Advanced Threat Analytics – narzędzie do ochrony przed atakami APT

24 lipca 2015

Microsoft, jeszcze na konferencji Ignite trzy miesiące temu zaprezentował działanie swojego najnowszego narzędzia służącego do zaawansowanej analizy zagrożeń – Microsoft Advanced Threat Analytics (ATA), które w sierpniu zostanie publicznie udostępnione dla administratorów, którzy będą chcieli dodatkowo zabezpieczyć wrażliwe firmowe dane.

Osobą odpowiedzialną za prowadzenie projektu Advanced Threat Analytics jest Idan Plotnik, założyciel i CEO izraelskiej firmy Aorato przejętej w listopadzie 2014 roku przez Microsoft za 200 milionów dolarów. Dzięki przejęciu Aorato, Microsoftowi udało się skorzystać z patentów i opracować narzędzie oparte o maszynowe uczenie się i wykrywanie w czasie rzeczywistym wszelkich anomalii systemowych, które mogłyby wskazywać na potencjalną aktywność podejrzanego ruchu sieciowego przechodzącego przez firewalle, urządzenia klasy UTM i przełączniki.

ATA do działania wykorzystuje szereg metod identyfikacji, raportowania oraz ostrzegania przed atakami w środowisku roboczym, zanim nieznane „akcje” spowodują poważne szkody lub wytransferowanie większości poufnych dokumentów „na zewnątrz”. Jedną z takich metod jest zaimplementowana technologia skanowania pakietów sieciowych DPI (Deep Packet Inspection), która stosowana jest przed niektórych dostawców sieci Internet. DPI działa w warstwie aplikacji w modelu sieci OSI (w tym przypadku „integruje się” z ruchem sieciowym z Active Directory) i pozwala wykryć oraz blokować pakiety z określonych danych lub ładunki (ang. payload), które za pomocą tradycyjnego filtrowania pakietów nie mogłyby zostać zidentyfikowane. 

ATA wykrywa nieprawidłowe zachowanie użytkownika, a właściwie działających procesów i usług z uprawnieniami aktualnego zalogowanego pracownika konta AD poprzez analizę behawioralną, która może pełnić rolę strażnika i ostrzec przed potencjalnymi zaawansowanymi atakami sieciowymi. Podejrzana aktywność wykrywana jest np. na podstawie logowania się do aplikacji / systemów w nieodpowiednich godzinach pracy lub podczas wysyłania haseł przez różne protokoły komunikacyjne. ATA na podstawie zapisanej analizy tworzy wykresy i podpowiada administratorom, na które elementy infrastruktury sieciowej należy zwrócić szczególną uwagę.

ATA do działania wykorzystuje analizę opartą o reguły wykrywania zaawansowanych ataków w czasie rzeczywistym. Według Microsoftu, narzędzie Advanced Threat Analytics jest w stanie wykryć ataki Pass-the-Ticket, Pass-the-Hash, Overpass-the-Hash, Forged PAC (MS14-068), Remote execution, Golden Ticket, Skeleton key malware, Reconnaissance i Brute Force.

Ponadto ATA potrafi zidentyfikować źle skonfigurowane urządzenia pod kątem zabezpieczeń i ostrzec, zasugerować zmianę ustawień, wyłączenia niektórych portów, skorzystanie z nowszych i wolnych od luk wersji protokołów wymiany informacji.

Advanced Threat Analytics w rzeczywistości to serwer z zainstalowanym ATA zbierającym przesyłane pakiety z przełączników sieciowych. Wspomaga dublowanie datagramów i monitorowanie sieci. Z kolei ATA Center to zarządca rozwiązania, za pomocą którego możliwa jest konfiguracja ATA oraz zbieranie danych z ATA Gateway wykorzystywanych do ostrzegania i raportowania.

 

A oto przykładowy proces rozpoznawczy ataku, w którym atakujący próbuje zalogować się poprzez protokół uwierzytelniania i autoryzacji Kerberos. 58 użytkowników zostało rozpoznanych w Active Directory, ale 34 akcje to podejrzane próby logowania na nieistniejące konta lub konta „testowe”.

Atakujący próbuje zalogować do istniejących kont w AD odgadując hasło metodą słownikową.  

Pozyskane hasło może pozwolić atakującemu zalogować się do różnych maszyn, jednak próby zalogowania się na inne komputery zostały zidentyfikowane przez ATA. 

ATA wykrywa podejrzaną aktywność i podpowiada, że dane uwierzytelniające administratora zostały wykradzione i posłużyły do zalogowania się do kolejnych zasobów. 

Microsoft twierdzi, że jego rozwiązanie jest proste w instalacji oraz samym użytkowaniu. Administrator nie musi tworzyć żadnych reguł, ani zasad. Wystarczy skonfigurować odpowiednio przekazywanie datagramów z przełączników do ATA Gateway.  

Narzędzie Advanced Threat Analytics jest aktualnie w fazie Technical Preview i dostępne do pobrania pod adresem: https://www.microsoft.com/en-us/evalcenter/evaluate-microsoft-advanced-threat-analytics – około 250MB. Jego stabilna wersja planowana jest na sierpnień 2015 roku. ATA do instalacji wymaga Windows Server 2012. 

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