Pět příznaků, že útočník už pronikl do vaší sítě

Podle některých odhadů útočníci pronikli až do 96 % všech sítí – takže je nutné je odhalit a zastavit, aby neměli čas na eskalaci oprávnění, nalezení cenných aktiv a ukradení dat. Přinášíme popis vhodných protiopatření.

Pět příznaků, že útočník už pronikl do vaší sítě


Útok na firemní síť nekončí infekcí nebo převzetím koncového bodu – zde teprve začíná. Z takového místa je útok vysoce aktivní a útočníka lze zjistit a zastavit, pokud víte, jak ho najít. Pomůže vám k tomu následujících pět strategií.

 

  1.  Hledejte příznaky narušení. 

Vyhledávejte skenování portů, nadměrně neúspěšné pokusy o přihlášení a další druhy průzkumných aktivit, protože se útočník snaží zmapovat vaši síť.

Útočník bude zpočátku potřebovat porozumět topologii sítě, do které pronikl. Bude hledat zranitelné koncové body a servery a zaměří se na uživatele s oprávněním správce a na sklady cenných dat.

Většina nástrojů detekce narušení dokáže detekovat známé skenery portů. Rozlišení mezi skrytým průzkumem a legitimním skenováním využívaným při vysílání v síti je však složitější.

Přiznejme si to – většina počítačů a aplikací je doslova upovídaná. Přesto však lze najít anomálie svědčící o útoku, pokud jste definovali, kolik portů a cílů mohou různá zařízení ve vaší síti obvykle využívat.

  • Zdroj dat: Nástroje pro monitoring či správu sítě, agregace NetFlow.
  • Problémy: Útočníci mohou pracovat nenápadně a pomalu, takže budete potřebovat udělat některé analýzy založené na čase. Můžete také mít mnoho upovídaných nástrojů a protokolů, takže chvíli potrvá, než se podaří odfiltrovat šum.

 

  1. Hledejte „normální“ uživatele vykonávající administrátorské úlohy.

Útočníci stále častěji používají v počítačích a na serverech spíše nativní nástroje než známé útočné nástroje a malware, aby je nedetekoval antivirový software nebo software EDR (Endpoint Detection and Response). To je však samo o sobě anomálií, kterou lze detekovat.

Pokuste se zjistit, kdo jsou vaši administrátoři. Adresářové služby, jako jsou služby Active Directory, vám pomohou vytvořit v rámci vaší organizace uživatelské role a oprávnění.

Potom zjistěte, jaké nástroje vaši správci používají a jaké aplikace či zařízení obvykle spravují – například databáze ERP a intranetový web. S těmito znalostmi můžete rozpoznat situace, kdy útočník převezme stroj a začne vykonávat administrátorské úlohy neočekávaným způsobem.

  • Zdroj dat: Kombinace informací o síti (síťové pakety nebo data NetFlow) a informací z adresářových služeb poskytne nejlepší způsob, jak identifikovat administrátorské chování.
  • Problémy: Bohužel neexistuje jeden zdroj informací, který by vám přesně řekl, kdo jsou vaši správci a jaké vybavení spravují. Monitorování využití SSH a RPC z perspektivy kurzu však dokáže poskytnout dobrý výchozí bod.

Výsledkem pravděpodobně bude velké množství falešně pozitivních nálezů, ale časem už dokážete zrno od plev oddělit. Seznam schválených administrátorů vám poskytne výchozí bod, který pomůže při detekci.

 

  1. Hledejte zařízení, která používají více účtů a přihlašovacích údajů pro přístup k síťovým prostředkům.

Útočníci rádi využívají přihlašovací údaje k usnadnění svých postupů a ke skrývání. Ukradnou nebo vytvoří účty a využijí je k průzkumu a k získání přístupu. To je projev vnějších i vnitřních útočníků.

Analyzujte využívání přihlašovacích údajů, abyste našli anomálie ukazující na takový typ útočných aktivit.

  • Zdroj dat: Monitoring síťového provozu a analýza protokolů infrastruktury autentizace a autorizace jsou nejlepší zdroje pro odhalení zneužití přihlašovacích údajů.

