Thursday, January 25, 2018

Истина по косвенным признакам

По плодам их узнаете их
(Матф.7:16)

Современные сложные компьютерные атаки непросто обнаруживать быстро, так как, на первый взгляд, они неотличимы от легитимной активности. Технически это означает, что мы смещаемся из предотвращения в обнаружение, причем уже после фактической компрометации. При отсутствии явных признаков атаки, ТН учит нас обнаруживать по косвенным признакам. Каждого из них - недостаточно, но их совокупность может быть вполне красноречивой, как минимум, для более глубокого рассмотрения.

На самом деле, ранее наблюдение о том, что на определенном уровне абстракции все перспективы деятельности Человечества подчиняются одним и тем же принципам, как всегда, меня не подводит, и мы наблюдаем всю большую "неразличимость" добра и зла, добродетели и порока, истины и лжи. Может, из-за ловкой манипуляции кусочными фактами, может из-за недостатка информации, а может, из-за уже свершившейся деформации нашего восприятия, мы наблюдаем культ болезней и пороков, успешно маскируемых толерантностью, активные наступательные действия, маскируемые обороной, возвышение за счет унижения, непрекращающиеся попытки трансформации мировоззрения и системы ценностей скрываемые под информированием, образованием и просвещением.

Далеко не последним инструментом здесь являются средства массовой информации, информационно-развлекательный контент, реклама (почему-то вспомнилась книжка, но в этой заметке я серьезно). Сейчас уже никого не удивляет словосочетание "информационные войны", и все понимают, что СМИ - реальный инструмент влияния, а в его эффективности трудно сомневаться. Аналогично тому, как сладок запретный плод, большинство воспринимает цензуру как исключительно негативное явление. Однако, далеко не каждая психика способна выдержать на себе направленный удар демотиваторов, выливающихся из специализированных изданий и программ - в итоге кто-то перестает быть патриотом и начинает тихо все ненавидеть или навсегда покидает страну, кто-то серьезно страдает когнитивным диссонансом, кто-то навсегда губит бессмертную душу...

Применяемые подходы сравнимы с тактиками и техниками целевых атак, поэтому, к сожалению, увидеть волка в овечьей шкуре можно только по косвенным признакам и надо уметь это делать.

Примерами таких косвенных признаков являются эмоциональные оттенки изложения. Нет, не сам контент, - вполне вероятно, что он заказной, и к самому содержанию полезно относиться первоначально скептически, с недоверием. Но переданным эмоциям авторам верить можно, по крайней мере, если понятно, что материал передавал человек, а не безэмоциональная машина. Да, эмоции не лгут. Именно поэтому на живом выступлении талантливых музыкантов мы получаем то, что не доступно в записи; именно поэтому полиграф практически невозможно обмануть; именно поэтому, сидя в другой комнате и слушая как занимается музыкой мой сын, я безошибочно определяю делает ли он это по собственному желанию или его заставили. Своему существованию Искусство отчасти обязано возможностью передачи оттенков настроения автора во всем что он делает - музыке, интонации, голосе, почерке, выбранной цветовой гамме и изображаемых объектах, сочиненном тексте, да в чем угодно. Наши эмоции, как отпечатки пальцев остаются на всем, что мы делаем. Их можно читать и интерпретировать, - это своего рода скрытый побочный канал передачи информации. Причем, информации, более достоверной, чем содержащейся в формальном смысле написанных слов и предложений.





Saturday, January 13, 2018

Пробы

Вероятно оттого, что много лет своей практики я потратил на сетевой мониторинг, я верю в IDS, И после того, как они стали вытесняться IPS, и сейчас, когда пропали и последние, войдя в понятия NG-FW, WAF, App-level-FW и т.п.

Аргументы, которыми маркетанты препарируют IDS не состоятельны так же, как не состоятельна и вера в абсолютную эффективность превентивных средств защиты, поскольку у них есть, как минимум, одна большая проблема: если вероятность фолсы (false positive) более 0% существует риск остановить продуктивный сервис, и в этом случае ущерб возможен выше, чем от пропуска атаки (false negative). Поддерживая концепцию эшелонирования подходов: 1) предотвратить, 2) если нельзя - обнаружить, 3) если нельзя - искать и находить, - получаем, что наличие IPS не отменяет необходимости IDS (в общем-то, они обе нужны), тем более не отменяет необходимость IDS наличие *-FW или любой другой пакетной фильтрации (понятно, что технически это может быть как угодно: IDS на RSPAN-е, IPS в разрыве или *-FW с активированными не только блокирующими правилами, но детектирующими (как раз для сбора информации, фингерпринтинга хостов в сети и фолсящих сигнатур, - сюда же всякие ML - не думаю, что кто-то доверит ML\DL что-либо блокировать автоматически)  - это не предмет данной заметки). При генерации грамотных логов, IDS можно использовать и для Threat hunting-а, так как доступна, как минимум, следующая информация:

  • пассивный фингерпринтинг хостов в сети (версии ОС, версии приложений, известные уязвимости), 
  • по каким протоколам трафик ходит между какими хостами в каком объеме, поскольку разбирается трафик приложений, IDS может видеть пересылаемые файлы (некоторые могут эти файлы выкусывать и складывать),
  • всевозможные аномалии: 
    • отклонения от RFC, 
    • потери пакетов и обращения к несуществующим адресам или закрытым портам - пробы (причем, с контекстом: соединение отвалилось по таймауту, прилетел RST или ICMP unreachable), 
    • всевозможные сканирования (причем, нормальная IDS будет определять тип сканирования и в некоторых случаях сканер), бруты, фаззинги,
  • пролетающие по сети эксплоиты и нагрузки, в общем случае - все сетевые атаки.
Если даже у вас заблокирован доступ в подсеть, согласитесь, полезно знать кто туда хотел, но не смог, попасть по каким портам - отличный повод с этим поразбираться. Если на какой-то хост вы вдруг стали наблюдать кучу проб, это может означать, что на нем отъехала служба или до нее пропала сетевая доступность, Любопытно видеть попытки подключения к несуществующим хостам или закрытым портам... Тем более интересно видеть попытки отправить туда эксплоит. 

Все сетевые черви, с которыми я сталкивался в своей практике прекрасно ловились и контролировались IDS-кой. Сначала сканы\пробы, затем отправка эксплоита, получение нагрузки, - и вот уже этот хост пробует и сканирует других, отправляет на них эксплоиты и пейлоуды. При наличии достаточного количества информационных событий IDS, можно даже для вполне "тихих" атак составить довольно нефолсяций профиль поведения в виде последовательности и\или совокупности определенных событий IDS, что позволит легко на фоне шума определять атаку еще на первых этапах поиска новой цели.

"Шумность" IDS хорошо профилируется (можете называть это ML, но я о статистике - любой современный SIEM это умеет), поэтому обращать внимание в общем случае нужно на отклонения. Все остальные события (aka "шум") будут крайне полезны при сетевой форенсике, расследовании инцидента.