Varonis Edge: выявление кибератак с помощью сетевой телеметрии и поведенческой аналитики

Varonis Edge: выявление кибератак с помощью сетевой телеметрии и поведенческой аналитики

Varonis Edge: выявление кибератак с помощью сетевой телеметрии и поведенческой аналитики

C помощью компонента Edge платформа кибербезопасности Varonis отслеживает активность на периметре корпоративной сети — DNS-серверы, VPN-подключения и веб-прокси. По данным Varonis, более 80% атак оставляют следы в этих системах. В результате становится возможным отслеживать действия потенциального злоумышленника в инфраструктуре сети, начиная от стадии проникновения и вплоть до вывода конфиденциальной информации за пределы организации.

 

 

 

 

  1. Введение
  2. Функциональные возможности Varonis Edge
  3. Сценарии использования Varonis Edge
    1. 3.1. Мониторинг VPN-подключений
    2. 3.2. Мониторинг DNS и выявление атак через DNS-запросы
    3. 3.3. Мониторинг прокси-серверов
    4. 3.4. Анализ и расследование инцидентов
  4. Техническая поддержка платформы Varonis
  5. Выводы

 

Введение

Согласно исследованиям Gartner, большинство организаций не в состоянии обнаружить происходящую атаку на ранней стадии, причём в итоге выявляется менее 20 % инцидентов. Многие предприятия, стремясь улучшить ситуацию, внедряют системы аналитики безопасности, но зачастую лишь ограничиваются загрузкой журналов событий в SIEM-систему. Образно говоря, поиск иголки в стоге сена не приносит результата при увеличении количества сена: SIEM-система на основании полученных данных генерирует дополнительные потенциальные инциденты, которые тоже требуется анализировать.

Платформа кибербезопасности Varonis — гибкий инструмент, который выступает в роли аналитика, помогающего справиться с большим объёмом входящих «сырых» данных и получить информацию о релевантных инцидентах безопасности. Решение Varonis, с одной стороны, нормализует и сжимает получаемые данные, с другой стороны — обогащает их необходимыми деталями, анализирует цепочки событий, сравнивает их как с предварительно определёнными моделями угроз и атак, так и с накопленной статистикой поведения пользователей. Это позволяет не только выявить риск или атаку, но и привести инфраструктуру к модели минимально необходимых привилегий и поддерживать её в таком состоянии.

Компонент Edge является неотъемлемой частью платформы кибербезопасности Varonis. В опубликованном ранее обзоре мы подробно рассмотрели функциональные возможности последней; здесь лишь напомним, что она осуществляет непрерывный мониторинг и анализ неструктурированных данных, с которыми работают пользователи на различных платформах и серверах — Windows, NAS, Unix, Linux, Exchange, SharePoint и так далее. Varonis собирает информацию об учётных записях, активности пользователей, правах доступа к данным, анализирует их содержимое, а затем соотносит фактическое поведение сотрудников со стандартными поведенческими моделями. В случае обнаружения отклонений платформа создаёт уведомление о нетипичном поведении пользователя.

Модуль Edge контролирует периметр корпоративной сети — DNS-серверы, VPN-подключения и веб-прокси. Его практическое использование можно рассмотреть на примере возможного приложения к известным кибератакам прошлого.

В 2017 году осуществлялась целевая фишинговая атака OilRig, направленная на саудовские финансовые институты. В её рамках троянская программа удалённого доступа использовала DNS-запросы для обратной связи.

В этом случае атаку позволило бы предотвратить обнаружение следующих индикаторов компрометации:

  • массовая рассылка фишинговых писем с последующей веб-загрузкой вредоносного кода,
  • эксфильтрация (вывод) данных, скачивание вредоносной программы или передача управляющих команд от злоумышленника с помощью туннелирования DNS.

 

Функциональные возможности Varonis Edge

Если вы уже используете платформу кибербезопасности Varonis, то понимаете, где и какие данные расположены, кто имеет к ним доступ и кто с ними работает. Varonis помогает навести порядок в инфраструктуре и ограничить доступ до минимального, который требуется для выполнения сотрудниками служебных обязанностей, а также наладить контроль активности пользователей.

В этом случае Edge как модуль платформы Varonis даёт дополнительное понимание происходящего за пределами внутренних ресурсов. Предоставляется информация по активности нарушителей от самых ранних до самых последних стадий: вывода данных и сокрытия следов, когда злоумышленник отключает учётные записи доменных администраторов, чтобы сложнее было восстановить инфраструктуру и просмотреть журналы событий. Такие атаки проходят соответствующие стадии, называемые «kill chain», которые описывают все шаги злоумышленника: проникновение, использование эксплойтов, разведка сети, сбор и вывод данных за пределы организации.

