентов ИБ в части использования некорпоративных мессенджеров и средств сокрытия (туннелирования) трафика.

Рис. 5. Подключение к TOR с пользовательского ПК (IP адрес отправителя удален)
Рис. 5. Подключение к TOR с пользовательского ПК (IP адрес отправителя удален)

Почти всегда сталкиваемся с ситуацией, когда не используется SSL-инспекция сетевого трафика. Несмотря на то, что данный механизм достаточно прост в конфигурации и применении в корпоративных ИТ-инфраструктурах, очень немногие компании используют его. С учетом того, что большинство вредоносного ПО использует SSL/TLS-туннелирование, применение SSL-инспекции просто необходимо.

Рекомендуем по возможности включать SSL-инспекцию в совокупности с модулями IPS и AV, для выявления атак в шифрованном трафике.

Wi-Fi без ограничений

Другой распространенной ситуацией можно обозначить отсутствие запрещающих политик доступа и предоставление неограниченных разрешений для сетевого доступа. Есть несколько примеров, когда в гостевой Wi-Fi сети отсутствуют какие-либо ограничения, в результате чего возможны различные варианты: от нелегитимного использования подключения к сети Интернет, так и к проведению вредоносной активности.

В обоих случаях, разумеется, есть определенные аспекты, но тем не менее, необходимо обеспечить должный уровень контроля сетевой активности. Конечно, мы часто встречаем ситуации, когда отсутствует техническая возможность SSL-инспекции, либо наблюдаются сложности с полноценным контролем сетевой активности.

В таких случаях использование NTA-решений является обязательным, поскольку на текущий момент их функционал крайне силен – от выявления утечек данных, сканирований, вредоносной активности, вплоть до анализа SSL/TLS трафика без расшифрования. Естественно, анализ расшифрованного трафика даст большую детализацию, но, тем не менее, общие маркеры/паттерны вредоносной активности можно выявить и без SSL-инспекции.

Решение класса NTA помогает компаниям выявить скрытые и целевые атаки как на периметре, так и внутри сети, осуществляет сбор доказательной базы для расследования киберинцидентов и контроль соблюдения политик ИБ.

Подробности эксперты CTI расскажут на вебинаре 9 июня, а также вживую продемонстрируют работу PT NAD и ответят на все ваши вопросы. За самые лучшие вопросы – классные призы от CTI. Присоединяйтесь и регистрируйте по ссылке http://cti-security.online/


ссылка на оригинал статьи https://habr.com/ru/company/cti/blog/669888/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *