הגנה על תשתיות עם Azure Security Center (הקדמה)

by אלי שלמה · 27/01/2018

*מאמר ראשון בסדרת הגנה על תשתיות עם Azure Security Center

ברבעון האחרון של שנת 2017 חל שינוי בענן ויותר לקוחות בחרו לצרוך ענן מבוסס Azure על פני Amazon, לצד השינוי הנ”ל של צריכת שירותי ענן בשירות Azure אנו מחויבים לתת הגנה ומענה של אבטחת מידע לתשתיות החל מהגנה על השכבה החיצונית, דרך זהויות ועד לביצוע תחקור של אירועי ותקיפות סייבר.

בהגנה על תשתיות Azure ישנם מספר שכבות ורובדים מבוססים Azure Security Center וכן יכולות נלוות אשר מסייעים בהגנה ונותנים מענה מתקדם אך יחד עם זאת חשוב להדגיש שהצורך בתפעול המערכות הינו חשוב בין אם הניהול והתחקור נעשה ישירות מול ממשקי Azure Security Center או באינטגרציה מול מערכות SIEM שונות.

לפני שנרחיב ונתמקד ביכולות של הגנה על תשתיות Azure באמצעות Azure Security Center חשוב להבין את איומי הסייבר שאנו חשופים להם ובהתאם לכך להגן על התשתיות השונות.
דוחות הסייבר של חברות אבטחת המידע הציגו דוחות לשנת 2017 על המגמות והטרנדים שהיו עם התייחסות לקראת 2018, הדוחות של שנת 2017 כללו בין היתר פרטים לגבי חברות שהותקפו ונזקים שנגרמו, כדוגמת הדוח של חברת Cisco.
ניתן למצוא בין היתר בדוחות ארגונים שהותקפו ונתונים לגבי מידת השפעה לגבי אותם ארגונים שהותקפו:

22% איבדו לקוחות
23% איבדו הזדמנויות עסקיות
38% איבדו הכנסות
56% מההתראות קיבלו מענה וטיפול

אלה הם רק חלק קטן מתוך הנתונים בדוח אך אין ספק שצריך להגן על תשתיות הארגון אך חשוב מכך, צריך לוודא שיש לנו את ההגנה המתאימה שתאפשר ניהול נכון! אחת הבעיות כיום היא שישנם המון מערכות הגנה בארגון אשר גורמות לניהול לא נכון ולמצב של עודף בהתראות ולכן התראות קריטיות אינן מקבלות התייחסות מתאימה.

בדוחות הנוספים של חברות אבטחת המידע ישנם מספר טרנדים ומגמות לקראת 2018 כאשר ישנם מספר מגמות בולטות:

עלייה בכמות האיומים הקשורים לתשתיות ענן
תשתיות קריטיות ואסטרטגיות ייהפכו למטרה ראשונה
התפתחות מתקפות Ransomware
יישומי הגנה בטכנולוגיית Blockchain
המשתמש ימשיך להיות החוליה החלשה
מתקפות סייבר קשות יותר ברמת ארגונית וברמת גלובאלית

בנוסף לדוח ישנם שני אתגרים גדולים שכל ארגון חייב לאמץ ולדעת לנהל באופן הנכון בשנה הקרובה:

חדשנות סייבר – מתקפות ואיומי סייבר מתחדשים כל העת ולכן גם מענה והגנה צריכים להתחדש בהתאם
ניהול אירועי סייבר – מורכבות בניהול התגובה לאירועי סייבר מול מערכות הגנה במטרה לצמצום זמן הזיהוי וזמן מענה

אז איך כל זה קשור אל Azure Security Center, למגמות וטרנדים של סייבר לשנת 2018 ולחדשנות בתחום הסייבר?
ארגונים כיום עובדים באופן כלשהוא עם הענן בין אם בתצורה היברידית ובין אם בתצורת ענן בלבד אך ישנם מספר דגשים אשר משותפים לכלל הארגונים כאשר בוחנים פתרון סייבר:

זיהוי, תחקור ומענה אוטומטי למתקפות סייבר
אינטגרציה ושילוב מול שכבות ורובדי אבטחת מידע נוספים
מנגנון ומענה לתצורה היברידית
מערכת אחת לניהול Unified Security Management
נראות וניהול גרנולרי של המערכות

Azure Security Center מספק הגנה,זיהוי ותגובה על בסיס מספר פלטפורמות שונות, בין היתר על הפלטפורמה של Intelligent Security Graph וכתוצאה מכך ניתן לקבל יכולות הגנה ומענה מתקדמות של תחקור ושל advanced threat protection.
מערכת הניהול של Azure Security Center מבוססת על Unified Security Management לסביבות workload שונות בתצורה היברידית או סביבות ענן בלבד ומאפשר לבצע ניהול, זיהוי ותגובה על כל רכיב, מערכת, שירות ואובייקט נדרש לאותה סביבה.

