PT NAD 11 получил новый модуль поведенческого анализа трафика

PT NAD 11 получил новый модуль поведенческого анализа трафика

Positive Technologies представила PT Network Attack Discovery версии 11. Главное в релизе — выявление еще большего (+20%) количества актуальных киберугроз с помощью нового модуля поведенческого анализа трафика. В частности, продукт обнаруживает атаку Kerberoasting, DNS-туннели, удаленное выполнение команд в Windows, а также брутфорс и спреинг паролей. PT NAD 11 теперь можно установить на российскую операционную систему Astra Linux и развернуть всего за 15 минут.

«Классические средства сетевой защиты (IPS, NGFW) используют для выявления атак преимущественно сигнатурные методы и индикаторы компрометации. Они подходят для защиты периметра сети от известных атак, но зачастую бесполезны для выявления целенаправленных атак и злоумышленников, уже находящихся в сети компании. Для этих целей нужно использовать более сложные алгоритмы, основанные на профилировании и анализе поведения. Используя эти подходы и нашу уникальную экспертизу, мы постоянно улучшаем возможности PT NAD и автоматизируем выявление сложных угроз, тем самым облегчая работу специалистов по ИБ», — комментирует Дмитрий Ефанов, руководитель разработки PT Network Attack Discovery, PositiveTechnologies.

Детектирует еще больше атак

PT NAD 11 выявляет технику Kerberoasting. Работы по анализу защищенности российских компаний, проведенные экспертами Positive Technologies, показывают, что в каждой второй компании применение данной техники позволяет злоумышленнику развить атаку и получить учетные данные. Опасность Kerberoasting состоит в том, что на первом этапе атаки, когда злоумышленники запрашивают доступы к различным сервисам, активность отображается как легитимная, а второй этап — брутфорс для получения паролей к собранным доступам — осуществляется локально, на стороне атакующих. Из-за этого вероятность обнаружения данной атаки сигнатурными методами крайне низка.

«PT NAD стал проще в работе, — рассказывает Алексей Леднев, руководитель отдела экспертных сервисов и развития SOC компании Positive Technologies. — Простое детектирование с помощью правил и индикаторов компрометации мы дополняем более продвинутыми инструментами: модулями аналитики, инструментами machine learning, сбором статистики и обучением продукта на ее данных. Все это для того, чтобы специалист по ИБ мог без дополнительного исследования за мгновение взглянуть в ленту активностей и понять: это действия злоумышленника или обычного пользователя? А освободившееся время, которое раньше он тратил на проверку срабатываний, можно посвятить более прогрессивным задачам, например проактивному поиску угроз (threat hunting)».

Согласно результатам тестов на проникновение, проведенных PositiveTechnologies во второй половине 2020 – начале 2021 года, злоумышленник может преодолеть сетевой периметр большинства компаний с помощью подбора паролей, в том числе путем прямого перебора и спреинга. С помощью анализа поведения PT NAD эффективнее обнаруживает попытки взлома учетных записей путем подбора логина и пароля (брутфорса), в том числе путем подбора учетной записи к слабому паролю (спреинга). В новую версию PT NAD также добавлен универсальный модуль для обнаружения DNS-туннелей любых типов, будь то самописный хакерский инструмент или утилита с GitHub. Модуль помогает быстрее выявлять атакующих в сети и своевременно останавливать их на пути к реализации недопустимых событий, которые каждая компания определяет для себя сама.

Кроме того, теперь PT NAD детектирует такую активность, как создание новых служб и задач планировщика Windows для тактик удаленного выполнения команд и перемещения внутри периметра. Новый модуль аналитики в PT NAD покрывает случаи с открытым и шифрованным трафиком. В случае генерации шифрованного трафика система определяет такую активность как отклонение от профиля и подсвечивает для оператора конкретный компьютер и пользователя, от которого она исходит.

Исключение для ленты активностей

В продукте появилась возможность добавлять исключения для модулей обнаружения угроз. Теперь оператор может более детально настроить детекты и анализировать максимально релевантные срабатывания. Это помогает обратить внимание на актуальные события и не тратить время на разбор инцидентов, не представляющих опасности. Лента активностей, задача которой фокусировать внимание пользователей PT NAD на важных киберугрозах и помогать отслеживать реагирование на них, в новом релизе стала удобнее для пользователя.

Интеграция c другими системами

Начиная с версии 11 события из ленты активности PT NAD можно просматривать в интерфейсе системы мониторинга событий информационной безопасности MaxPatrol SIEM. Для компаний, которые используют SIEM-решения других разработчиков, были добавлены механизмы интеграции с помощью syslog, webhook и ряд других. Благодаря этим механизмам можно настроить передачу срабатываний репутационных списков, правил и событий из ленты активностей в сторонние системы. Они также позволяют гибко кастомизировать PT NAD, к примеру интегрировав его с Telegram (для этого необходимо написать код).

Еще одно важное нововведение — расширение контекста уведомлений в ленте. Теперь оператор получает больше данных об интересующей его активности: например, в оповещении, помимо детекта трафика по определенному фильтру, указываются узлы, на которых этот трафик возник, клиенты-серверы и другой необходимый контекст.

Поддержка Astra Linux и установка за 15 минут

Реализована поддержка Astra Linux, что особенно актуально для органов власти, госкорпораций, субъектов КИИ и других российских компаний, переходящих, как сообщают СМИ, на данную ОС в рамках импортозамещения. Кроме того, установка PT NAD теперь происходит легче и быстрее: добавление в новую версию простого в использовании односерверного инсталлятора позволило сократить время развертывания c двух часов до 15 минут, а также проводить установку без подключения к интернету. Теперь можно устанавливать и использовать PT NAD в любых компаниях, даже там, где подключение к внешней сети запрещено регламентами.Среди других улучшений, облегчающих работу с продуктом, — мониторинг «из коробки» для отслеживания производительности PT NAD, возможность присвоения узлам пользовательских имен вместо доменных и обновленные сводки по узлам.

PT NAD 11 будет доступен для пользователей с 15 ноября, заявку на пилотный проект можно оставить уже сейчас. Действующие пользователи смогут обновить версию продукта через техническую поддержку.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

2 февраля – Всемирный день двухфакторной аутентификации (2FA Day)

Начиная с 2022 года, весь цивилизованный мир празднует 2 февраля — День двухфакторной аутентификации (2FA Day). Впервые этот праздник стали отмечать 2 февраля 2022 года. Это — отличный повод включить везде 2FA, сменить пароли и не забывать делать это регулярно!

2FA Day

Конечно, любой сходу ответит, что аббревиатуру 2FA можно расшифровывать как «2 February Anniversary». Но те, кто знаком с безопасностью, объяснят это по-своему: «2FA – это праздник в честь 2FA»! Правы будут все: в названии 2FA присутствует символизм. 

Для справки: 2FA или двухфакторная аутентификация – это технология, которая делает парольную защиту более надежной. При доступе к защищенному паролем сайту пользователю отправляется секретный код на телефонный номер. Другой вариант – в его адрес совершается телефонный звонок, а кодом служит несколько цифр в номере входящего звонка. Есть и другие варианты. Надо ввести код, после чего авторизация будет успешно пройдена.

Главное – это пароли и аутентификация. Не только ИБ-эксперты знают, что о безопасности и паролях стали заботится задолго до 2 февраля 2022 года. Чтобы связать все логически, надо вспомнить немного истории.

Рождение паролей

Первыми об использовании надежных паролей, говорят, задумались древние египтяне. Они изобрели свой «пароль» для замка в виде обычного дверного засова. Покидая дом, человек хотел сохранить неприкосновенность своего жилища, даже когда внутри никого не оставалось. Можно было посадить собаку в будку рядом с дверью, но в Древнем Египте было слишком жарко, поэтому этот народный способ оказался непригодным. Пришлось изобретать что-то более сложное.

Египетские умельцы соорудили специальный короб, который мог блокировать засов и надежно защищать жилище. Замок представлял собой набор деревянных штифтов, входящих в пазы. Они не давали засову выскальзывать и открывать дверь. Ключ был вырезан таким образом, что приподнимая штифты, можно было выдвинуть засов. Если убрать засов внутрь, то даже имея ключ, открыть дверь снаружи было невозможно.

 

Рисунок 1. Египетский замок

Египетский замок

 

Чтобы открыть египетский замок требовался правильный деревянный ключ. Говоря современным языком, египетский ключ – это был аналог пароля с однофакторной аутентификацией. Если злоумышленники смогли выточить идентичный дверной ключ, то они могли беспрепятственно проникнуть в дом египтянине в его отсутствие.

Вот такая «парольная» защита была придумана около 6000 лет назад. Аналогичное произошло и с компьютерными системами. До определенного времени защитой служил только обычный пароль. Предлагалось выбирать его посложней да позакавыристей. Самой популярной программой для хранения паролей исторически стал сервис 1Password.

Но проблема древних египтян не обошла и современных компьютерных пользователей. Также как и древним умельцам, им пришлось думать, как опередить злоумышленников. Единственный выход – это частая смена пароля. Но пользователи, как показывает практика, часто забывают об этом требовании.

1FA

В 2012 году Мэтт Бьюкенен (Matt Buchanan) написал для популярного издания Gizmodo небольшую заметку, в которой предложил отмечать специальный праздник - День смены пароля. По его мнению, это должно было напоминать пользователям о необходимости постоянно затруднять жизнь хакерам. Бьюкенен подумал, что было бы неплохо, если все пользователи хотя бы раз в год вспомнили о важном правиле и меняли свои пароли. Так родился День смены пароля.

Поскольку безопасники любят аббревиатуры, то они решили назвать новый праздник как 1FA Day. Что было причиной, сегодня уже трудно восстановить, но, возможно, в названии было зашифровано сокращение от 1Password Authentication. «Зашифрованная» дата легла на 1 February (1 февраля).

2FA

Рождение двухфакторной аутентификации относят к 1985 году. Тогда Кеннет Вайс (Kenneth Weiss) придумал и запатентовал «аппарат для электронной генерации и сравнения непредсказуемых кодов». Но расцвет двухфакторной аутентификации произошел позже. Он пришел вместе с широким распространением мобильных телефонов.

Казалось, все проблемы были решены: мобильное устройство всегда под рукой, поэтому не требуется использовать «искусственные» дополнительные токены, как это делали ранее некоторые банки, снабжая клиентов карточкой с распечатанной таблицей секретных паролей. Более того, код подтверждения стал постоянно меняться, что сделало защиту гораздо более безопасной, чем применение однофакторной связки из логина и пароля.

Но выявились и недостатки 2FA при ее использовании вместе с мобильным телефоном, хотя они носили больше организационный характер. Для применения требовалась надежная мобильная связь при аутентификации, иначе отправленное сообщение с паролем могло просто не дойти до адресата. Требовалось также заранее сообщить номер мобильного телефона для приема сообщений с паролем. Отправленные текстовые сообщения (SMS) могли быть также перехвачены злоумышленниками (впрочем, эта проблема была решена ограниченным сроком действия пароля). 

Как бы там ни было, к 2022 году 2FA был признан как надежный инструмент безопасности и поэтому достойным, чтобы ввести в обиход Праздник надежного пароля - 1FA на 2FA.

Вот такая история!

Безопасности много не бывает!

Кажущаяся простота 2FA скрывает под своим капотом много деталей, связанных с защитой. Раскроем некоторые из них.

Во-первых, пользователь должен знать правильный логин и пароль для необходимого ему доступа. Во-вторых, он должен иметь в руках мобильный телефон, зарегистрированный для получения 2FA-кода для адресуемого сайта. В более защищенных системах (например, в банках) еще потребуется пройти, в-третьих, дополнительную верификацию при отправке запроса (или получении ответа). Это может быть проверка по снимку роговицы глаза или анализ с голосовой верификацией. 

Тем не менее, даже такие надежные системы иногда подвержены взлому. Самый свежий случай произошел буквально недавно, в первый день этого года. Об этом написали в издании TechCrunch.

Проснувшись утром 1 января 2023 года пользователь криптовалютной биржи Coinbase, зарегистрированный под ником Regexer, получил электронное письмо. В нем говорилось, что в связи с началом года был произведен успешный сброс учетных данных.

Почуяв неладное, пользователь попробовал подключиться к своей учетной записи на криптобирже. Но ему не удалось сделать этого: попытка восстановить контроль не увенчалась успехом.

Вскоре у Regexer пропал доступ к мобильной сети. Используемое им мобильное приложение для двухфакторной аутентификации Authy сообщило, что к учетной записи было добавлено новое устройство и проведена его верификация. По всей видимости, хакеры заранее смогли сделать электронную копию с SIM-карты пользователя и воспользовались ею. Оператор мобильной связи, обнаружив дублирование, отключил старое устройство.

Взяв под контроль мобильный доступ Regexer, хакеры смогли сбросить пароли на его учетной записи доступа к криптобирже и перехватить SMS-сообщения, отправляемые для двухфакторной аутентификации. Они получили контроль над Authy и, соответственно, над его криптосбережениями.

Как хакерам удалось взломать надежную систему, где участвуют криптобиржа, мобильный оператор, используется надежная система защиты? Причина стала понятна через несколько недель, когда к пользователю Regexer пришло письмо от провайдера сотовой связи Google Fi. В письме сообщалось, что хакерам удалось украсть некоторые данные их клиентов, в число которых попал и Regexer. Было высказано предположение, что кража была связана с недавно произошедшим взломом в T-Mobile.

В письме также говорилось, что хакерам смогли воспользоваться и «другими данными, связанными с учетной записью в Google Fi и доступные без авторизации: почтовый индекс, служебный/экстренный адрес для связи». 

«Кроме того, 1 января 2023 года в течение примерно 1 часа 48 минут услуга мобильной связи была переведена с SIM-карты реального клиента (Regexer) на другую SIM-карту. Во время этой временной передачи несанкционированный доступ мог включать использование номера телефона для отправки и получения телефонных звонков и текстовых сообщений. Несмотря на передачу SIM-карты, ваша голосовая почта не могла быть доступна. Мы восстановили сервис Google Fi на вашей SIM-карте», - говорилось в сообщении провайдера.

Выводы

Мы рассказали эту «страшную» историю не для того, чтобы «напугать». Несмотря на простоту применения, двухфакторная аутентификация и парольная защита требуют к себе внимательного отношения. Необходимо обращать внимание на то, что происходит в мире информационной безопасности. Иначе можно столкнуться с неприятностями, иногда очень серьезными.

Отметим ее, что все участники рынка стараются обеспечить надежную работу и безопасность. Но и от пользователей требуется иногда вспоминать о своей роли и соблюдать рекомендации, которые советуют компании ИБ.

С праздником 2FA!

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru