Русский
Русский
English
Статистика
Реклама

Tds

1. Group-IB. Комплексная защита сети. Архитектура TDS

22.07.2020 10:16:05 | Автор: admin


Добрый день, коллеги! Сегодня начинаем новый цикл статей, посвященный решениям информационной безопасности от компании Group-IB. Компания работает на рынке информационной безопасности уже более 17 лет, и за это время обросла весьма существенными компетенциями, выполняя проекты не только на территории России и стран СНГ, но и на международном рынке. Направление по защите инфраструктуры от сложных целевых атак закрывает комплекс Group-IB Threat Detection System (TDS), состоящий из нескольких различных модулей. Решение специализируется на защите корпоративной и технологической сетей, и главным образом, нацелено именно на противодействие современным атакам. В данной статье рассмотрим архитектуру и функциональные возможности всего комплекса.

Group-IB Threat Detection System (TDS) состоит из нескольких модулей:

  • TDS Sensor ;
  • TDS Decryptor;
  • TDS Sensor Industrial;
  • TDS Polygon;
  • TDS Huntpoint;
  • TDS Huntbox.



Каждый модуль выполняет определенные функции, рассмотрим основные задачи Threat Detection System.

Архитектура решения



Система предназначена для повышения информационной безопасности предприятия: защиты корпоративного и технологического сегментов. Технологии, используемые системой TDS, позволяют эффективно детектировать угрозы на различных фазах матрицы MITRE ATT&CK:

  1. Угрозы нулевого дня;
  2. Эксплойты, трояны, бэкдоры, вредоносные скрипты под десктопные, серверные и мобильные платформы;
  3. Скрытые каналы передачи данных;
  4. Атаки с использованием легитимных инструментов (living-off-the-land).

Важно отметить, что сильным преимуществом комплекса Group-IB TDS является комплексный подход к защите сети: из единого центра управления есть возможность управления всеми модулями, которые установлены как в корпоративном сегменте, так и в технологическом. Решения такого класса хорошо подходят для защиты предприятий и организаций, где используются АСУ ТП. Все необходимые в России сертификаты для соответствия 187 ФЗ продуктом получены.

Но это не значит, что система заточена только под промышленный трафик. Изначально система разрабатывалась для инспекции трафика в корпоративных сетях почта, файловые хранилища, потоки пользовательского трафика. И все это не на периметре, а внутри сети, что позволяет обнаружить и предотвратить особо критичные инциденты ИБ:

  1. факт скачивания зараженного файла пользователем;
  2. распространение заражения вредоносным ПО пользовательских ПК в домене;
  3. попытки эксплуатации уязвимостей злоумышленником внутри сети;
  4. горизонтальное перемещение злоумышленников внутри сети.

Периметровые устройства с высокой вероятностью не обнаружат описанные выше инциденты, если они уже каким-то образом попали внутрь сети. Однако, как и везде, все зависит от настройки. Модули Group-IB TDS должны стоять в правильном месте и правильно настроены, поэтому далее мы дадим краткое описание особенностей комплекса и его функционала.

TDS Sensor




TDS Sensor модуль для глубокого анализа сетевого трафика и выявления угроз на сетевом уровне, а также интеграции с различными подсистемами. Sensor позволяет выявить:

  1. взаимодействие зараженных устройств с командным центрам злоумышленников;
  2. распространение вирусов в корпоративной сети;
  3. общие сетевые аномалии и необычное поведение устройств.

Внутренняя база сигнатур и ML-движков разработана компанией Group-IB. Сигнатуры атак классифицируются и коррелируются специалистами киберразведки и CERT-аналитиками Group-IB, а ML-классификаторы разрабатываются в тесном сотрудничестве с криминалистами и аналитиками всех основных служб, после чего они обновляются на TDS, это позволяет своевременно реагировать на современные целевые атаки. Также средство детектирует аномалии для выявления скрытых туннелей в верхнеуровневых протоколах и возможное распространение угроз во внутренней инфраструктуре и между сегментами. Интеграция продукта со сторонними системами возможна: с почтой, ICAP, с файловыми хранилищами, SIEM и т.д.

Устройство работает в режиме зеркалирования, поэтому решение не может влиять на процессы, задействованные в легитимном трафике.

TDS Decryptor


Логично возникает вопрос: раз TDS Sensor работает на зеркалированном трафике, то, как работать с https соединениями, без инспекции которых невозможно говорить о состоянии защищенности инфраструктуры? В данном случае необходимо будет встраивать в инфраструктуру модуль TDS Decryptor программно-аппаратный комплекс, предназначенный для вскрытия и анализа содержимого шифрованных сессий, позволяющий повышать видимость и уровень контроля трафика защищаемой инфраструктуры, а также качество обнаружения целевых атак. TDS Decryptor работает в разрыве, подменяет сертификаты, а расшифрованную сессию отправляет на TDS Sensor.

TDS Sensor Industrial


Для детектирования атак в технологическом сегменте предприятия, компания Group-IB совсем недавно разработала модуль TDS Sensor Industrial. Анализируя пакеты данных технологических протоколов собственными поведенческими правилами, TDS Sensor Industrial позволяет выявлять передачу нелегитимных команд управления между уровнями АСУ ТП, обнаруживать использование служебных команд АСУ ТП с целью перепрошивки ПЛК, подмены программы управления, остановки технологических процессов, и другие нарушения.

Модуль поддерживает как открытые протоколы CIP, DNP3, IEC 60870-5-104, IEC 61850-MMS, Modbus TCP, OPC-DA, OPC-UA, MQT, так и некоторые проприетарные Siemens, Schneider Electric, Rockwell Automation, Emerson. Если нужного протокола нет в списке совместимости, специалисты Group-IB готовы его добавить в течение нескольких недель.

TDS Sensor Industrial никаким образом не влияет на технологические процессы, все работает в режиме зеркалирования. Хорошим дополнением к системе будет использование модуля TDS Huntpoint на APM операторов и инженеров, что позволит фиксировать действия на особо важных машинах внутри.

TDS Polygon




Использование одного модуля TDS Sensor может быть недостаточно для обнаружения атак, необходимо также проверять файлы, которые распространяются по сети. Этот функционал обеспечивает TDS Polygon. Данный модуль предназначен для поведенческого анализа подозрительных объектов в изолированной виртуальной среде. TDS Sensor извлекает файлы из сетевого трафика на SPAN порте или берет их с файловых хранилищ и отправляет в TDS Polygon на анализ. Также можно настроить интеграцию почтового сервера и TDS Sensor, в результате чего все письма с вложениями и ссылками будут проверяться продуктом.

Файлы проверяются на нескольких виртуальных машинах Windows XP, Windows 7, Windows 10 в двух вариантах разрядности x32/x64, а также с использованием двух языков системы русский/английский. Причём система сама определяет необходимость использования той или иной разрядности или версии в случае, если вредоносные признаки объекта были занижены или не обнаружены. Система оснащена функционалом сокрытия виртуализации и обнаруживает попытки обхода средств защиты вредоносным файлом. Например, если вредоносное ПО создает отложенную задачу, TDS Polygon будет ускорять системное время, чтобы сдетонировать зловред. Или если злоумышленники отправили письмо с пустой ссылкой, TDS Polygon будет ходить за файлом, пока его там не обнаружит (такой тип атаки довольно распространен). Возможны и более сложные примеры детонации ВПО (реакции на перезагрузку ОС, закрытие вспомогательного ПО и т.д.). Модуль также активно применяет машинное обучение и описанные ранее сигнатуры для выявления вредоносной активности.

В дополнение, удобным сервисом является подключение решения к центру обеспечения безопасности Group-IB CERT-GIB, специалисты которого в режиме реального времени отслеживают и анализируют события, выявленные TDS Sensor и TDS Polygon. Эксперты CERT-GIB немедленно уведомляют специалистов организации о критичных угрозах по электронной почте и телефону, а также дают рекомендации по их устранению и сопровождают пользователей до полной эскалации. Поддержка работает 24*7, 365 дней в году.

