Advanced Threat Analytics – narzędzie do ochrony przed atakami APT

24 lipca, 2015

Microsoft, jeszcze na konferencji Ignite trzy miesiące temu zaprezentował działanie swojego najnowszego narzędzia służącego do zaawansowanej analizy zagrożeń – Microsoft Advanced Threat Analytics (ATA), które w sierpniu zostanie publicznie udostępnione dla administratorów, którzy będą chcieli dodatkowo zabezpieczyć wrażliwe firmowe dane.

Osobą odpowiedzialną za prowadzenie projektu Advanced Threat Analytics jest Idan Plotnik, założyciel i CEO izraelskiej firmy Aorato przejętej w listopadzie 2014 roku przez Microsoft za 200 milionów dolarów. Dzięki przejęciu Aorato, Microsoftowi udało się skorzystać z patentów i opracować narzędzie oparte o maszynowe uczenie się i wykrywanie w czasie rzeczywistym wszelkich anomalii systemowych, które mogłyby wskazywać na potencjalną aktywność podejrzanego ruchu sieciowego przechodzącego przez firewalle, urządzenia klasy UTM i przełączniki.

ATA do działania wykorzystuje szereg metod identyfikacji, raportowania oraz ostrzegania przed atakami w środowisku roboczym, zanim nieznane „akcje” spowodują poważne szkody lub wytransferowanie większości poufnych dokumentów „na zewnątrz”. Jedną z takich metod jest zaimplementowana technologia skanowania pakietów sieciowych DPI (Deep Packet Inspection), która stosowana jest przed niektórych dostawców sieci Internet. DPI działa w warstwie aplikacji w modelu sieci OSI (w tym przypadku „integruje się” z ruchem sieciowym z Active Directory) i pozwala wykryć oraz blokować pakiety z określonych danych lub ładunki (ang. payload), które za pomocą tradycyjnego filtrowania pakietów nie mogłyby zostać zidentyfikowane. 

ata zasada dzialania

ATA wykrywa nieprawidłowe zachowanie użytkownika, a właściwie działających procesów i usług z uprawnieniami aktualnego zalogowanego pracownika konta AD poprzez analizę behawioralną, która może pełnić rolę strażnika i ostrzec przed potencjalnymi zaawansowanymi atakami sieciowymi. Podejrzana aktywność wykrywana jest np. na podstawie logowania się do aplikacji / systemów w nieodpowiednich godzinach pracy lub podczas wysyłania haseł przez różne protokoły komunikacyjne. ATA na podstawie zapisanej analizy tworzy wykresy i podpowiada administratorom, na które elementy infrastruktury sieciowej należy zwrócić szczególną uwagę.

ATA do działania wykorzystuje analizę opartą o reguły wykrywania zaawansowanych ataków w czasie rzeczywistym. Według Microsoftu, narzędzie Advanced Threat Analytics jest w stanie wykryć ataki Pass-the-Ticket, Pass-the-Hash, Overpass-the-Hash, Forged PAC (MS14-068), Remote execution, Golden Ticket, Skeleton key malware, Reconnaissance i Brute Force.

Ponadto ATA potrafi zidentyfikować źle skonfigurowane urządzenia pod kątem zabezpieczeń i ostrzec, zasugerować zmianę ustawień, wyłączenia niektórych portów, skorzystanie z nowszych i wolnych od luk wersji protokołów wymiany informacji.

Advanced Threat Analytics w rzeczywistości to serwer z zainstalowanym ATA zbierającym przesyłane pakiety z przełączników sieciowych. Wspomaga dublowanie datagramów i monitorowanie sieci. Z kolei ATA Center to zarządca rozwiązania, za pomocą którego możliwa jest konfiguracja ATA oraz zbieranie danych z ATA Gateway wykorzystywanych do ostrzegania i raportowania.

072215 0148 MicrosoftAd2 072215 0148 MicrosoftAd3

A oto przykładowy proces rozpoznawczy ataku, w którym atakujący próbuje zalogować się poprzez protokół uwierzytelniania i autoryzacji Kerberos. 58 użytkowników zostało rozpoznanych w Active Directory, ale 34 akcje to podejrzane próby logowania na nieistniejące konta lub konta „testowe”.

050415 0219 MicrosoftAd1

Atakujący próbuje zalogować do istniejących kont w AD odgadując hasło metodą słownikową.  

050415 0219 MicrosoftAd2

Pozyskane hasło może pozwolić atakującemu zalogować się do różnych maszyn, jednak próby zalogowania się na inne komputery zostały zidentyfikowane przez ATA. 

050415 0219 MicrosoftAd3

ATA wykrywa podejrzaną aktywność i podpowiada, że dane uwierzytelniające administratora zostały wykradzione i posłużyły do zalogowania się do kolejnych zasobów. 

050415 0219 MicrosoftAd4

Microsoft twierdzi, że jego rozwiązanie jest proste w instalacji oraz samym użytkowaniu. Administrator nie musi tworzyć żadnych reguł, ani zasad. Wystarczy skonfigurować odpowiednio przekazywanie datagramów z przełączników do ATA Gateway.  

Narzędzie Advanced Threat Analytics jest aktualnie w fazie Technical Preview i dostępne do pobrania pod adresem: https://www.microsoft.com/en-us/evalcenter/evaluate-microsoft-advanced-threat-analytics – około 250MB. Jego stabilna wersja planowana jest na sierpnień 2015 roku. ATA do instalacji wymaga Windows Server 2012. 

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]