Решений в сфере информационной безопасности существует большое количество, но в основном они узкоспециализированы и позволяют защититься максимум от 2-3 векторов атак.
Мы решили рассказать о решении, претендующем на звание лидера по количеству векторов атак, которые оно может предотвратить, и по количеству проблем информационной безопасности, которые оно может решить.
Это продукт NTA (Network Traffic Analysis), предназначенный для обнаружения атак по периметру и внутри сети.
Как известно, традиционные средства защиты периметра информации давно перестали быть панацеей от всех бед. Значительная часть всех атак на рынок носит целенаправленный характер, первым этапом которых является разведка.
Для опытного хакера, получив представление о развернутой сети и сервисах информационной безопасности по периметру, найти соответствующие уязвимости и проникнуть внутрь сети не составляет труда, и отчеты аналитиков и исследователей безопасности подтверждают это.
Поэтому служба информационной безопасности должна иметь в своем арсенале решения, позволяющие обнаружить и предотвратить атаку, когда злоумышленник уже проник в сеть.
Кстати, упрямая и печальная статистика показывает, что при отсутствии современных средств борьбы с целенаправленными атаками, в том числе решений по анализу трафика, вредоносные программы-шпионы могут оставаться незамеченными в сетях компаний на протяжении нескольких месяцев и более.
НТА — молодой класс решений.
Система углубленного анализа сетевого трафика автоматически обнаруживает попытки вторжения по ряду признаков, помогает в расследовании и восстановлении хронологии инцидентов.
Рис.
1. Методы ATT&CK, охватываемые решением PT NAD На российском рынке в этом классе зарекомендовало себя решение Network Attack Discovery от Positive Technologies, которое идентифицирует 85 протоколов и парсит 30 из них.
Результаты сканирования трафика такими индикаторами могут быть очень и очень интересными.
Пилотирование решений на ряде наших клиентов подтвердило это.
В этой статье мы расскажем о нашем опыте проведения пилотов анализа трафика, который помогает обнаруживать атаки, в том числе скрытые по периметру и внутри сети, и очень полезен при расследовании инцидентов, а также благодаря функционалу хранения и анализа.
сырой трафик.
Забегая вперед, перечислим те функции решения, которые, на наш взгляд, позволяют PT NAD называться комбайном в мире информационной безопасности.
Благодаря анализу трафика можно решить следующие задачи:
- обнаружение атак по периметру и внутри сети,
- восстановление хронологии нападения,
- выявление попыток эксплуатации уязвимостей,
- выявление попыток эксплуатации уязвимостей,
- выявление уязвимостей в инфраструктуре,
- помощь в разработке компенсационных мер по предотвращению нападений,
- обнаружение скрытых атак,
- проведение расследований,
- сбор доказательств в рамках расследования инцидентов информационной безопасности,
- помощь в выполнении требований законодательства (КИИ, ГИС, АСУ ТП и т.д.),
- выявление попыток нарушения внутренней политики информационной безопасности.
Рис.
2. Правила атак в ПТ НАД Мы собрали несколько интересных, на наш взгляд, кейсов, которые позволяют оценить эффективность использования PT NAD для борьбы с современными киберугрозами.
Кейс "порты наружу"
У одного из наших клиентов порты управления (22, 3389) были открыты наружу, что являлось нарушением политики информационной безопасности.Это было сделано путем выявления многочисленных попыток подбора пароля с внешних IP-адресов.
Кроме того, были зафиксированы как внешнее сканирование портов, так и попытки подключения к различным сервисам даже при их фактическом отсутствии (фактически инициирование атаки, выявление сервисов, доступных из Интернета).
Используя эту уязвимость, злоумышленник может проникнуть в сеть и начать атаку.
Например, по результатам одного исследования, на порт 22, а также на 80 и 443 приходится примерно 65% атак.
В результате были закрыты порты 3389 и настроена авторизация с использованием сертификатов по ssh (порт 22).
Рис.
3. PT NAD обнаружил сканирование сети (IP-адреса удалены)
Уязвимость RCE и на что обратить внимание
Было обнаружено, что другой клиент воспользовался уязвимостью RCE CVE-2022-22954, поскольку публичный сервис не был обновлен из-за блокировки учетной записи на сервисном портале поставщика.Злоумышленники успешно осуществили атаку, после чего попытались запустить майнер.
Но им это не удалось, поскольку (вы уже, наверное, догадались) с помощью PT NAD была обнаружена атака и попытка подключения к майнинг-пулу, после чего сервис был санирован + создано соответствующее правило для запрета доступа .
Рис.
4. PT NAD обнаружил майнер (IP-адрес отправителя удален)
Атаки на веб-серверы
Среди других инцидентов информационной безопасности, обнаруженных нами в ходе пилотирования, сканирование внешних IP-адресов, многочисленные попытки эксплуатации уязвимостей веб-сервера — CVE 2021-41773, log4j (CVE-2021-44228), попытки выполнения различных инъекций.Злоумышленники периодически находят уязвимости в сервисах, а также ошибки в конфигурации системы.
В случае успешной эксплуатации уязвимости они могут остановить работу сервисов, заменить их своими с целью фишинговых атак на пользователей этого сервиса, а также разработать дальнейшую атаку на ИТ-инфраструктуру компании.
Необходимо понимать, что уязвимости – это, прежде всего, следствие ошибок при разработке/создании систем/сервисов, но бывают ситуации, когда они на самом деле являются косвенными особенностями функционирования систем/сервисов.
Что может быть сделано?
- Прежде всего, регулярно проверяйте конфигурации используемых систем информационной безопасности.
Важно, чтобы функции обнаружения и предотвращения угроз и вредоносного ПО были включены (печально, но факт).
- Также необходимо осуществлять полный мониторинг ИТ-инфраструктуры с точки зрения информационной безопасности.
Как минимум детальный анализ сетевого трафика на наличие индикаторов компрометации, нелегитимного трафика и доступа к вредоносным ресурсам.
Решения НТА хорошо справляются с этой задачей.
- Регламентировать использование сканеров уязвимостей для регулярного выявления уязвимых узлов в ИТ-инфраструктуре, а также проводить периодическое тестирование на проникновение для объективной оценки уровня безопасности ИТ-инфраструктуры компании.
Туннелирование трафика
Кроме того, в ходе пилотирования ПТ НАД были выявлены нарушения правил информационной безопасности в части использования некорпоративных мессенджеров и средств сокрытия (туннелирования) трафика.
Рис.
5. Подключитесь к TOR с ПК пользователя (IP-адрес отправителя удален) Практически всегда мы сталкиваемся с ситуацией, когда не используется SSL-инспекция сетевого трафика.
Несмотря на то, что этот механизм достаточно прост в настройке и использовании в корпоративных ИТ-инфраструктурах, его используют очень немногие компании.
Учитывая, что большинство вредоносных программ используют туннелирование SSL/TLS, использование проверки SSL является обязательным.
Мы рекомендуем, если возможно, включить проверку SSL в сочетании с модулями IPS и AV для обнаружения атак в зашифрованном трафике.
Wi-Fi без ограничений
Другая распространенная ситуация — отсутствие политик ограничительного доступа и предоставление неограниченных разрешений на доступ к сети.Существует несколько примеров, когда гостевая сеть Wi-Fi не имеет каких-либо ограничений, в результате чего возможны различные варианты: от неправомерного использования подключения к Интернету до вредоносной активности.
В обоих случаях, конечно, есть определенные аспекты, но тем не менее необходимо обеспечить должный уровень контроля над сетевой активностью.
Конечно, мы часто сталкиваемся с ситуациями, когда нет технической возможности проверить SSL или возникают трудности с полным контролем сетевой активности.
В таких случаях использование решений NTA является обязательным, поскольку на данный момент их функционал чрезвычайно силен — от выявления утечек данных, сканирования, вредоносной активности до анализа SSL/TLS-трафика без расшифровки.
Естественно, анализ расшифрованного трафика позволит получить более подробную информацию, но, тем не менее, общие маркеры/паттерны вредоносной активности можно выявить и без проверки SSL. Решение класса NTA помогает компаниям выявлять скрытые и целевые атаки как по периметру, так и внутри сети, собирать доказательства для расследования киберинцидентов и контролировать соблюдение политик информационной безопасности.
Эксперты CTI расскажут подробности на вебинаре 9 июня, а также продемонстрируют работу PT NAD в прямом эфире и ответят на все ваши вопросы.
За лучшие вопросы — крутые призы от CTI. Присоединяйтесь и зарегистрируйтесь связь .
Теги: #информационная безопасность #кибератаки #wi-fi #НТА #нта системы
-
Важность Испытаний На Электробезопасность
19 Oct, 24 -
Formalista.org Снова В Действии
19 Oct, 24 -
Не Изучайте Фреймворки, Изучайте Архитектуру
19 Oct, 24 -
Универсальная Метасистема В C++
19 Oct, 24 -
О Чем Говорил Манштейн? Об Управлении.
19 Oct, 24 -
Google И Skype Объединяют Сервисы Voip
19 Oct, 24
