|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
216 Активные сенсоры |
|
|
|
|
to |
|
|
|
|
|
|
||||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
Когда вы контекстуализируете данные, то естественным образом умень |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
шаете количество ложных срабатываний и даете исследователю безопасности более значимый результат.
Индикаторы компрометации
Говоря об обнаружении, важно упомянуть об индикаторах компрометации. Когдановыеугрозыобнаруживаютсявестественнойсреде,унихобычноимеет- сякакой-топоведенческийшаблониониоставляютсвойследвсистемежертвы.
Например, программа-вымогатель Petya выполнила следующие команды в целевой системе, чтобы перепланировать перезапуск:
schtasks /Create /SC once /TN "" /TR "<system folder>shutdown.exe /r /f" /ST <time> cmd.exe /c schtasks /RU "SYSTEM" /Create /SC once /TN "" /TR "C:Windowssystem32shutdown.exe /r /f" /ST <time>
Еще одним индикатором действия этой программы является сканирование локальной сети через порты TCP 139 и TCP 445.Это важные признакитого,что в целевой системе происходит атака, а виновник – Petya. Системы обнаруже- ния смогут собирать эти индикаторы компрометации и выдавать оповещения при совершении атаки. Используя Azure Security Center в качестве примера, спустя несколько часов после вспышки Petya центр автоматически обновляет свой механизм обнаружения и может предупредить пользователей о том, что их компьютер был скомпрометирован, как показано на рис. 11.2.
Рис.11.2
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
Возможности обнаружения 217to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
Вы можете зарегистрироваться на сайте OpenIOC (http://openioc.org), чтобы |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
получить информацию о новых индикаторах, а также внести свой вклад в со- общество. Используя IoC Editor (обратитесь к справочному разделу, где указан URL-адрес,с которого его можно загрузить),вы можете создать свой собствен- ный индикатор или просмотреть уже существующий. На рис. 11.3 показан IoC Editor,демонстрирующий троян DUQU.
Рис.11.3
Если вы посмотрите нижнюю панель справа, то увидите все признаки ком- прометации и логических операторов (в данном случае большинство из них – это AND), которые сравнивают каждую последовательность и возвращают положительные значения только в том случае, если все верно. Синяя команда всегда должна быть в курсе последних угроз и индикаторов компрометации.
Вы можете использовать эту команду PowerShell для загрузки индикатора из OpenIOC. В приведенном ниже примере вы загружаете индикатор для Zeus:
wget
"http://openioc.org/iocs/72669174-dd77-4a4e-82ed-99a96784f36e.ioc" -outfile "72669174-dd77-4a4e-82ed-99a96784f36e.ioc"
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
218 Активные сенсоры |
|||||
w Click |
|
|||||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
|
Системы обнаружения вторжений |
||||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Как следует из названия, система обнаружения вторжений (СОВ, intrusion detection system IDS) отвечает за обнаружение потенциального вторжения и инициирование оповещения. Что можно сделать с этим оповещением, за- висит от политики системы обнаружения. При создании политики СОВ необ- ходимо ответить на следующие вопросы:
Кто должен контролировать СОВ?
У кого должен быть доступ с правами администратора к СОВ?
Как будут обрабатываться инциденты на основе оповещений, генери руемых СОВ?
Какова политика обновления СОВ?Где нужно установить СОВ?
Это лишь некоторые примеры первоначальных вопросов, которые долж- ны помочь в планировании принятия СОВ. При поиске системы обнаружения вторжений также можно обратиться к списку поставщиков в ICSA Labs (www. icsalabs.com) для получения дополнительной информации о поставщике. Не- зависимо от бренда типичная система обнаружения вторжений обладает воз- можностями, показанными на рис. 11.4.
Панель управления СОВ
• Статистический анализ • Анализ аномальной активности • Анализ шаблонов
Анализ действий и уязвимостей сервера
СОВ
Мониторинг и анализ действий пользователя
Рис.11.4
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
Система предотвращения вторжений 219to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
Хотя это основные возможности, количество функций в действительности |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
будетзависетьотпоставщикаиметода,используемогоСОВ.Системаобнаруже- ния вторжений на базе сигнатур будет запрашивать базу данных о сигнатурах (следах) уже известных атак и известных системных уязвимостях, чтобы про- верить, является ли то, что было обнаружено, угрозой и должно ли сработать оповещение. Поскольку это база данных сигнатур, она требует постоянного обновления, чтобы располагать последней версией. Основанная на поведении СОВ работает,создавая базовые шаблоны,на основе того,что она узнала от си- стемы.Изучив нормальное поведение,становится легче выявлять отклонения.
Оповещение СОВ–это любой тип уведомлений пользователя,чтобы сообщить о потенциальной атаке.
Cистема обнаружения вторжений также может базироваться на отдельной машине, когда механизм СОВ будет обнаруживать попытку вторжения только на конкретный хост, или это может быть сетевая система обнаружения втор- жений (ССОВ), которая определяет вторжение для сегмента сети, в котором установлена ССОВ. Это означает, что в случае с ССОВ размещение становится критически важным для сбора ценноготрафика.Именно здесь Синяя команда должна тесно сотрудничать с командой IT-инфраструктуры,чтобы обеспечить установкусистемыобнаружениявторженийвстратегическиважныхместахпо всей сети. При планировании размещения ССОВ установите приоритетность следующих сегментов сети:
ДМЗ/периметр;основная корпоративная сеть;беспроводная сеть;
сеть виртуализации;другие критические сегменты сети.
Эти сенсоры будут прослушивать трафик, а это означает, что они не будут потреблять слишком много пропускной способности сети.
На рис. 11.5 приведен пример размещения СОВ.
Обратите внимание,что в этом случае система обнаружения (которая на са- мом деле в данном случае представляет собой ССОВ) была добавлена к каждо- му сегменту (используя SPAN-порт на сетевом коммутаторе). Это всегда так? Вовсе нет! Это будет варьироваться в зависимости от потребностей вашей компании. Синяя команда должна знать об ограничениях компании и помочь определить наиболее подходящее место для установки этих устройств.
Система предотвращения вторжений
Система предотвращения вторжений (СПВ, intrusion prevention system – IPS) используетту же концепцию СОВ,но,как следуетиз названия,она предот- вращает вторжение, предпринимая корректирующие действия. Эти действия будут настроены администратором СПВ совместно с Синей командой.