TDS Huntpoint




Не всегда вредоносное ПО распространяется по всей сети, иногда достаточно заразить только одну нужную рабочую станцию. Или же зловред вообще миновал сеть и проникло на устройство с помощью съемных носителей. Поэтому могут быть ситуации, когдаTDS Sensor не обнаружит никаких событий. В данном случае компания Group-IB предлагает использование агентского решения TDS Huntpoint.

TDS Huntpoint это модуль продукта Group-IB Threat Detection System (TDS), позволяющий проводить фиксацию хронологии поведения пользователя, отслеживать процессы, происходящие на системе для выявления вредоносной активности, а также проводить сбор дополнительной контекстной информации для выявления вредоносного поведения на хосте.
Как и TDS Sensor, TDS Huntpoint будет отправлять файлы на анализ в TDS Polygon. И в случае проникновения вредоносного ПО на ПК, TDS Huntpoint, по команде из командного центра TDS, изолирует этот хост от сети. В рамках данного модуля компанией реализуются такие направления как компьютерная криминалистика, реагирование на хостах и threat hunting.

TDS Huntbox




TDS Huntbox это центр управления, мониторинга, хранения событий и обновлений, устанавливаемый внутри инфраструктуры заказчика. TDS Huntbox интегрируется с другими компонентами комплекса TDS (Sensor, Polygon, Huntpoint) и значительно расширяет функционал решения за счет новых возможностей.

Особенности системы:

  1. Управление детектирующей инфраструктурой;
  2. Оркестрация всех компонентов TDS и управлением ими из единого интерфейса;
  3. Анализ больших данных, выявление новых инструментов и инфраструктуры атакующих;
  4. Хранение логов и аналитической информации по инцидентам;
  5. Визуализация инцидента на ранней стадии атаки;
  6. Построение сетевого графа;
  7. Удаленное реагирование на конечных станциях (TDS Huntpoint);
  8. Охота за угрозами.

Для специалиста ИБ, который будет работать с данным продуктом, эта платформа является основной, так как именно на ней анализируются все выявленные инциденты ИБ.

Типовая схема работы всех модулей Group-IB




Если суммировать, весь комплекс работает на зеркалированном трафике, кроме интеграций с почтой или с файловым хранилищем. Активную блокировку прохождения трафика можно организовать, если настроить Sensor как ICAP сервер или поставить в разрыв для почтового трафика. TDS Decryptor необходим для расшифровывания https трафика. Для контроля особо важных пользовательских машин рекомендуется использование TDS Huntpoint. Исходя из этой информации, становится понятно, что основная работа специалиста ИБ должна идти по мониторингу событий и алертов, причем это работа должна происходить постоянно. В случае появления события, специалист, получая информацию из события, должен проверить конечную точку и принять меры по противодействию угрозе. Это значит, что должны быть сотрудники, которые будут активно мониторить текущие события и серьезно подходить к вопросу использования системы.

Со своей стороны Group-IB проводит много работ, чтобы максимально сократить события False Positive, тем самым облегчая работу инженера и оставляя только те события, которые несут угрозу, и на которые необходимо проводить реагирование.

Заключение


Group-IB Threat Detection System является серьезным решением для защиты внутренней корпоративной сети, и особый интерес должен вызывать у тех организаций, которым необходима защита технологической сети. Также еще раз стоит упомянуть что решение принадлежит классу anti APT, а значит, данный функционал может быть существенным дополнением к существующей системе защиты для любой крупной организации, которым требуется постоянно следить за состояние внутренней инфраструктуры.

В будущем мы планируем опубликовать подробные обзоры на каждый модуль TDS отдельно, с различными примерами тестов. Так что следите за обновлениями (Telegram, Facebook, VK, TS Solution Blog), Яндекс.Дзен.
Подробнее..

2. Group-IB. Комплексная защита сети. TDS Sensor

10.09.2020 10:11:09 | Автор: admin


Добрый день, коллеги! Продолжаем цикл статей, посвященный решениям информационной безопасности от компании Group-IB. В предыдущей статье мы кратко осветили комплексное решение для защиты от сложных киберугроз от компании Group-IB. Данная публикация будет посвящена модулю Threat Detection System (TDS) Sensor. Напомним, что TDS Sensor модуль для глубокого анализа сетевого трафика и выявления угроз на сетевом уровне, а также для интеграции с различными подсистемами, входящий в программный комплекс TDS. В данной статье рассмотрим продукт с точки зрения функциональной части и архитектуры внедрения.

TDS Sensor



TDS Sensor модуль продукта TDS, предназначенный для анализа входящих и исходящих пакетов данных. Используя собственные сигнатуры и поведенческие правила, Sensor позволяет выявлять взаимодействие зараженных устройств с командными центрами злоумышленников, общие сетевые аномалии и необычное поведение устройств. Базы сигнатур и ML-моделей постоянно обновляются исходя из расследований криминалистов и на основе информации из систем киберразведки.

Так как TDS Sensor это решение класса anti-APT, оно заточено под обнаружение целевых атак и сетевых аномалий. Это не решения класса IPS, оно не предназначено под обнаружение сканирования портов, обнаружение брутфорса или попытки SQL injection. Организациям, которым требуются защита от целевых атак уже необходимо обладать внутри своей инфраструктуры IPS/IDS решениями. Отличительной особенностью решений класса anti-APT является обнаружение попыток передачи каких-то данных во вне периметра, коммуникации с командными центрами злоумышленников (Command & Control, CnC), передачи вредоносных файлов. Поэтому сигнатуры разработаны именно под этот специфический трафик. Рассмотрим примерную схему целевой атаки, для большей ясности.

APT-атака




Схема APT атаки:

  1. Злоумышленник собирает данные относительно организации и ее сотрудниках, в которую хочет проникнуть. Чаще всего используются методы социальной инженерии и данные из различных открытых и закрытых интернет источников;
  2. Далее злодей находит конкретного сотрудника, которому отправляет письмо с вредоносным файлом. Либо загружает все тот же вредоносный файл на сервер через взлом различных контрагентов, получая доступ к файловому хранилищу. Чтобы обойти системы защиты, злоумышленники комбинируют способы проникновения загружают зашифрованный архив, а пароль отправляют жертве по почте. Или отправляют архив с паролем к нему раздельными письмами;
  3. Далее жертва скачивает себе на компьютер стоящий в локальной сети вредонос. Это может быть shell code, эксплойт или троян. С высокой вероятностью такой трафик не будет проверяться средствами ИБ. Может, например, стоять IPS/IDS решение, которое проблему скорее всего не обнаружит;
  4. Вредонос исполняется и связывается с командным сервером злоумышленника (C&C). При чем этот трафик может выглядеть легитимно, например https сессия или ssl туннель;
  5. Далее идет распространение действий злоумышленника по сети, вплоть до доступа к ценным информационным активам организации;
  6. И наконец, злоумышленник получает доступ к данным, до которых рвался все это время. Тоже будет выглядеть как легитимный трафик.

Теперь рассмотрим как можно защититься от вышеперечисленных методов:

  1. Проводить обучение цифровой грамотности сотрудникам компании. Также проводить имитации атак для тренировки и сотрудников и ИБ специалистов. А также противодействие утечкам информации за контролируемую зону организационными и техническими методами;
  2. Обязательно проверять почтовый трафик и файловые хранилища периметровыми СЗИ (NGFW) или решениями класса anti-APT внутри защищаемой сети. Также обязательно наличие изолированной среды для проверки вредоносного ПО, так называемой песочницы для обнаружения новых неизвестных зловредов, на которых ещё нет сигнатур. Но в случае использования зашифрованных архивов будет тяжело детектировать вредонос в силу распределенности атаки. Поэтому, в случае целевой атаки, профессиональные злодеи смогут обойти стандартные средства защиты и пройдут дальше;
  3. Использовать агентские решения, которые будут проверять файлы, поступающие на локальный ПК. Скорее всего атака будет остановлена на этом уровне. Если установлен агент. Но, как известно, агенты работают далеко не на всех ПК, поэтому есть вероятность того, что вредонос может выполниться на таких хостах;
  4. Проверять трафик взаимодействия локального ПК с командным центром злодея по сигнатурам или по базам доменов C&C серверов. IPS/IDS решения не подходят. Здесь есть 2 варианта решения: межсетевой экран с функцией antibot или anti-APT решение. Последнее намного лучше заточено под атаки, так как специализируется именно на обнаружение целевых атак за счет более обширной и релевантной базы сигнатур;
  5. Проверять внутренний трафик должно стоять устройство NGFW внутри локальной сети (что в действительно, есть очень у малого числа компаний) или anti-APT решение (еще реже). Последнее может обнаруживать аномалии во внутреннем трафике. Бить тревогу. Если дошло до этого уровня, то все очень плохо, зловред уже очень долго сидит в сети. Тут можно только посоветовать нанять внешнюю команду по реагированию на ИБ инциденты и в дальнейшем пилотировать решение класса anti-APT.

Из всего вышеперечисленного напрашивается вывод, что для противодействиям таким атакам необходим высокий уровень ИБ в организации, правильно построенная архитектура проверки трафика. Но все же существует вероятность успешной атаки, поэтому anti-APT решения все больше набирают популярность. Выдвинем основной функционал, который должно покрывать решение anti-APT:

  1. Выявление взаимодействия зараженных устройств с командным центрам злоумышленников (сигнатуры + база C&C доменов);
  2. Обнаружение распространения вирусов и эксплойтов в корпоративной сети (сигнатуры + обнаружение аномалий);
  3. Обнаружение вирусов (проверка файлов в изолированной среде);
  4. Выявление вредоносной активности на хостах (агентские решения на локальных местах).

Решение по третьему и четвертому пункту буду рассмотрены в последующих статьях, TDS Sensor покрывает 1 и 2 случай.

Далее рассмотрим функционал TDS Sensor и его возможности по обнаружению вредоносной активности.

Тестирование TDS Sensor


В качестве генератора вредоносного трафика будем использовать Kali linux, который будет атаковать пользовательскую сеть. Стенд выглядит следующим образом:



Распространение вредоносного ПО и эксплойтов в корпоративной сети


Для того чтобы протестировать обнаружение эксплойтов, в качестве примера я взял сканирование хостов с помощью сканера Openvas в формате full and very deep ultimate. Эта конфигурация добавляет опасные плагины (попытка проэксплуатировать различные уязвимости), которые могут вызвать возможные сбои в работе службы или системы.



Смотрим в TDS Huntbox сработал ли TDS Sensor и выявлены ли какие-либо инциденты. Обнаружен эксплойт EXPLOIT Possible ETERNALBLUE Probe MS17-010 (MSF style), более подробно можно почитать по ссылке.



Также можно выполнить тест от Group-IB.
Для этого переходим на сайт threattest.group-ib.tech с макета и начинаем проверку. Описание безвредных вредоносов предоставлено в консоли:



Смотрим реакцию на TDS Huntbox:



Можно посмотреть более детальное описание:



Взаимодействие зараженных устройств с командным центрам злоумышленников


В качестве теста просто попробуем перейти на домен, использующийся как CnC центры, которые принадлежат тем или иным группировкам.



Проверяем на TDS Huntbox был ли инцидент:



Как видим, система зафиксировала сначала запрос к dns серверу DNS Lookup, а затем переход на вредоносный сайт.

При пилотировании системы важно устанавливать TDS в инфраструктуре организации с действительными угрозами, а не проведение только синтетических тестов. Важной частью проекта является правильное расположение модулей в инфраструктуре, далее рассмотрим несколько типовых схем установки.

Архитектура внедрения


Типовая схема работы всех модулей TDS показана на картинке далее:



Как видим, практически весь трафик из критически важных сегментов зеркалируется на TDS Sensor. Данный модуль является образующей подсистемой всего решения и покрывает наиболее опасные участки сети, через которые более вероятнее всего прилетит вредоносный файл проверяет почту, файловые хранилища, внутренний и внешний трафик. Устройство работает в режиме зеркалирования, поэтому решение не может влиять на процессы, задействованные в легитимном трафике. Далее рассмотрим сценарии использования.