Extrahujte tato data a analyzujte je, abyste získali představu o tom, s kolika systémy každý uživatel obvykle komunikuje. Poté monitorujte anomálie.

  • Problémy: Rozdíly mezi uživateli jsou velké, ale můžete se pokusit definovat tzv. „průměrného“ uživatele. Dokonce i jen výpis uživatelů s velkými objemy může poskytnout dobrou viditelnost – když se v seznamu objeví nové jméno, můžete ho zkontrolovat.

 

  1.  Hledejte útočníka, který se snaží najít cenná data na souborových serverech.

Jedním z kroků, který útočníci obvykle dělají, je zjištění, jaké souborové systémy Windows jsou široce dostupné, aby mohli získat důležitá data, jako například duševní vlastnictví a čísla kreditních karet, nebo mohli vzdáleně zašifrovat data pro získání výkupného.

Nalezení anomálií v přístupech ke sdílení souborů může být cenným signálem a může vás také upozornit na zaměstnance, který zvažuje interní krádež dat.

  • Zdroj dat: Protokoly z vašich souborových serverů jsou nejlepším způsobem, jak to zvládnout. Bude to však vyžadovat určité analýzy, aby došlo k transformaci do podoby uživatelské perspektivy a k získání schopnosti vidět anomálie v přístupu uživatelů.
  • Problémy: K některým sdíleným úložištím souborů přistupují skutečně všichni, a pokud se tam nějaký uživatel dostává poprvé, může to vytvořit velký výkyv a falešně pozitivní indikaci.

Kromě toho jsou údaje o přístupu dost chaotické a těžko analyzovatelné. Lze to vidět i pomocí síťových nástrojů, ale extrakce podstatných informací je velmi pracná.

 

  1. Hledejte aktivity velení a řízení a mechanismy trvalého přístupu.

Útočníci potřebují způsob komunikace mezi internetem a koncovými body, které kontrolují ve vašem prostředí. Přestože se používá při útoku méně malwaru než kdysi, stále se přítomnost škodlivého softwaru a nástrojů vzdáleného přístupu v podobě trojských koní (RAT – Remote Access Trojans) dá očekávat.

Sledujte odchozí komunikaci, zda se v ní nevyskytují příznaky malwaru volajícího domů.

  • Zdroj dat: Mnoho bezpečnostních nástrojů pro perimetr již vyhledává aktivity velení a řízení. Cílený malware se může pokusit kontaktovat zdroje AWS či Azure nebo nové servery, které nebudou rozpoznány tradičními službami threat intelligence (zpravodajství o hrozbách).

Své současné zabezpečení můžete rozšířit o kontrolu, zda se v protokolech DNS nevyskytují vzory dotazů DNS, které by ukazovaly na malware pokoušející se najít řídicí servery.

Mnoho neúspěšných požadavků DNS nebo požadavků, které vypadají jako strojově generované názvy domén, je příznakem malwaru naprogramovaného tak, aby zabránil zablokování na základě reputace.

  • Problémy: Útočníci mají mnoho způsobů, jak skrývat přenosy velení a řízení, takže je dobré dávat si pozor, ale nespoléhat při zjišťování malwaru jen na tento typ detekce.

Nikdy nelze říci, jakou kombinaci běžných internetových stránek včetně služeb Twitter, Craigslist, Gmail a mnoha dalších by malware mohl zneužít pro řídicí komunikaci.

Vyplatí se tedy vynaložit určité úsilí na sledování těchto aktivit, ale není to tak důležité jako sledování bočního pohybu a nadměrného používání přihlašovacích údajů, které je pro útočníka mnohem těžší utajit.

 

Automatizace a strojové učení

Existuje tedy celá řada dostupných nástrojů a postupů, které mohou pomoci najít...

 

Tento příspěvek vyšel v Security Worldu 3/2016. Oproti této variantě je obsáhlejší a obsahuje řadu dalších rad, které můžete využít u sebe ve firmě.

Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.

Úvodní foto: © Péter Mács - Fotolia.com










Komentáře