Рассмотрим работу платформы кибербезопасности Varonis на примере VPN. На входе мы имеем журналы событий.

 

Рисунок 1. Журнал событий VPN в «сыром» виде

 Журнал событий VPN в «сыром» виде

 

Интеллектуальный коллектор Varonis анализирует и агрегирует необработанные события, может даже выполнять некоторую аналитическую работу и создавать оповещение в точке сбора на самом коллекторе. Например, система генерирует предупреждение сразу же, как только конкретный пользователь пытается войти в VPN.

 

Рисунок 2. Журнал событий VPN после обработки платформой кибербезопасности Varonis

 Журнал событий VPN после обработки платформой кибербезопасности Varonis

 

Благодаря данным, поступающим в Edge от компонентов сетевой инфраструктуры, алгоритм поведенческого анализа платформы Varonis выявляет возможные атаки. При удалённом подключении через VPN сам факт соединения ещё совсем не значит, что за ним стоит легитимный сотрудник. Если реквизиты последнего были похищены или взломаны, то один из немногих способов понять, что на самом деле подключился не он, — применение поведенческой аналитики, так как образ действий такого пользователя будет сильно отличаться от его статистического профиля.

 

Таблица 1. Атаки, которые выявляет Varonis Edge

Направления атак Выявляемые атаки
Разведка, проникновение
  • Получение доступа через неиспользуемый аккаунт Active Directory
  • Активность из чёрного списка геолокаций
Повышение привилегий,
перемещение внутри сети
  • Downgrade-атаки (например, со снижением уровня шифрования)
  • Доступ к нетипичным устройствам
Обращения к конфиденциальным данным
  • Нетипичный доступ к конфиденциальным файлам, в том числе — содержащим персональные данные
Эксфильтрация данных (вывод за пределы организации)
  • Передача данных через DNS-туннелирование
  • Нетипичное поведение почтовых сервисов — например, отправка сообщений пользователем с сервисной электронной почты или на внешний почтовый ящик
  • Нетипичная активность веб-трафика

 

Платформа Varonis сопоставляет признаки атак и активность пользователей с имеющимися данными, чтобы показать картину целиком. Для определения приоритетов и детального анализа, приводящего к предупреждению об инциденте, требуются дополнительные сведения о природе события — его контекст: учётная запись пользователя, информация о компьютере и о точке входа в сеть компании, затронутые данные, перечень действий, регулярность их повторения, типичность поведения и т. д.

«Cырые» данные в журналах событий выглядят неинформативно и скудно. В платформе кибербезопасности Varonis они обогащаются контекстом, который позволяет вовремя распознать и предотвратить угрозу.

 

Рисунок 3. «Сырые» данные журналов событий и их обогащение контекстом

 «Сырые» данные журналов событий и их обогащение контекстом

 

Varonis Edge в связке с компонентом DatAlert автоматически анализирует информацию, чтобы уведомить администратора и визуализировать риски, отреагировать на угрозы в режиме реального времени.

 

Рисунок 4. Интерфейс статистики и уведомлений в платформе кибербезопасности Varonis

 Интерфейс статистики и уведомлений в платформе кибербезопасности Varonis

 

В Varonis содержится механизм автоматической реакции на инциденты — например, возможны блокировка подозрительного пользователя или сброс сессии на файловом сервере.

 

Сценарии использования Varonis Edge

Varonis Edge собирает метаданные с граничных устройств: DNS, VPN и веб-прокси. Рассмотрим каждую функциональную область отдельно, опираясь на реальные сценарии из практики Varonis.

 

Мониторинг VPN-подключений

Перечислим основные угрозы, связанные с VPN, которые можно выявить и предотвратить при помощи Varonis Edge.

  • Аномалии в месторасположении подключения:
    • нетипичный доступ к серверу для данной геолокации,
    • подключение из нового места или чёрного списка,
    • быстрые скачки между точками подключения.
  • Подбор пароля для конкретной учётной записи или нескольких аккаунтов.
  • XSS-инъекция в портале SSL VPN.
  • Подключение в нетипичное время суток.
  • Слишком длительные подключения.
  • Значительный объём переданного трафика.

Рассмотрим в интерфейсе платформы, как можно определить аномалии в точках подключения.

 

Рисунок 5. Сводка по всем точкам подключения в платформе кибербезопасности Varonis

 Сводка по всем точкам подключения в платформе кибербезопасности Varonis

 

В части геолокации доступна сводка по всем точкам подключения к корпоративной сети.

