V minulých dílech jsme se zaměřovali spíše na konfiguraci v prostředí a inventarizaci. Dneska se společně podíváme i na něco málo ze security. Co se týká služby ATOM, tak jednou z její největší přidané hodnoty je právě bezpečnostní pohled a to na nejrozšířenější platformu na světě a to Microsoft Windows, nicméně ani Linux v tomto případě není opomíjen a je možno k němu přistoupit velmi obdobným způsobem, jen ty scripty nejsou v Powershellu, ale třeba v PERLu nebo v PYTHONu.
Dnes a denně se setkávám, že IT oddělení společnosti je dosti slepé a vymlouvá se na to, že nemá nástroje po sledování aktivit a věcí, které se jim dějí na serverech. Ale ten největší problém je, že neumí číst v Security Logu a kolikrát nemají ani zapnuté logování na daných systémech. Security log vám o bezpečnosti na daném zařízení řekne opravdu hodně a je potřeba se na něho dívat napříč prostředím, protože právě zde v jeden čas a v rámci stejné události najdete tu správnou anomálii, kterou může být třeba pokus o připojení se na všechny servery v infrastruktuře jedním účtem a to například pomocí nástroje hydra.
Pokud bude mít IT správně nastavené politiky (zamykání účtů) a bude mít dostatečný počet serverů, tak po enumeraci máte zamčené celé prostředí do několika minut. Já osobně jsem toto zažil v životě jen jednou a to zrovna v jedné z nejkritičtějších organizací v ČR (nemohu jmenovat), kde se během 10 minut uzamklo 1500 účtů a takto stále dokola. Daný problém tenkrát způsobil červ s názvem Conficker, známý také jako Downup, Downadup nebo Kido, který prošel přes antivirové systémy (také nemohu jmenovat, ale byl to jeden z těch známějších). Tento červ nezůstal jen na jednom zařízení, ale během pár hodin se rozšířil naprosto na všechna zařízení a uložit se do složky System Volume Information na disku C:. Pokud bych tenkrát měl službu ATOM nebo alespoň platformu OMS, pak bych mohl celému incidentu předejít a zachytit potencionální problém ještě dříve než nastal.
Případ užití
Jednou z velmi důležitých oblastí je sledování útoků Brute Force nebo Dictionary Attack, proto služba ATOM provádí online detekce těchto událostí na webovém serveru Internet Information Services a na službě Remote Desktop Services. Během detekcí sestavujeme pro zákazníky data, ze kterých je na první pohled zřejmé jaké uživatelské jméno, doména a z jaké IP adresy se pokoušela přihlásit do vašeho prostředí. Na tyto pokusy o přihlášení reagujeme a v případě, že se jedná o podezřelou aktivitu nebo četnost, pak informujeme zákazníka, který na základě informace od nás provádí přesměrování této komunikace, již na hraničních zařízeních. Tyto typy útoků mohou totiž přerůst, až do DoS nebo DDoS útoků a server je díky zpracování těchto požadavků natolik zaneprázdněn, že nestihne provádět odbavení korektních požadavků. V důsledku toho, pak nefungují webové aplikace, poštovní servery, interní webové aplikace, atd…
Pokud si útočník vytvoří dočasně nějaký účet na daném monitorovaném zařízení, často se to zákazník dozví až ve chvíli, kdy provádí pravidelný audit. Služba ATOM pravidelně kontroluje členství v lokálních skupinách a informuje zákazníka, zda nebyl do nějaké lokální skupiny přidán uživatel, který by mohl narušit důvěrnost daného zařízení. Díky této detekci umí team ATOM reagovat na dané situace a zastavit potencionální útok, již na začátku a sníží tak pravděpodobnost, že bude moci útočník postoupit dále ve vaší infrastruktuře. Obdobné detekce jsou pak prováděny i na úrovni Active Directory, kdy jsou sledovány privilegované skupiny a změny členství v nich.
Pokud byste projevili zájem o to poznat službu ATOM více do hloubky dejte mi vědět na hejda@kpcs.cz nebo si rovnou vezměte free účet na https://atom.ms , který můžete na 5 serverech používat neomezeně dlouho (neomezeně myslím než Microsoft upraví licenční politiku)
