Як vGate допоможе у розслідуванні ІБ-інцидентів у віртуальній інфраструктурі

Сучасні віртуальні дата-центри, як правило, добре захищені від атак ззовні. Традиційно у віртуальних інфраструктурах (ВІ) застосовуються брандмауери, антивіруси, IPS/IDS і інші компоненти, однак про атаки зсередини чомусь часто забувають, цілком довіряючи адміністраторам ВІ. При цьому специфіка віртуальної інфраструктури передбачає більшу, порівняно з фізичним середовищем, кількість привілейованих користувачів, що автоматично створює для ВІ окрему групу інцидентів, пов'язаних з умисним (наприклад, копіювання інформації, що захищається) або ненавмисними діями (наприклад, адміністратор випадково вимкнув хост). Таким чином, у віртуальній інфраструктурі необхідно контролювати і обмежувати доступ привілейованих користувачів, а також мати можливість ретроспективного аналізу їх дій для виявлення та розслідування інцидентів.

Сервіс

Для того щоб показати, які можливі інциденти в віртуальної інфраструктури, ми розгорнули віртуальний сервер на платформі VMware. Для захисту змодельованої ВІ використовується сертифікований vGate R2. Його головні функції:
  • контроль доступу до різних об'єктів ВІ за рахунок посиленої аутентифікації і розмежування повноважень між адміністраторами ВІ та адміністраторами ІБ;
  • захист ВМ і конфіденційних даних, які зберігаються і обробляються на цих машинах;
  • захист ВІ відповідно до вимог регуляторів.
Крім того, в vGate є ряд інструментів, які можна використовувати для виявлення і розслідування інцидентів ІБ. До таких механізмів відносяться «Аудит» і «Звіти». Про це детальніше.

«Аудит» в vGate реєструє події безпеки (наприклад, НСД до інфраструктури, створення або видалення ВМ, зміна ВМ та ін) і збирає їх з усіх захищених ресурсів (ESX-серверів, VMware vCenter Server, сервера авторизації vGate). З допомогою «Аудиту» можна проводити фільтрацію подій безпеки (за різними категоріями), робити налаштування переліку реєстрованих подій, відправляти події безпеки протоколів SNMP\SMTP і вести журнал подій в текстовому документі.
З допомогою «Звітів» можна проводити моніторинг системи і одержувати різні звіти, наприклад з найбільш частих подій ІБ, доступу до ВІ в неробочий час, спроб несанкціонованого зміни налаштувань, контрольованих політиками, доступу до файлів ВМ та управління ВІ та інші.

Далі ми спробуємо змоделювати дії зловмисника і показати, які інциденти можуть відбутися в віртуальної інфраструктури та як з допомогою vGate їх можна виявити і розслідувати. Наш віртуальний стенд складається:
  • з сервера з VMware vCenter і двох ESXi-хостів (хост № 1 і хост № 2);
  • сервера авторизації vGate (варіант розгортання, коли маршрутизацію здійснює сервер авторизації vGate), на якому також розташовується робоче місце адміністратора інформаційної безпеки (скорочено будемо називати його АІБ);
  • АРМ адміністратора віртуальної інфраструктури № 1 (АВІ 1), який має доступ до конфіденційної інформації (АРМ встановлений агент автентифікації vGate і VMware vSphere Client); АРМ адміністратора віртуальної інфраструктури № 2 (АВІ 2), не має доступу до конфіденційної інформації (АРМ встановлений агент автентифікації vGate і VMware vSphere Client).

Моделируемые ситуації

Інцидент № 1. Підбір пароля
АВІ 1 при спробі доступу до сервера аутентифікації отримує через агента таке повідомлення:



АВІ звертається за допомогою до АІБ, який, застосувавши фільтрацію в події, з'ясував, що на комп'ютері з IP 192.168.2.143 було зафіксовано три спроби введення пароля АВІ 1 (кількість спроб неправильного введення пароля налаштовується політикою паролів vGate), після чого обліковий запис АВІ 1 була заблокована. АІБ знає, що IP 192.168.2.143 належить АРМ АВІ 2. Таким чином, АІБ з'ясував, що АВІ 2 дізнався логін АВІ 1 і спробував підібрати пароль до облікового запису.