 

Рисунок 6. Выбор событий по определённому сотруднику в платформе кибербезопасности Varonis

 Выбор событий по определённому сотруднику в платформе кибербезопасности Varonis

 

Выбираем на панели мониторинга события по определённому сотруднику. Видим, что сгенерированы две модели угроз:

  • нестандартное переключение геолокации,
  • активность из нового места (никто из сотрудников организации ранее не подключался по VPN из указанной страны).

 

Рисунок 7. Географическое представление событий в платформе кибербезопасности Varonis

 Географическое представление событий в платформе кибербезопасности Varonis

 

Рассмотрим, что конкретно произошло по каждой из моделей угроз. Видны точки подключения на карте, перечислены названия стран. При этом видно, что промежуток времени между переключениями весьма мал.

 

Рисунок 8. Подробное описание событий в платформе кибербезопасности Varonis

 Подробное описание событий в платформе кибербезопасности Varonis

 

В подробном описании событий видно, что подключение произведено через Exchange Online. Аналогично отображается подключение через VPN.

Время подключения и перечень стран, из которых произведено подключение, вызывают подозрение. Период переключения — 10 минут. Скорее всего, использовались прокси-серверы, скрывающие местоположение пользователя.

 

Рисунок 9. Географическое представление мест подключения пользователей к VPN в платформе кибербезопасности Varonis

 Географическое представление мест подключения пользователей к VPN в платформе кибербезопасности Varonis

 

Аналогичная ситуация — с новым местом подключения. Разница между моментами соединения из одной страны и из другой очень мала, человек физически не мог так быстро переместиться. С большой вероятностью использовался вход через прокси-сервер или Tor-сеть, либо это — завуалированная атака.

 

Рисунок 10. События авторизации VPN в Varonis Edge

 События авторизации VPN в Varonis Edge

 

Подбор пароля тоже отлично виден в системе. На снимке видно несколько неудачных попыток входа под одной и той же учётной записью. На основании данных платформы можно установить, что подбор действительно выполнялся злоумышленником, а не пользователем, который забыл пароль.

Кейс: подключение к VPN из-под отключённой учётной записи

VPN можно настраивать разными путями: это может быть сквозная аутентификация, вход через Active Directory или использование внутренних учётных записей на устройствах (таких как Cisco ASA).

 

Рисунок 11. События авторизации VPN в Varonis Edge

 События авторизации VPN в Varonis Edge

 

Как видно из снимка экрана, два пользователя подключились к VPN через Cisco ASA. При этом их учётные записи были выключены в Active Directory. Такое может происходить, если это разрешено в политиках аутентификации устройства.

Благодаря Varonis Edge данная ошибка конфигурации была обнаружена и исправлена.

 

Мониторинг DNS и выявление атак через DNS-запросы

Основные угрозы, связанные с DNS, которые можно выявить и предотвратить при помощи Varonis Edge:

  • Разведка топологии через запросы (reverse DNS / zone transfer).
  • Перенаправление на другие сайты (DNS cache poisoning).
  • Выявление потенциально заражённых машин, пытающихся найти управляющий (command & control, C&C) сервер злоумышленника (Domain Generation Algorithm).
  • Передача данных поверх DNS (DNS tunneling).

 

Рисунок 12. Перечень событий в Varonis Edge

 Перечень событий в Varonis Edge

 

Рассмотрим события, связанные с обратным DNS-разрешением, когда запрашивается имя сервера по IP-адресу.

 

Рисунок 13. Выборка событий по DNS в Varonis Edge

 Выборка событий по DNS в Varonis Edge

 

Выберем все запросы типа «reverse DNS» и отсортируем их по запрашиваемому объекту. Очевидно, что это — массовый запрос имён, так как IP-адреса идут по порядку.

Злоумышленник подключается к сети, знает адрес текущего компьютера и опрашивает IP-подсеть, чтобы определить наличие и тип других устройств для дальнейшего планирования атаки.

Кейс: обнаружение червя Conficker

Conficker (также известен как Downup, Downadup и Kido) — компьютерный червь, эпидемия которого началась 21 ноября 2008 года. Вредоносная программа была написана на Microsoft Visual C++, заражала операционные системы семейства Microsoft Windows (Windows XP и Windows Server 2008 R2).

Червь был обнаружен при тестировании платформы кибербезопасности Varonis в инфраструктуре заказчика. Вредоносный объект пытался подключиться к управляющим DNS-серверам и генерировал изнутри сети активность в виде запросов к сайтам.

 

Рисунок 14. Обнаружение массовых DNS-запросов в Varonis Edge

 Обнаружение массовых DNS-запросов в Varonis Edge

 

Для поиска C&C использовались случайные DNS-запросы. Червь пытался подключиться к управляющему серверу и получить от него команды через DNS. В данном случае серверы злоумышленника были неактивны, поэтому атака на том и закончилась.

Кейс: заражение машины и управление через командный сервер

Расследование инцидента, связанного с реальной атакой на заражённую машину и управлением ею через контрольный сервер. Атака была детектирована через DNS.

 

Рисунок 15. Выборка событий в части DNS по модели угроз в Varonis Edge

 Выборка событий в части DNS по модели угроз в Varonis Edge

 

Выявлены массовые DNS-запросы на непонятные имена.

 

Рисунок 16. Успешные события DNS в Varonis Edge

 Успешные события DNS в Varonis Edge

 

Некоторые запросы действительно были успешными, от управляющего сервера приходили ответы. Эти домены принадлежали злоумышленнику. Он передавал через них команды и управлял атакой.

 

Рисунок 17. Анализ неуспешных DNS-запросов в Varonis Edge

 Анализ неуспешных DNS-запросов в Varonis Edge

 

При анализе неуспешных попыток подключения видно, что кроме DNS запросы отправлялись на файловый сервер и в Active Directory. При этом попытки доступа к файлам были осуществлены задолго до других запросов.

 

Рисунок 18. Статистика по событиям в Varonis Edge

 Статистика по событиям в Varonis Edge

 

Скорее всего, злоумышленник, подключившись к заражённой машине, пытался получить доступ к каким-то конфиденциальным данным на файловом сервере. К части сведений у него доступа не было, что отразилось в журналах. Потом он попытался вывести информацию через массовые DNS-запросы.

 

Рисунок 19. Статистика по доступу к файлам

 Статистика по доступу к файлам

 

При дальнейшем расследовании оказалось, что скомпрометированная учётная запись была заблокирована посреди атаки из-за истечения срока действия пароля. До блокировки были зафиксированы обращения к серверу с важными финансовыми и организационными документами.

 

Рисунок 20. Статистика по событиям аутентификации в платформе кибербезопасности Varonis

 Статистика по событиям аутентификации в платформе кибербезопасности Varonis

Статистика по событиям аутентификации в платформе кибербезопасности Varonis

 

В результате атака была прервана переустановкой операционной системы на машине сотрудника.

 

Мониторинг прокси-серверов

Основные угрозы, связанные с прокси-серверами, которые можно выявить и предотвратить при помощи Varonis Edge:

  • Нетипичное количество данных, отправленных на внешний сайт, в том числе — после доступа к конфиденциальной информации на файловых ресурсах.
  • Аномальное поведение службы: первый выход в интернет, закачка данных вовне.
  • Доступ и скачивание файлов с подозрительных сайтов.

 

Рисунок 21. События сетевой активности в Varonis Edge

 События сетевой активности в Varonis Edge

 

В событиях по пользователю службы резервного копирования видно, что он обращается в интернет для передачи данных.

 

Рисунок 22. Подробное описание события сетевой активности в Varonis Edge

 Подробное описание события сетевой активности в Varonis Edge

 

Подробная информация гласит, что пользователь обращался к почтовому сервису. Это подозрительно, так как нетипично для его поведения.

 

Рисунок 23. Подробное описание события сетевой активности в Varonis Edge

 Подробное описание события сетевой активности в Varonis Edge

 

Дополнительная проверка событий показывает, что злоумышленник воспользовался уязвимостью в контроллере домена, получил доступ к пользователю службы резервного копирования и начал пересылку конфиденциальной информации посредством скомпрометированной учётной записи.

Кейс: нестандартное количество переданных вовне данных

Сотрудник никогда не пользовался на работе сайтом почтового сервиса Gmail, это запрещено внутренними регламентами компании.

 

Рисунок 24. График сетевой активности в платформе кибербезопасности Varonis

 График сетевой активности в платформе кибербезопасности Varonis

 

Внезапно он подключился к этому сервису и передал туда 20 МБ данных. Скорее всего, это — какое-то приложение к письму в черновиках для того, чтобы потом использовать информацию снаружи.

Платформа кибербезопасности Varonis выявила это нестандартное поведение на уровне прокси-сервера, чтобы помочь вовремя принять меры.

