Как противостоять APT?
После публикации моего первого поста, посвященного APT, вышел Microsoft Security Intelligence Report (SIRv12) – отчет по информационной безопасности Microsoft за июль-декабрь 2011 года и в этой части, изначально посвященной противодействию ATP, я добавил некоторые особенности, касающиеся инструментов и способов проникновения злоумышленников в сеть организации.
В предыдущем посте мы с вами убедились, что в процессе APT-атак используются типовые инструменты и ничего особо продвинутого не применяется. Отсюда можно сделать простой вывод: чтобы надежно защититься от ATP, достаточно следовать общеизвестным и широко рекомендуемым политикам ИБ.
Например, Microsoft до сих пор ни разу не подверглась успешной APT. За данные обрабатываемые внутри компании, атакующие дали бы многое. Windows Update способный распространять ПО миллиарду ПК на планете, представляет собой настоящий Форт Нокс для злоумышленников. И это не значит, что мы используем какие-то секретные технологии, созданные специально для себя. Совсем наоборот: мы рекомендуем всем нашим клиентам те же политики безопасности и инструменты для ее обеспечения, которыми пользуемся сами. Однако, многие компании подчас проявляют непростительную беспечность.
Давайте еще раз вернемся к нескольким типовым способам APT.
Первый способ - сотруднику компании присылается письмо с документом, эксплуатирующим уязвимости в почтовом клиенте, текстовом редакторе, программе для просмотра pdf или других документов. Либо жертву заманивают на сайт атакующий сам браузер или плагины браузера (flash, javascript или java).
Принято верить, что в атаках эксплуатируют неизвестные уязвимости, но статистика из Microsoft SIR показывает, что 0 day уязвимости используются крайне редко. Их применение замечено в пределах 0,12% - 0,37% случаев атак. В большинстве случаев обновление, закрывающее уязвимости, эксплуатируемые в ходе атак, выпущено более чем за несколько месяцев до атаки. В особо запущенных случаях обновление доступно годами.
Также ошибочным оказалось распространенное суждение о том, что альтернативные платформы защищены от подобных атак и практически неуязвимы. Недавний случай с массовым заражением MacOS X компьютеров через старую уязвимость в Java показывает, что и это не так.
Второй способ – атаки на внешние сервисы, такие как сайт компании. Здесь защита проста: своевременные обновления. Также рекомендуется вынос системы в изолированную демилитаризованную зону DMZ, которая позволяет создавать только односторонние соединения со стороны корпоративной сети. Управление внешними системами следует выполнять с помощью специально предназначенных для этого аккаунтов, которые невозможно будет применить для проникновения в основную сеть. Это позволит сдержать атакующих и даст защитникам время для принятие мер, если взлом все же будет осуществлен.
Еще одним способом атаки на организацию является разбрасывание USB дисков или прочих носителей данных с вредоносным кодом рядом со зданиями жертвы. Также злоумышленники могут попытаться запустить нужное ПО или установить миниатюрное атакующее оборудование внутри инфраструктуры жертвы с помощью инсайдеров. От этого может защитить запрещение подключения внешних носителей, исполнения ПО, не входящего в список доверенного, с помощью Software Restriction Policy, Applocker и отключение от сети неавторизованных устройств.
В целом, противодействие APT, как уже было сказано, может быть сведена к простому следованию существующим политикам ИБ.
Так, существенной преградой на пути APT является отказ от работы пользователей с привилегиями локального администратора. Исследование BeyondTrust за 2010 год в котором они протестировали уязвимости в продуктах Microsoft за 2010 год показывает что работа с правами стандартного пользователя сводит на нет 75% критических уязвимостей Windows 7, 100% уязвимостей Microsoft Office, 100% уязвимостей Internet Explorer.
Хорошим вариантом станет применение бесплатного инструмента EMET включающего технологии ASLR, DEP, SEHOP и многие другие - для защиты уже установленные приложений на системном уровне. EMET также может защищать устаревшие приложения, которые вы все еще вынуждены использовать. Microsoft протестировала EMET, атаковав свои приложения и ОС с помощью 184 популярных эксплоитов без установки обновлений в систему. В Windows XP c включенным EMET сработало только 21 из 184 эксплоитов и только 10 эксплоитов сработало на Windows 7 RTM. Как видите EMET позволяет существенно снизить риски атак даже для не обновленных приложений.
Но предпочтительным остается быстрое обновление всего ПО, установленного на ПК, серверах организации, мобильных системах. Речь идет не только о ПО от Microsoft, но и широко распространённом ПО третьих сторон. Это важно, потому что по статистике Secunia 78% уязвимостей, которым подвержен типовой Windows ПК, находятся в продуктах третьих сторон. Уязвимости в ОС и продуктах Microsoft составляют всего 22% уязвимостей актуальных для типового ПК. Это значит, что у вас должна быть хорошо отработаны процессы учета и обновления не только ПО от Microsoft, но и ПО от третьих сторон. Для ускоренного развертывания обновлений продуктов Microsoft рекомендуется участвовать в программе раннего тестирования обновлений SUVP.
Также следует применять активную защиту сети от мобильных и стационарных систем, не соответствующих политикам безопасности, не имеющих необходимых обновлений, работающих без антивируса или с неправильно настроенным ПО безопасности, а также остановленными критическими сервисами. С помощью NAC представителем которых является, например, бесплатный Network Access Protection вы сможете защититься от таких проблем. Все системы не соответствующие политикам безопасности организации будут помещены в изолированную карантинную сеть, где смогут автоматически или самостоятельно привести себя в соответствие политикам.
Как я писал в предыдущем посте, после того как злоумышленники закрепились на одной из ваших систем они попытаются собирать хеши паролей пользователей организации, чтобы применять атаку pass the hash. Передвигаясь от системы к системе, они будут практиковать эту атаку много раз, пока не найдут хеши привилегированных пользователей. Утилиты WCE, minkatz, pwdump, собирающие хеши из систем, требуют для своей работы права администратора. Это значит, что у нас появляется способ построить еще один рубеж обороны и затруднить жизнь атакующим просто перестав работать с излишними правами. На этом этапе ваши системы аудита могут заметить огромное количество соединений между системами, которые ранее очень редко общались друг с другом. Устанавливайте в своей инфраструктуре системы-ловушки (honeypot). Если в них кто-то входит, значит в вашей инфраструктуре хозяйничают незваные гости. Если применять атаку pass the hash окажется тяжело, атакующие начнут искать системы с простыми паролями.
Важно помнить и о том, что, исследую вашу инфраструктуру, атакующие будут генерировать довольно много трафика. Это позволит вам увидеть их активность с помощью систем корреляции событий безопасности SIEM.
Согласно исследованию большинство вредоносного ПО, контролируемого снаружи, попытается связаться с контрольным центром в первую же минуту после установки и затем регулярно повторяет попытки. В случае успешной атаки злоумышленники должны постоянно проводить выемку данных организации, для этого они будут регулярно создаваться исходящие соединения из вашей инфраструктуры. Для передачи данные будут кодировать и упаковывать в стандартные протоколы http, https, ftp, dns. Мониторинг передаваемых наружу данных позволит вам обнаружить атаку быстрее. Часто для управления атакой и выемки данных из нескольких организаций используется одни и те же сервера в Интернете. Список сетей и серверов, замеченных в противоправных активностях можно взять у компаний Dambala, Mandiant, Unveillance. Также стоит обращать внимание на форматы легально передаваемых данных. Если на вашем прокси-сервере замечено аномальное количество rar архивов, в то время как в компании стандартом архивирования является zip или arj, значит есть повод для беспокойства.
Как уже было сказано, неоправданно большое количество сотрудников, обладающих административными привилегиями – действительно большая проблема, которую нельзя игнорировать. Практика показывает, что ИТ-персонал во многих компаниях является самым злостным нарушителем политик безопасности. Типичные нарушения: несоблюдение политик сложности и частоты паролей, использование серверов для посещения Интеренета и чтения почты. Защитой от таких проблем может стать регулярный аудит ИБ Active Directory c помощью Microsoft ADRAP, использование наименьших привилегий и ролевое делегирование прав доступа. Также необходимо регулярно проводить аудит инфраструктуры с помощью Microsoft Security Assessment Tool (MSAT), Microsoft Baseline Security Analyzer (MBSA) или Microsoft Security Compliance Manager.
Еще одной распространённой проблемой является отсутствие грамотной структуры доменов AD и сегментирования сети, а также единого координированного управления политиками ИБ: сети многих крупных компаний разрослись и эволюционировали до состояния достаточно хаотичного, когда левая рука не знает, что делает правая.
Подобное положение вещей всегда внушало серьезное опасение ИБ-специалистам, однако, сегодня, когда количество профессиональных и хорошо финансируемых APT-атак растет, игнорировать его уже нельзя. Ключом к сегментации сети может выступать принцип, на основании которого можно оценить критичность всех систем и ценность обрабатываемой информации. Необходимо провести категоризацию и разграничение инфраструктуры с помощью IPsec и механизма Server and Domain isolation. Это позволит обмениваться данными с критическим системами только тем, кому это необходимо.
К примеру, Microsoft рекомендует изолировать сервера и ПК с самыми ценными данными, так чтобы они были доступны только членам определенной группы AD, с компьютеров находящихся в определенных зданиях при условии успешной двухфактроной аутентификации по паролю и смарт-карте. Остальные сотрудники не смогут обмениваться траффиком с этими системами не только снаружи, но и изнутри компании. Более того, самые ценные данные по R&D проектам можно поместить в специальный сегмент сети с воздушным зазором, доступ к которому извне невозможен в принципе.
Также между сегментами сети можно установить системы фильтрации трафика позволяющие распознавать и фильтровать атаки на основе сигнатур сетевого трафика, таких как Forefront TMG.
Одним из признаков атаки может служить появление ПО которое вы не устанавливали: gsecdump, Cain & Abel. Или ПО удаленного администрирования, не применяемого в вашей компании, такое как Hyena Active Directory или среды исполнения скриптов на языке Windows Powershell для которой, казалось бы, никто в вашей организации не пишет скриптов.
В итоге
Если взять гипотетическую ситуацию с нацеленной атакой на инфраструктуру, в которой грамотно применены все рекомендации и политики, то можно с большой долей уверенности говорить о том, что она не будет 100% непробиваемой, но достаточно надежной, чтобы злоумышленники в ходе APT-атаки, испробовав все распространённые способы, увязли в системе защиты. Это даст вам время провести дополнительную сегментацию сети, реорганизовать оборону и изолировать, то зачем пришли атакующие, гораздо более надежно.
В связи с тем, что APT атаки обычно производятся с территории государств закрывающих глаза либо благосклонно относящихся к таким деяниям,