Azure Security Center כולל יכולות הגנה, זיהוי ותגובה מול שרתים וירטואליים או שרתים הנמצאים בסביבה מקומית אך בנוסף לזה מאפשר הגנה על גישה לכל אותם worloads שונים כדוגמת אינטגרציה מול זהויות (Azure Identity), פתרונות WAF או פתרונות כדוגמת CheckPoint FW.
האינטגרציה לא חייבת להיות מבוססת רק על מערכות Microsoft וניתן לשלב מערכות צד שלישי שונות כולל הגנה על מערכות לינוקס.
היבטי אבטחת מידע מול Azure נחלקים לשלושה רבדים:

זהויות – מאפשר לנהל זהויות וגישה אל משאבים ולהגן על המידע בארגון באמצעות יכולות multi-factor authentication שמגן על הכניסה לרשת באמצעות מזהה נוסף, AAD Privileged Identity שמאפשר לנהל באופן מלא את הגישה ולאפשר פעולות מסוימות בהתאם לגישה של כל משתמש.
תשתיות – ברמת התשתיות Azure מאפשר לעבוד כמה רבדים נוספים המאפשרים הקשחת הגישה אל התשתיות והגנה על התשתיות עצמם עם יכולות, כגון: חסימה של תעבודה שאינה מאומתת מול Virtual Network, שליטה על התעבורה מול מכונות עם NSG.
בנוסף יש יכולות, כגון: AM for Azure המאפשר לנהל איומים וסיכונים מול משאבים שונים, שליטה וניהול עם Security Center וכו’.
אפליקציות ונתונים – ברמת אפליקציות ונתונים ניתן לעבוד עם יכולות שונות, כגון: הצפנה המידע (data in rest\transit), כולל קבצים, אפליקציות, services. הפעלת BitLocker על כוננים מסוימים.

בנוסף לכל אותם אפשרויות Microsoft מחויבת לתקנים בינאלאומיים ומחמירים של שמירה על המידע, מידע נוסף Microsoft Trust Center Compliance.

הגנה על תשתיות באמצעות Azure Security Center

Azure Security Center מספק מספר יכולות הגנה על שכבת התשתית ומאפשר הגנה על התשית, זיהוי איומים וביצוע פעולות תגובה על כל אותם איומים (לפי פוליסי שהוגדר מול מראש). Azure Security Center עובד לפי שלושה מנגנונים:

הגנה – לאחר חיבור ראשוני בלבד של התשתית מתקבלת תמונה ראשונית אשר מציגה סיכונים והמלצות שניתן לבצע על הסביבה, הקולקטור שמוגדר בשרתים (על בסיס סנסור) מבצע סריקה על המכונה ובהתאם לפוליסי ראשוני ודיפולטי ניתן לראות מהן הסיכונים הקיימים ובכל סיכון ישנה המלצה שניתנת לביצוע.
זיהוי – לאחר שהסביבה נדגמת ומבצעת ניטור על בסיס סנסור בכל זמן נתון (בהתאם לפוליסי) ניתן לדעת מה מתרחש בתשתית כל עת ובמידה ותתבצע פעולה חריגה או מתקפה מסוימת תשלח התראה לממשק, למייל, למערכת SIEM לגבי הסיכון ובעקבות כך נוכל לבצע תחקור מתוך ממשק Azure Security Center.
תגובה – בהתאם למדיניות שהוגדרה ובהתאם לפוליסי שהוגדר מראש ניתן לבצע מענה אוטומטי מול פעולה וסיכון שהתגלתה בשרת, כדוגמת process injection אשר התגלה ולאחר מכן ביצוע פעולה הורדה אוטומטית של אותו process.