Проверка почты


Поддерживается несколько способов получения писем для поведенческого анализа:

  • получение писем по SMTP;
  • получение писем с помощью механизма скрытой копии (BCC)

Получение писем по SMTP




TDS Sensor выступает как Mail Transfer Agent (или SMTP Relay), получая копию всей входящей почты через SMTP, либо стоя в разрез между почтовыми серверами. В последнем случае появляется возможность блокировать письма с вредоносными вложениями.

Получение писем с помощью механизма скрытой копии (BCC)


При данной интеграции создается дополнительный почтовый ящик, в который осуществляется копирование всей входящей почты. TDS Sensor подключается к подготовленному ящику и забирает письма для анализа.

Анализ файловых хранилищ




Режим подразумевает поведенческий анализ хранимых и/ или изменяемых файлов внутри файловых хранилищ с помощью TDS Polygon. Подключение к хранилищу реализуется с помощью модуля TDS Sensor и поддерживает два варианта работы с файловыми объектами:

  • сканирование всех хранящихся объектов и в том числе изменяемых или объектов, к которым запрашивается доступ;
  • сканирование только изменяемых объектов или объектов, к которым запрашивается доступ с момента интеграции.

Перед изменением объекта и/или перед отправкой данного объекта по запросу пользователю, TDS Sensor скачивает файл и передает на анализ в TDS Polygon. По факту получения вердикта проанализированный объект либо смещается обратно в файловое хранилище, либо, если получен положительный вердикт (файл является ВПО) объект удаляется.

В настоящее время поддерживаются следующие протоколы интеграции:

  • WebDav;
  • SMB;
  • FTP;
  • NFS;

Анализ зашифрованного трафика


В ходе APT-атак, пользователь получает зараженный документ или переходит по фишинговой ссылке с высокой вероятностью по протоколу https. Затем троян или шелл код связывается с командным центром и скачивает вредоносное ПО или предоставляет окно для проникновения в инфраструктуру также по зашифрованному соединению. Соответственно обеспечение процесса информационной безопасности невозможно без вскрытия https соединений. Зеркалирование шифрованного трафика на TDS Sensor не позволит понять что передается в сессии. Поэтому требуется TDS Decryptor, который возьмет на себя расшифровывание сессий и передачу трафика на TDS Sensor.



TDS Decryptor встраивается в сетевые потоки клиента таким образом, чтобы выявлять факты инициации SSL/TLS-сессий, подменять сертификаты (Man-in-the-Middle) для них и обеспечивать расшифровку SSL-трафика, позволяя повышать видимость и уровень контроля трафика защищаемой инфраструктуры. TDS Decryptor поддерживает современные алгоритмы и стандартов шифрования, в том числе ГОСТ (GOST2012-GOST8912-GOST8912, GOST2001-GOST89-GOST89);

Также можно произвести интеграцию TDS Sensor и с другими решениями ИБ:

  • Интеграция с ICAP-прокси/DLP*;
  • Интеграция с SIEM и другими системами для анализа событий ИБ.
  • Интеграция с системами мониторинга (SNMP мониторинг)

Очень интересной особенностью системы является интеграция с тикет-системой в СERT-GIB:

  1. При обнаружении инцидента автоматически будет создан кейс;
  2. Инженер Group-IB возьмет кейс в работу и выдаст детальную информацию по инциденту с рекомендациями по устранению проблемы;
  3. В случае критических кейсов оповещают об угрозе специалистов в течении получаса, лично проверяли.

Заключение:


В данной статье мы рассмотрели возможности TDS Sensor по обнаружению APT-атак. Стоит упомянуть что использование только этого модуля не дает полноценной защиты от APT-атак, необходимы решения для проверки всех файлов в изолированной среде и агентские решения. Использование всех модулей системы и их правильное внедрение в инфраструктуру позволяет закрыть угрозу целевых атак на всех уровнях. Остается только быстро реагировать на все критичные инциденты.

В будущем мы планируем опубликовать подробные обзоры на каждый модуль TDS отдельно, с различными примерами тестов. Так что следите за обновлениями (Telegram, Facebook, VK, TS Solution Blog), Яндекс.Дзен. Также можете посмотреть совместный вебинар от TS Solution и Group-IB на тему защиты промышленных объектов.
Подробнее..

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru