Мониторинг поведения пользователей для обнаружения внутренних угроз. 10.06.2018 14:39Мониторинг поведения пользователей для обнаружения внутренних угроз
Риск инсайдерских угроз значительно вырос сейчас, когда хакеры способны обходить все более сложный периметр безопасности крупных организаций. Инсайдеры являются наиболее частыми причинами утечки данных клиентов или промышленных и торговых секретов. Большое разнообразие типов и техник атак входят в этот вид угроз. Давайте рассмотрим, как подобное поведение можно было бы обнаружить на сетевом уровне.
Сто терабайт данных было украдено в компании Sony Pictures в 2014 году. Сотрудник корейского кредитного бюро продал данные 104 миллионов клиентов компании маркетинговому агентству. Инженеры компании Target не уделяли внимания предупреждениям системы безопасности. Что объединяет эти случаи? Они представляют собой отличные примеры трех основных типов инсайдерских атак, которые были реализованы, и реализованы успешно.
1. Cоциальная инженерия – случай с компанией SONY PICTURES
Инструмент номер один в социальной инженерии – обычная электронная почта. Хакеры изощряются в поиске различных способов заставить жертву делать то, что им нужно. По статистике, для манипуляции лучше всего срабатывать перспектива денежного вознаграждения. Фишинг и фарминг – также наиболее часто используемые техники (подробнее см. серию публикаций Frequent & Dangerous).
Итак, как же Flowmon поможет в данной ситуации? Обычно, первый метод обнаружения инсайдерских атак, который необходимо запустить в решении Flowmon – это черный список (BLACKLIST). В этом случае заметен обмен информацией с известными фишинговыми страницами, источниками вредоносного ПО или серверами команд и управления (Command & Control). Если устройство заражено вирусом, мы смотрим на другие признаки компрометации. Вредоносный код, вне всякого сомнения, будет выполнять следующие действия, обнаруживаемые Flowmon ADS:
- «Звонок домой» серверу C&C, иногда прямой обмен информацией через Интернет.
- Разведывательное сканирование и сопутствующие действия – сканирование портов, последующая попытка подбора пароля методом brute force для получения контроля или дальнейшего распространения вредоносного кода.
- Эксфильтрация данных – подробнее далее в этой статьи
Для лучшего понимания активности вредоносного кода на сетевом уровне см. блог.
Недавно компания Flowmon представила новый метод обнаружения инсайдерских угроз под названием BPATTERNS, которое позволяет легко определять правила обнаружения. Инженеры Flowmon разработали модели поведения атак, таких как WannaCry, Petya или BadRabbit и по вашему желанию решение Flowmon ADS автоматически подключится к services.flowmon.com для регулярно автоматического обновления.
2. Хакеры среди нас – случай корейского кредитного бюро
Обычные люди, будучи неудовлетворенные своей работой, обычно увольняются или продолжают работать из-за ее преимуществ. Но некоторые из них, переходя на новую работу, копируют себе базу данных с контактами или адресами электронной почты, отдельные сотрудники допускают утечку данных, когда они не увольняются. Какой бы ни была причина, всегда важно проводить мониторинг деятельности пользователей на сетевом уровне.
Утечка данных обычно заметна при загрузке файлов из внутренней сети, что можно легко заметить путем простого обнаружения аномалий. Но бывают и более сложные угрозы и утечки, когда требуется что-то вроде расширенного интеллектуального анализа поведения. Некоторые клиенты Flowmon регулярно обнаруживают скрытые каналы коммуникации, когда полезная нагрузка отправляет через нестандартные протоколы, с которыми не справляют обычные системы фильтрации трафика. Глядя на характеристики пользовательского трафика, можно увидеть полезную нагрузку, пересылаемую, среди прочих, по протоколам ICMP, которые обычно используются для передачи сигналов, таким образом, эта полезная информация должна состоять из пакетов небольшого размера. Более интересна возможность Flowmon обнаружения DNS туннелирования. Даже если у вашего устройства нет прямого доступа в Интернет, все, что требуется атакующему – это доступ к хотя бы одному внутреннему DNS-серверу, у которого есть доступ к внешнему DNS-серверу и серверам Command & Control, как к партнерам по связи. Используя обычный функционал DNS и законные серверы, скомпрометированное устройство и C&C-сервер могут установить двухстороннее соединение и обмениваться текстовыми сообщениями, зашифрованными в запросе DNS-сервера. В блоге компании Flowmon можно ознакомиться с любопытными вещами о мониторинге DNS.
3. Некоторые люди не считаются с политиками безопасности – случай с компанией TARGET
Эксперты Gartner называют таких сотрудников «Goofs» (кретин). Им известно, что они не должны подключаться к критическим системам с незащищенных сетей или компьютеров. Они не должны вносить не согласованные предварительно изменения. Но они это делают. Иногда им нужно выполнить неотложную задачу в сжатые сроки. Иногда они ленивы. У них никогда нет плохих намерений. Как их отличить от реальных хакеров? Как можно отследить их зловредное поведение в сети? Они могут использовать одноранговые связи, а также VPN туннели, инструменты обхода прокси-сервера или анонимайзеры, такие как TOR, для подключения к даркнету.
Все это стандартные коробочные возможности решения Flowmon ADS. С помощью зондов Flowmon можно достигнуть визуализации многих протоколов на уровне приложений, можно также полностью захватывать пакеты. Подробнее можно почитать в блоге CTO компании Flowmon Павла Минарика.
Вызовы стратегий защиты
Инструменты защиты могут быть основаны на процедурах и технологиях. Что касается процедур, можно найти лучшие практики и рекомендации. Можно платить за дорогую оценку и аудит рисков, которые помогут укрепить безопасность компании. К тому же после вступления в силу требований GDPR «можно» нужно трансформировать в «обязаны». И решения Flowmon могут помочь в выполнении требований стратегии GDPR
С точки зрения технологий, уважаемая аналитическая компания Gartner говорит, что “большинство организаций имеют ограниченные возможности выделения технических ресурсов на программу защиты от инсайдерских угроз и ограничены в типах данных, которые они могут проактивно собирать и анализировать на наличие инсайдерских угроз».
Источник: Best Practices for Managing Insider Security Threats
С учетом вышесказанного, можно сказать, что управление статистикой и SIEM-системы часто выходят за пределы финансовых возможностей многих компаний. В этом случае NetFlow/IPFIX можно рассматривать в качестве эффективного источника данных. Это решение не может полностью заменить SIEM, но оно предлагает лучшее решение на рынке с точки зрения соотношения цены и производительности для обнаружения инсайдерских атак. Причина этого в том, что NetFlow/IPFI можно экспортировать из любого приемлемого маршрутизатора и коммутатора, которые уже развернуты в сети компании. А в случае последующего приобретения SIEM данные от решений для обнаружения на основе NetFlow/IPFIX могут стать незаменимыми источниками статистических данных.
Выводы
Процедуры или технологии по отдельности никогда не смогут дать требуемый уровень безопасности, поэтому правило номер один заключается в создании эффективной комбинации этих двух методов. Обучите сотрудников, контролируйте их доступ, ведите статистику их активности и, самое главное, выявляйте уязвимости с помощью технологий, что окупится в самое быстрое время.