Azure Security Center עובד לפי מנגנון של Protect + Detect + Respose ולכן מאחורי הקלעים ישנה פלטפורמה ומנגנון הגנה שמבצע כל העת אנליטיקות וניתוח מידע, בין כל המידע ישנה קורלציה וכמות הסינגלים שנשלחת אל שירות Azure מאפשר לכל ארגון לקבל מידע לגבי סוגי מתקפות, זיהוי מתקפות חדשות, זיהוי מתקפות מתקדמות ומענה לאיומים וסיכונים.

Slide one

המנגנון של זיהוי ותגובה עובד עם מערכת המשלבת מספר קריטריונים ומגנונים נוספים:

מידע לגבי איומים וסיכונים – הענן של Microsoft בנוי מכמה שירותי ענן ומאגרי מידע שונים, כגון: MSRC ולכן המידע הקיים בענן מאפשר לבצע טלמטריה על כל המידע ובהתאם לכך לבצע ניתוח חכם של המידע ותוך כדי לבצע זיהוי של איומים וסיכונים. הדוגמא הנפוצה של זיהוי תעבורה זדונית מול מכונות וירטואליות היא זיהוי תעבורה מול כתובות IP לא תקינה אשר פונה לרשת botnet. במצבים כאלה Azure Security Center יודע לזהות תעבורה תקינה או לא תקינה מול מאגרי המידע השונים הקיימים.
התנהגות – מכיוון שהאיומים כיום יותר חכמים אנו צריכים מערכות שיידעו לזהות מראש איום שאינו רגיל, ניתוח התנהגות הוא טכניקה שמאפשרת לזהות מראש איום. האופן שבו עובד ניתוח ההתנהגות נעשה ע”י אלגוריתם בתוך Machine Learning שמאפשר לדעת מתי ישנו הבדל בין פעולות רגילות לבין פעולות חשודות מול מכונות וירטואליות, רשתות ומול התקנים.
דוגמא נפוצה לגבי ניתוח התנהגות אשר נעשה ברמת PowerShell שבו המערכת יודעת לזהות פעילות והאופן שבו מריצים PowerShell על גבי מכונה וירטואלית ומתי מופעל PowerShell בצורה זדונית (תוקף או קישור).
אנומליה – Azure Security Center מבצע אנומליה (על בסיס פלטפורמות שונות) על המידע והפעולות ובניגוד לניתוח התנהגות (המבוסס על דפוסי התנהגות) אנומליה עובד לפי קווים מנחים שיקבל מראש או קווים מנחים לפי מידע שנאסף ולכן גם כאן יכולות Machine Learning נכנסות לפעולה ע”י חוקים ויישום.

*ניתוח התנהגות ואנומליה יכול לעיתים להיות דומה אחד לשני אך הם עדיין שונים מאד, אנומליה מספקת לנו מידע לגבי אי סדירות שקשה להסביר בכללים או תיאוריות שונות וקיימות, ככל שנאסף יותר מידע וקווים מנחים כך המידע שנוצר מאפשר לבצע יותר אנומליות והיא נעשית יותר קלה לזיהוי.
מנגד ישנה ניתוח התנהגות המבוסס על אלגוריתמים משתנים בתוך Machine Learning ולא על חתימות ולכן מתבצעת הגנה איומי Zero-day והיכולת להתמודד עם איומים לא גלויים או לא רגילים ושאינם מנוטרלים על ידי מערכות האבטחה הרגילות.

פורטל הניהול של Azure Security Center

הפעלה ראשונית של Azure Security Center הינו תהליך פשוט אך בכדי לקבל את היכולות הנוספות לאחר מכן ובכדי לעבוד מול מערכות SIEM צריך לבצע מספר הגדרות נוספות. לאחר שמפעילים את Data Collector במערכת הניהול של Azure Security Center ניתן לעבוד עם הממשק Security Center – Overview ולקבל תצוגה כללית, להפעיל פוליסי ועוד.
בתצוגה הכללית של Azure Security Center המסך מחולק לכמה חלונות של Prevention לניטור וניהול המשאבים, המלצות לביצוע בעקבות הניטור, פוליסי לביצוע, התראות ועוד.

במסך הניטור Prevention ניתן לראות כל אותם משאבים שאנו דוגמים ולהציג מידע מפורט