 

Анализ и расследование инцидентов

Varonis Edge собирает события непосредственно с исходных устройств, используя Syslog или Splunk. В первом случае Varonis в итоге выступает в роли Syslog-сервера.

Информация о собранных событиях аккумулируется в компоненте DatAlert Suite. Там можно просмотреть и проанализировать события. Через DatAlert направляются уведомления администратору.

 

Рисунок 25. Интерфейс компонента уведомлений в платформе кибербезопасности Varonis

 Интерфейс компонента уведомлений в платформе кибербезопасности Varonis

 

Здесь отображается следующая информация:

  • Оповещения за последнее время.
  • Ранжированные списки пользователей, вызвавших генерацию сообщений; устройств, на которых произошли события; моделей, по которым сработали события; ресурсов, которые были затронуты.
  • Места срабатывания, отображаемые на карте.

 

Рисунок 26. Оповещения о событиях по дням в интерфейсе Varonis DatAlert

 Оповещения о событиях по дням в интерфейсе Varonis DatAlert

 

Рассмотрим выделенную запись. Событие похоже на атаку, которая использует сервисное обращение (ticket) Kerberos: запрос с пониженным уровнем шифрования, в результате которого подбирается пароль в режиме офлайн и осуществляется доступ к сервисной учётной записи.

Следующее событие показывает, что на компьютере совершалась авторизация под сервисной учётной записью. Потом от имени этого аккаунта происходило обращение к файловым ресурсам, где присутствуют персональные данные, с которыми раньше операций не было.

Уже понятно, что это — некая схема, направленная на извлечение данных из сети.

 

Рисунок 27. Экран подробного описания события и рисков в платформе кибербезопасности Varonis

 Экран подробного описания события и рисков в платформе кибербезопасности Varonis

 

Рассмотрим одно событие подробнее. Указаны описание события и контекст: какая учётная запись используется, история изменений по ней, последние связанные угрозы и т. д. В правой панели показываются описание проблемы, варианты решения.

 

Рисунок 28. Поиск событий по пользователю в платформе кибербезопасности Varonis

 Поиск событий по пользователю в платформе кибербезопасности Varonis

 

Выберем через поиск те события, которые происходили с пользователем. В результате видно, что злоумышленник пытался получить доступ к файлу из папки «finance» и передать его с помощью аккаунта Google за пределы защищённого контура.

Принять контрмеры можно автоматически сразу из системы оповещения и реагирования платформы Varonis: аннулировать права доступа к файлам, заблокировать пользователя и т. д.

 

Техническая поддержка платформы Varonis

Платформа устанавливается на серверы заказчика силами инженеров российских партнёров с привлечением специалистов Varonis. Первые результаты (анализ прав доступа) появляются уже на следующий день. Несколько дольше идёт полнотекстовая классификация. Полноценное «самообучение» системы для выявления поведенческих аномалий может потребовать до нескольких недель, в зависимости от активности пользователей.

Техническая поддержка осуществляется на русском языке локальными партнёрами Varonis с привлечением российских сотрудников вендора.

Для компаний-заказчиков предусмотрены услуги «Professional Services»: независимо от того, нужна ли помощь в эксплуатации Varonis или требуется исправить нарушения политик доступа в терабайтах уязвимых данных, квалифицированные технические специалисты помогут решить возникшие вопросы.

Обновление платформы осуществляется заказчиком вручную путём запуска инсталлятора новой версии, скачанной из личного кабинета. При обновлении (как и при повседневной работе) подключение Varonis к сети «Интернет» не требуется.

 

Выводы

В статье мы рассмотрели компонент Edge, входящий в состав платформы безопасности Varonis. Он позволяет выявить атаки на периметре сети, опираясь на данные телеметрии от VPN, DNS и веб-прокси.

Аналитика безопасности платформы Varonis, сочетающая интеллектуальный сбор метаданных с машинным обучением, сокращает количество оповещений и время, необходимое для их изучения. С меньшим количеством уведомлений и с повышением их релевантности специалисты имеют гораздо больше шансов быстро выявить реальные инциденты — а когда речь заходит о кибербезопасности, счёт идёт на секунды.

Пользователь из списка наблюдения, загружающий конфиденциальные данные на веб-сайт сразу же после доступа к ним в нерабочее время, будет возглавлять очередь расследования вместе с администратором, который читает через VPN из отпуска электронную почту генерального директора и помечает её как непрочитанную. Одновременно с этим пользователь, в конце месяца обновляющий десятки файлов в рабочее время со своей корпоративной машины, не выделяется, потому что это — то, чем он должен заниматься согласно своим служебным обязанностям.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru