Attack Deception System

ADS jest rozwiązaniem będącym implementacją nowego podejścia do bezpieczeństwa cybernetycznego – ang. „deception technology”. Wywodzi się ono ze znanego mechanizmu „honeypot”, którego celem jest zwabienie intruza do pułapki – miejsca specjalnie w tym celu wydzielonego w infrastrukturze – i tym samym odsunięcie zagrożenia od elementów o krytycznym dla funkcjonowania organizacji znaczeniu.

Obrona przed nowymi metodami ataków – ochrona reaktywna i proaktywna

Architektura bezpieczeństwa stosowana jako pierwsza linia obrony zmienia się zbyt wolno w stosunku do coraz nowszych metod ataku, a w rezultacie zawodzi w przypadku zaawansowanych metod penetracji brzegu sieci. Attack Deception System (ADS), rozwiązanie polskiej firmy STM Solutions, jest implementacją nowego podejścia do bezpieczeństwa cybernetycznego – ang. „deception technology”. Wywodzi się ono ze znanego mechanizmu „honeypot”, którego celem jest zwabienie intruza do wydzielonego miejsca w infrastrukturze – pułapki – i odciągnięcie od strategicznych elementów infrastruktury o krytycznym znaczeniu dla funkcjonowania organizacji.
Honeypoty to ‘pułapki’ wyizolowane z właściwego środowiska produkcyjnego. Komponenty te imitują chronioną infrastrukturę i skonfigurowane są w taki sposób, aby przełamanie ich zabezpieczeń było umiarkowanie skomplikowane dla doświadczonego hackera. Po spenetrowaniu przez atakującego uruchamiane są mechanizmy identyfikacji oraz rejestracji metod i narzędzi użytych przez przestępcę. Osoby odpowiedzialne za utrzymanie bezpieczeństwa w przedsiębiorstwie klienta obserwują atak i są w stanie kontrolować działania hackera, by przeanalizować, określić i wdrożyć sposób mitygacji ryzyka i ograniczenia jego skutków takich jak kradzież kluczowych danych, degradacja usługi czy zatrzymanie ciągłości biznesowej

System ADS łączy w jednym rozwiązaniu:

  • ochronę reaktywną – podstawą systemu jest wykrywanie ataków tylko na podstawie logów klienta
  • ochronę proaktywną w ADS ustawiane są pułapki w formie specjalizowanych modułów bezpieczeństwa dla usług sieciowych (ADS Portspoof), sieci bezprzewodowej (ADS WiFi Client Analyzer), sieci SCADA (ADS HoneyNet SCADA) czy serwerów w DMZ (ADS HoneyNet DMZ) tak, aby zakamuflować rzeczywistą infrastrukturę i pozwolić atakującemu „włamać” się. Pierwsze próby rekonesansu są widoczne natychmiast. Postęp ataku jest monitorowany przez zespół SOC na bieżąco w konsoli ADS, a dostarczane dane mogą posłużyć do natychmiastowej analizy i zrozumienia ataku. Jednocześnie możliwe jest, z poziomu ADS, wpływanie na zachowanie atakującego poprzez np. wydłużanie czasu skanowania, prezentowanie kolejnych usług-pułapek czy realizację innego scenariusza skutkującego odkryciem atakującego. W tym samym czasie inne zespoły mogą przygotować najlepszy sposób zatrzymania przeciwnika.

Wykrywanie anomalii i działań nieautoryzowanych

ADS nieprzerwanie monitoruje infrastrukturę, wykrywając anomalie i wszelkie działania nieautoryzowane, a także zbiera, analizuje i koreluje istotne informacje o incydencie i zdarzeniach pobocznych. Następnie przedstawia je w czytelnym interfejsie, w jednym widoku – zaprojektowanym tak, aby Klient mógł skonfigurować prezentowane dane według swoich preferencji.
ADS pozwala na detekcję anomalii i działań nieautoryzowanych w systemach teleinformatycznych, automatyki przemysłowej oraz z użyciem danych z systemów kontroli dostępu fizycznego i telewizji przemysłowej CCTV. Dzięki korelacji danych z tych środowisk w jednym miejscu całościowe zarządzanie bezpieczeństwem jest skuteczniejsze, a wykrywanie naruszeń – sprawniejsze.
Z poziomu ADS możliwe jest także weryfikowanie realizacji polityk bezpieczeństwa. Nasze obserwacje i doświadczenia w badaniu podatności firm na włamanie cybernetyczne pokazują, że np. hasło administracyjne, które nie jest zmieniane od wielu miesięcy czy (sic!) lat jest idealnym miejscem do nieskrępowanego prowadzenia działań przestępczych przez wiele tygodni.