Інцидент № 2. Клонування ВМ
Стався витік конфіденційної інформації, яка оброблялася на віртуальній машині WIN7, АІБ виробляє фільтрацію подій за категоріями:



І знаходить у переліку подія, що відноситься до віртуальній машині WIN7:



Він з'ясовує, що АВІ 1 клонував дану ВМ, що вимагає подальших розглядів щодо з'ясування причини дій АВІ 1.

Інцидент № 3. Порушення цілісності ВМ
Віртуальна машина VM1 не запускається, але на даній машині обробляються персональні дані у відповідності з діючими в організації політиками безпеки для неї налаштований контроль цілісності. АІБ здійснює фільтрацію подій аудиту за параметром «текст містить» і вводить ім'я віртуальної машини VM1.



З'ясовується, що була порушена цілісність файлу vmx, а саме змінено обсяг оперативної пам'яті віртуальної машини.



Переглянувши більш ранні події, АІБ з'ясовує, що АВІ 1 змінив конфігурацію ВМ.



Інцидент № 4. Порушення доступності ВМ
Користувач при спробі отримати доступ до віртуальної машини отримує відмову через недоступність віртуальної машини. АІБ виробляє фільтрацію подій аудиту за параметром «текст містить» і вводить ім'я віртуальної машини.



В результаті застосування фільтра АІБ будуть доступні всі події безпеки, що відносяться до цієї віртуальної машини. АІБ з'ясовує, що АВІ 1 змінив налаштування віртуальної машини, видалив її або зробив інші дії з віртуальною машиною, що призвели до її недоступності.



Інцидент № 5. Аналіз відкритих портів
АІБ при проведенні періодичного моніторингу подій сформував звіт «Найбільш часті події ІБ»



У звіті часто фігурує подія «Спроба несанкціонованого доступу до захищеного об'єкта». АІБ для подальшого аналізу виробляє фільтрацію подій аудиту за типом подій «попередження» і категорії «керування доступом».



В результаті застосування фільтра АІБ бачить повторювані події, в яких суб'єкт і об'єкт доступу однакові, а порти призначення різні. З чого можна зробити висновок, що АВІ 2 (IP 192.168.2.143) запускав ПО для аналізу відкритих портів.





Інцидент № 6. Вичерпання ресурсів
Користувач ВМ WIN7 не може отримати доступ до неї, або працездатність даної ВМ сповільнена. Користувач звертається до АВІ 1, який бачить, що на цьому хості з'явилися нові ВМ. АВІ 1 звертається до АІБ з приводу того, що сталося.





АІБ в подіях аудиту застосовує додаткову фільтрацію за категоріями подій. Вибравши категорію «Віртуальні машини» в отриманому переліку подій, пов'язаних з віртуальними машинами, він знаходить події клонування і запуску АВІ 2 декількох віртуальних машин. Відповідно, АІБ робить висновок, що АВІ 2 шляхом клонування і подальшого запуску великої кількості віртуальних машин викликав вичерпання обчислювальних ресурсів хоста.

Інцидент № 7. Вимикання ВМ
На віртуальній машині WIN7 встановлений безагентный антивірус (або, наприклад, система виявлення/запобігання вторгнень), що забезпечує захист всіх віртуальних машин на цьому хості, але, тим не менше, сталося вірусне зараження. Зробивши вибірку подій, що відносяться до даної віртуальній машині, АІБ з'ясував, що АВІ 1 вимкнув цю машину, що є приводом для з'ясування причин.

Висновок

Розглянуті приклади досить прості, але головною їх метою було показати функціонал vGate з виявлення інцидентів, який можна використовувати для виявлення та більш складних інцидентів. Кожен з розглянутих інцидентів можна запобігти з допомогою відповідних налаштувань і політик vGate, а також налаштування оперативних повідомлень адміністраторів безпеки про підозрілих і зловмисних дій. Якщо ж vGate, наприклад, інтегрований з SIEM-системою, це в сумі дасть ще більше інструментів для виявлення і розслідування інцидентів не тільки у віртуальній інфраструктурі, але і у всій інфраструктурі в цілому.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.