Одна из самых больших жалоб, что многие имеют в сообществе DFIR, является нехваткой реалистических данных, чтобы извлечь уроки из. Запускаясь год назад, я запланировал изменить это посредством создания реалистического сценария на основе опыта от всех кадров преподавателей в SANS и дополнительных экспертов, которые рассмотрели и советовали атаке "сценарий". Мы создали невероятно богатый и реалистический сценарий атаки по многократным системам на базе Windows в корпоративной среде. Сценарий атаки создавался для нового FOR508: Усовершенствованная судебная экспертиза и курс IR, дебютирующий в мае в SecWest SANS.
Цель состоит в том, чтобы дать посетителям новой реальной файловой системы FOR508 и отображений памяти, которые они исследуют в классе, чтобы обнаружить, идентифицировать, и forensicate основанные на APT действия по этим системам в классе. Цель состоит в том, чтобы дать студентам, которые посещают данные "реального мира" курса, чтобы проанализировать. Цель состояла в том, чтобы создать данные атаки, чтобы использовать в наших курсах в SANS, таким образом, у наших студентов могло быть прямое чувство для того, на что это походит, чтобы исследовать усовершенствованных противников.
На этой прошлой неделе мы пробегали осуществление. У меня была команда имитатора атакующих действия усовершенствованного противника, подобного APT. Видя тактику APT на собственном опыте, я написал сценарий осуществления, но также и требовал создать реалистическую среду, которая будет подражать домашним корпоративным сетям многих организаций. Моя команда атаки (John Strand и Tim Tomes) изучила быстро различие между тестом на проникновение и тестом, который копировал типичные действия APT.
За неделю я извлекал некоторые очень ценные уроки способностью наблюдать команду атаки непосредственно. Больше в будущих статьях блога, но первом вопросе я имел в своем списке, был: "A/V действительно мертвый?"
A/V действительно мертв?
За эти годы я знал, что это может обойтись, но пока я не выручил план, и выполните это осуществление, я был представлен истине на собственном опыте. Во многих инцидентах за эти годы (включая многие APT), мы и другие команды IR нашли, что A/V обнаружил знаки проникновений, но они часто игнорировались. Я ожидал, по крайней мере, некоторые из тех знаков существовать на этой прошлой неделе при пробежке упражнений, которые мы создавали. Я надеялся по-другому, но после недели использования сети, используя те же методы APT, что мы видели, что наши противники используют, я думаю, что оно красит очень темное изображение для как полезный A/V в остановке усовершенствованных и способных противников. Это не anti-AV или рецензия HIDS, но дать что-то, чтобы думать о когда дело доходит до того, что мы вслепую ищем. Я никогда не рекомендовал бы, чтобы кто-то пошел без него, но это четкое, что, чтобы найти и защитить от усовершенствованных противников, которых мы должны сделать, больше, чем полагаются на A/V.
Честно говоря, у меня фактически была некоторая надежда на часть уровня предприятия A/V и продукты HIDS, чтобы поймать некоторые более основные методы, которые мы использовали (поскольку я требовал, чтобы артефакт был обнаружен посетителями), но A/V оказался простым обойти моей командой. В то время как я уверен все, что многие из этих продуктов останавливают низко зависающие фруктовые атаки, мы нашли, что в основном сделали то, что мы требовали без управляемого основанного на узле A/V нашего предприятия и комплекта безопасности, повышающего вспышку.
Что? Ничто?
Что связано в этот комплект?-> Антивирус, Антишпионящее ПО, Безопасное перемещение, Против спама, Управление Устройством, Локальное управление, БЕДРА Системы предотвращения проникновений Узла связывались в Комплекте Защиты Конечной точки McAfee — http://shop.mcafee.com/Catalog.aspx. Я также отдельно покупаю их настольную часть предотвращения проникновения узла и встроил это в McAfee EPO и развернул это по среде также.
Чтобы помочь понимать, как это, возможно, произошло, многие попросили детали сети и атаки.
Windows основанная корпоративная сеть:
Сеть была установкой, чтобы подражать "защищенной" корпоративной сети стандарта, используя стандартные контрольные списки соответствия. Мы не включали дополнительных мер безопасности, которые обычно реализуются инциденты APT сообщения. Это, как предполагалось, подражало сети в "День 0" компромиссов, не активно поиск, используя интеллект угрозы, белое перечисление, и больше. Однако, мы действительно имели существенный брандмауэр, A/V, размещали базируемый IDS, исправляя автоматически сделанный, и больше. Мы также имели довольно строгих пользователей на нем, но включали некоторые дурные привычки, найденные в большинство настроек предприятия (плохая политика пароля администратора, локальный администратор считает w/same пароль, пользователя XP с администраторскими правами локально),
Комментариев нет:
Отправить комментарий