Zaprojektowany w oparciu o doświadczenie z realnych ataków

Firma STM Solutions pomaga organizacjom podwyższyć poziom bezpieczeństwa m.in. poprzez prowadzenie audytów bezpieczeństwa i testów penetracyjnych black-box. Podczas takich autoryzowanych przez klienta działań zachowujemy się jak potencjalny atakujący. Wnioski i doświadczenia wykorzystaliśmy do zaprojektowania zestawu narzędzi wchodzących w skład ADS tak, aby ochrona była najbardziej skuteczna.

Wdrożenie dopasowane do organizacji

Podstawą systemu ADS jest centralny element ADS Core, który odpowiada za zbieranie, analizę, korelację, prezentację danych o atakach i konfigurację połączonych z nim modułów bezpieczeństwa. W zależności od potrzeb organizacji wdrożenie ADS może być realizowane w formie serwera wirtualnego lub fizycznego także w architekturze rozproszonej, pozwalającej na wykorzystanie wydajności sprzętu obsługującego dany komponent ADS Core.

Moduł ADS Portspoof

Portspoof to natywny komponent systemu ADS służący do wykrywania skanowań portów chronionej infrastruktury. Ponadto Portspoof zaciemnia wynik prowadzonego skanowania. Atakujący jest przekonany, że wszystkie porty są otwarte, dzięki czemu nie może w szybki i prosty sposób określić faktycznie udostępnionych usług. W momencie wykrycia aktywności związanej z odpytywaniem portów, Portspoof emuluje usługi na każdym z nich, co ma na celu zmylenie atakującego i utrudnienie prowadzonej enumeracji. Dodatkowo odpowiedź na każdy z portów jest celowo opóźniana, przez co pełne skanowanie portów trwa kilkanaście razy dłużej niż zwykle.
Schemat obok pokazuje ogólny zarys zasady działania modułu ADS Portspoof. Ruch od atakującego zostaje przekierowany do Portspoof, który odsyła odpowiedź z opóźnieniem. Legitymowany ruch jest przepuszczany do serwera docelowego.

ads_portspoof
ads_screen1

Moduł ADS Fake BTS Detector

Moduł składa się z dwóch komponentów:
komponent pasywny służy do enumeracji i raportowania na temat stacji bazowych znajdujących się w zasięgu radia. Jego zadaniem jest wytypowanie potencjalnie złośliwych stacji bazowych przekazanie tych informacji do systemu ADS
komponent aktywny służy do nawiązania połączenia i próby weryfikacji, czy wytypowane przez moduł pasywny stacje bazowe, co do których istnieje podejrzenie iż mogą być bazami fałszywymi faktycznie nie są legitymowane.

Połączenie tych dwóch modułów oraz korelacja zdarzeń pozwala na gradację poziomu alarmów od niskiego (przykładem może być zła konfiguracja) do krytycznego (połączenie ze złośliwą stacją bazową).

Moduł ADS Wifi Clients Analyzer

Zadaniem modułu ADS Wifi Clients Analyzer jest poszukiwanie źle skonfigurowanych klientów korporacyjnych sieci Wifi, którzy nie weryfikują certyfikatu serwera Radius, tym samym narażając się na atak klasy client side, którego celem jest uzyskanie hasha hasła domenowego. Hashe typu MSCHAPv2, są stosunkowo proste do złamania metodami bruteforce.
Moduł do nasłuchu wspierany jest dodatkowym modułem wymuszającym połączenie. Jego działanie opiera się na wysłaniu pakietów deautentykacji do znajdujących się w pobliżu klientów sieci podłączonych do legitymizowanej stacji bazowej. Moduł deautentykacji przewiduje dwa scenariusze. W przypadku gdy klient się podłączy
(przejdzie proces asocjacji), jego mac adres dodawany jest do białej listy i przestaje być celem ataku deautenykacji. W przypadku gdyby klient znajdował się zbyt daleko od naszego modułu nasłuchu, po trzech próbach przenoszony jest na listę tymczasową. Lista tymczasowa zwalniana jest po 24 godzinach (wartość konfigurowalna). Raportowani są tylko ci klienci, którzy nie zweryfikują certyfikatu i przejdą proces uwierzytelnienia z podstawionym serwerem Radius.

ads_screen2
honeypot

Moduł ADS Service Honeypot

Moduł ADS Service Honeypot służy do uruchamiania usług, które emulują protokoły według zadanej konfiguracji określonej w GUI systemu. Głównym zadaniem tego modułu jest uwiarygodnienie, że udostępniane porty to faktyczne usługi oraz rejestracja danych (w tym exploitów zwłaszcza typu 0-day) przesyłanych przez atakującego. Moduł ten może działać jako zupełnie oddzielny host lub może być instalowany bezpośrednio na serwerze klienta obok np. modułu Portspoof. Konfiguracja usług odbywa się za pomocą konsoli systemu, gdzie istnieje możliwość zdefiniowania przede wszystkim na jakim porcie Honeypot wystawi usługę oraz jaka jest definicja usługi widocznej dla atakującego.

KLUCZOWE KORZYŚCI

    • Obniżenie lub wyeliminowanie strat finansowych – skuteczna detekcja zdarzeń przez skierowanie ataku na zastawione pułapki obniża ryzyko strat finansowych wskutek uszkodzenia danych, kradzieży informacji lub zakłóceń ciągłości biznesowej
    • Podniesienie poziomu zgodności z wymaganiami norm lub branżowymi w zakresie bezpieczeństwa – np. RODO, Rekomendacja D, KRI czy ISO 27001 oraz ISO 22301
    • Usprawnienie procesu obsługi incydentów – „sztuczne” wydłużenie czasu trwania i zakłócanie ataku przy obrazowaniu zdarzeń w trybie „near real-time” pozwala personelowi na analizę ataku i użytych narzędzi, w tym 0-day
    • Niskie koszty implementacji i utrzymania w modelu dopasowanym do możliwości przedsiębiorstwa
    • Ochrona poczynionych inwestycji – ADS jest uzupełnieniem narzędzi monitorowania bezpieczeństwa w SOC. Może być zintegrowany z posiadanymi systemami takimi jak SIEM lub jako samodzielne narzędzie
    • Eliminowanie „martwego pola obserwacji” – ADS umożliwia tworzenie infrastruktury pułapek w zależności od potencjalnego wektora ataku i używanych komponentów systemów IT, OT i SKD; działanie pułapek pozwala na sterowanie zachowaniem atakującego i np. odkrycie jego tożsamości

CECHY WYRÓŻNIAJĄCE

Detekcja rekonesansu, obcej infrastruktury i ataków na środowisko systemów kontroli dostępu fizycznego, IT i informatyki przemysłowej (OT) pozwala na objęcie ochroną całego przedsiębiorstwa

Oszacowanie stopnia zaawansowania ataku – ADS odróżnia atak prowadzony automatycznie (maszynowo) i manualnie

Ciągłe, cykliczne testowanie bezpieczeństwa urządzeń mobilnych

Unikalne moduły bezpieczeństwa - Portspoof, Service Honeypot, WiFi Clients Analyzer, Fake BTS Detector

Dopasowany do polskich warunków – projektując system ADS, uwzględniliśmy doświadczenia STM Solutions zdobyte podczas przeprowadzania autoryzowanych ataków hackerskich u polskich klientów

Optymalny kosztowo model licencyjny - niezależny od ilości zbieranych danych i liczby zdarzeń na sekundę
Zapytaj o szczegóły