About Teletype
Join
Leakinfo
@leakinfo
June 30, 2021

Анализ сети и поиск угроз с помощью AlienVault

В данной статье пойдет речь о таких практиках, как анализ сети и поиск угроз. Пользователь может осуществить их с помощью AlienVault, незаменимой платформы для обеспечения безопасности сети.  

Что такое Threat Hunting?

Threat Hunting является упреждающим поиском вредоносных программ или злоумышленников, скрывающихся в сети. Используя данную практику, пользователь не полагается на решения или службы безопасности для обнаружения атак, поскольку поиск угроз представляет собой прогностический элемент многоуровневой стратегии защиты. С помощью него организации могут переходить в наступление при выявлении опасности. Threat Hunting обычно осуществляется высококвалифицированными специалистами в области безопасности с использованием сложных наборов инструментов для выявления и предотвращения вредоносных действий в сети.

По данным Microsoft, злоумышленник находится в скомпрометированной сети в среднем уже за 146 дней до того, как его обнаружат. Данная статистика говорит о том, что его атаки несут в себе постоянную угрозу пользователю. За это время злоумышленники, находящиеся в сети в скрытом режиме, могут фильтровать данные и получить доступ к приложениям для идентификации и использования бизнес-информации и совершения мошенничества. Они также собирают учетные данные пользователей для доступа в дальнейшем к еще более ценным файлам.

Необходимые компоненты

  • Kali (компьютер хакера)
  • Ubuntu 20.04.1
  • Putty (для входа на серверы с использованием разных протоколов)
  • Права ROOT

Учетные данные

  • AlienVault IP – 192.168.1.70
  • IP-адрес машины Ubuntu – 192.168.1.9
  • Kali (IP-адрес атакующей машины) – 192.168.1.12
  • Многоуровневая стратегия безопасности может быть эффективной в предотвращении большинства кибератак. Однако следует отметить, что процент продвинутых атак сможет уклониться от обнаружения традиционными решениями безопасности. Таким образом, киберпреступники имеют доступ к сети организации до тех пор, пока они сами не захотят прекратить заниматься вредоносной деятельностью.
  • Реализация политик безопасности, которые предотвращают и обнаруживают атаки, является оборонительной. Сама идея этой практики заключается в том, чтобы попытаться остановить атаку до того, как она случится.
  • Threat hunting – это прогнозирующая и наступательная тактика, основанная на предположении, что злоумышленник уже успешно получил доступ к сети (несмотря на все усилия организации).
  • Поиск угроз включает в себя сочетание анализа и выявления опасностей, с помощью чего можно отследить, где злоумышленники установили точки опоры в сети. Пользователь способен прервать их доступ до того, как они успеют произвести какие-либо вредоносные действия.

Обнаружение атак брутфорс, осуществленных с помощью различных протоколов

Брутфорс – это атака, при которой мошенник пытается войти в систему, не зная имени пользователя и его пароля. Можно уберечь себя от подобного вида опасности с помощью различных типов SIEM-инструментов, одним из которых является AlienVault.

Стоит взглянуть на практический пример.

Пользователь собирается провернуть атаку брутфорс с помощью различных протоколов.

Чтобы выполнить нападение на основе протокола Telnet, человек запустит машину Kali и введет следующую команду:

hydra -L user.txt -P passwd.txt 192.168.1.11 telnet

Теперь необходимо взглянуть на то, что у нас получилось.

Как видно на картинке, программа обнаружила несколько неудачных попыток входа в систему.

Пользователь выполнит еще одну атаку брутфорс с помощью уже протокола FTP, чтобы убедиться, что инструмент может обнаружить все типы атак. Итак, следует ввести данную команду (для осуществления нападения):

hydra -L user.txt -P passwd.txt 192.168.11 ftp

Человек проверит записи в журнале.

Как видно на картинке, программа также обнаружила несколько неудачных попыток входа в систему с данными хоста или источника.

Это довольно эффективный способ избежать атак брутфорс.

Кроме того, пользователь осуществил несколько атак в своей сети. AlienVault обнаружил все угрозы и быстро сгенерировал уведомления об опасности в разделе «Alarms», как показано на картинке ниже.

Человек решает проверить детали происшествия: какой тип атаки был осуществлен и как именно это было сделано.

Информативный отчет можно увидеть, если выбрать пункт «View Details».

Alerts Attack с помощью Tickets

Tickets могут обеспечить доступ к системе управления устройствами OSSIM. Это полезно в плане отслеживания процессов, связанных с выявлением так называемых «сигналов тревоги», таких как уязвимости, найденные в системе или приложениях, или другие ошибки, которые могут возникнуть.

В данном случае OSSIM сгенерировал несколько Tickets после выполненного автоматического сканирования уязвимостей.

По умолчанию веб-интерфейс OSSIM отображает список всех типов Tickets. Кроме того, пользователь может нажать на кнопку «Create», чтобы создать новый Ticket определенного типа или категории.

В разделе «Filters» в верхней части страницы пользователь может установить критерии для фильтрации результатов поиска Tickets. Он также способен выбрать дополнительные фильтры, нажав на кнопку «Switch to Advanced».

В общем списке Tickets пользователь может нажать на конкретный билет, чтобы открыть его и просмотреть всю информацию о нем на новой странице. В этом окне сведений о билете можно выполнять различные действия, такие как редактирование полей, назначение билета, добавление заметок и вложений, а также изменение статуса и приоритета в зависимости от того, какой метод или процесс нужно использовать для решения проблемы.

Анализ трафика

Эта опция позволяет пользователям контролировать и управлять удаленным захватом трафика с помощью сенсора OSSIM.

Существует несколько доступных опций при захвате трафика:

  • время ожидания;
  • размер фильтрующего пакета;
  • имя сенсора;
  • источник и предназначение пакетов.

Стоит проверить, как AlienVault осуществляет анализ трафика.

Чтобы выполнить захват трафика, следует перейти по следующему пути: «Environment > Traffic Capture» и установить фильтры в соответствии с имеющимися нуждами. В данном случае пользователь выбирает значение времени ожидания как 90 секунд и источник, необходимый именно ему (см. картинку ниже).

После запуска захвата трафика программа сохраняет результаты в разделе сверху, как показано ниже на картинке.

Как читатели могут увидеть, есть возможность сохранить отчет в формате PCAP. Просмотреть его можно, если нажать на нужный значок.

Таким образом, программа захватывает различные типы пакетов, такие как UDP или TCP.

Пользователь может контролировать всю свою сеть с помощью данной опции.

Состояние развертывания

Пользователь переходит по пути: «Configuration > Deployment». Этот раздел предоставляет ему информацию о состоянии и ресурсах различных компонентов OSSIM. Здесь также есть опции для их настройки. Среди этих компонентов можно выделить следующие:

  • сенсоры AlienVault;
  • серверы устройств OSSIM;
  • регистраторы устройств OSSIM.

Таким образом, пользователь может просматривать и изменять параметры конфигурации существующих компонентов, как показано ниже на картинке.

OTX: Open Threat Exchange

Open Threat Exchange или OTX – это открытая сеть для обмена информацией о проблемах и угрозах безопасности. Программа обеспечивает доступ к информации в режиме реального времени. Это дает возможность пользователю учиться на ошибках других людей, которые уже испытали на себе нападения мошенников. AT&T AlienLabs° и другие исследователи безопасности постоянно анализируют и изучают атаки, сообщая участникам сети о таких угрозах, как вредоносные программы, ботнеты и фишинговые кампании.

Необходимо перейти по пути: «Configuration > Open Threat Exchange». Пользователь увидит следующее окно:

Индикаторы компрометации (IoCs)

Поиск угроз обычно начинается с анализа среды, которую необходимо защитить. Специалисты в сфере безопасности также изучают другие источники, связанные с работой сети, чтобы постулировать потенциальную угрозу. После этого они ищут индикаторы компрометации (IOCs), хранящиеся в криминалистических «артефактах». Именно это помогает идентифицировать опасные активности, которые в дальнейшем могут стать настоящей атакой.

Эти артефакты представляют собой биты данных из журналов сервера, сетевого трафика, его конфигураций. Они помогают специалистам в сфере безопасности определить, были ли осуществлены подозрительные действия. Есть несколько видов артефактов:

  • Сетевые артефакты (мониторинг прослушивающих портов интернет-систем). Специалисты могут отслеживать трафик, а также просматривать записи пакетных сеансов в поисках необычного исходящего трафика, аномальной карты связей, нерегулярных объемов входящих или исходящих данных.
  • Артефакты на основе хоста. Изменения в файловых системах и реестре Windows – это те два места, где специалисты в сфере безопасности могут найти аномальные настройки и вредоносное содержимое. Сканирование значений реестра и мониторинг изменений, внесенных в файловые системы, — это стандартная деятельность при поиске угроз.
  • Артефакты на основе аутентификации. Мониторинг или проверка входа (или попыток входа) привилегированных учетных записей на конечных точках, серверах и службах может быть полезной для специалиста по безопасности. Это поможет ему идти по следу, оставленному злоумышленником, чтобы определить, какие учетные записи были скомпрометированы.

Пользователь может выполнить поиск угроз с помощью OTX IOCs (см. картинку ниже).

Путь, пройденный во время поиска угроз, можно оценить только по найденным уязвимостям и опасностям. Например, обнаружение аномального исходящего сетевого трафика заставило бы специалиста в сфере безопасности внимательнее присмотреться к конечной точке, транслирующей этот трафик. Все зависит от конкретной проблемы, которая решается в данный момент.

Автор переведенной статьи: Vijay.

Leakinfo
June 30, 2021, 07:25
0 reactions
0 views