IB. NPA

IDENTIFIKACIJA RANJIVOSTI INFORMACIONOG SISTEMA

Sergej Konovalenko

postdiplomac Krasnodarske više vojne škole,

Rusija, Krasnodar

Igor Korolev

doktor tehničkih nauka, profesor, profesor katedre za zaštićene informacione tehnologije Krasnodarske više vojne škole,

Rusija, Krasnodar

ANOTATION

Evaluated postojeća sredstva sigurnosna analiza informacioni sistemi, na osnovu kojih se grade modeli za otkrivanje, identifikaciju i procjenu slika ranjivosti informacionih sistema. Utvrđene su glavne karakteristike (elementi) svojstvene slikama postojećih ranjivosti informacionih sistema.

SAŽETAK

Izvršena je procjena postojećih alata za analizu sigurnosti informacionih sistema. Na osnovu postignutih rezultata izgrađeni su modeli detekcije, identifikacije i evaluacije slika ranjivosti informacionih sistema. Definisane su glavne karakteristike (elementi) svojstvene slikama ranjivosti postojećih informacionih sistema.

Ključne riječi: identifikacija; Informacioni sistem; identifikacija; razred; opis slike; ranjivost.

Ključne riječi: detekcija; informacioni sistem; identifikacija; evaluacija; opis slike; ranjivost.

Svaki informacioni sistem (u daljem tekstu IS) ima određene ranjivosti, čija je lista prilično opsežna i podložna je stalnom ažuriranju (proširenju). Ranjivosti IS-a su uzrokovane nedostacima (greškama) koji nastaju u procesu „životnog ciklusa“ ovog sistema. Sa ovog stanovišta, mogućnost implementacije prijetnji po sigurnost IS-a direktno zavisi od akcija napadača da otkrije i iskoristi svoje inherentne ranjivosti. S druge strane, proces identifikacije IP ranjivosti koji sprovodi stručnjak je fundamentalan u suprotstavljanju napadaču u ranim fazama napada.

Svrha ovog članka je izgradnja generaliziranih modela za identifikaciju, identifikaciju i procjenu slika ranjivosti IS, kao i određivanje karakteristika (elemenata) svojstvenih slikama postojećih ranjivosti, što će omogućiti stručnjaku da bolje sistematizuje svoj rad u oblast osiguranja sigurnosti kontrolisanog IS.

Prema GOST R 56545-2015, "ranjivost" je nedostatak (slabost) softverskih (softverskih i hardverskih) sredstava ili IS u cjelini, koji (koji) se mogu koristiti za implementaciju prijetnji po sigurnost informacija. „Informacioni sistem“ je skup informacija sadržanih u bazama podataka (u daljem tekstu – DB) i informacionim tehnologijama i tehničkim sredstvima koja obezbeđuju njihovu obradu.

Bilo koja IS ranjivost može se predstaviti kao slika koja uključuje skup određenih karakteristika (elemenata koji opisuju datu ranjivost), formiranih prema određenim pravilima.

Opis ranjivosti IP-a je informacija o identifikovanoj (otkrivenoj) ranjivosti. Pravila opisa IP ranjivosti su skup odredbi koje regulišu strukturu i sadržaj opisa ranjivosti.

Prema slikama ranjivosti, one se dijele na slike poznatih ranjivosti, slike ranjivosti nultog dana i slike novootkrivenih ranjivosti. Poznata ranjivost je javno objavljena ranjivost koja opisuje odgovarajuće mjere sigurnosti informacija, ispravke nedostataka i povezana ažuriranja. Ranjivost nultog dana je ranjivost koja postaje poznata prije nego što programer IC komponente objavi odgovarajuće mjere sigurnosti informacija, ispravke grešaka ili odgovarajuća ažuriranja. Novootkrivena ranjivost je ranjivost koja nije objavljena u javnom domenu.

Svaka vrsta slika IP ranjivosti ima i opšte i specifične karakteristike (elemente) koje se mogu sažeti u tabeli. Primjer tabele je prikazan ispod.

Tabela 1.

Elementi različitih tipova slika IP ranjivosti

	Karakteristike slike ranjivosti	Element inherentan u imidžu poznate ranjivosti	Element koji je svojstven slici ranjivosti nultog dana	Element inherentan u imidžu novoidentifikovane ranjivosti
	Mjesto detekcije (identifikacije) ranjivosti u IP-u.
	Metoda otkrivanja (otkrivanja) ranjivosti.
	Ime ranjivosti.

Prije nego što pređemo na modele za identifikaciju, identifikaciju i procjenu slika ranjivosti, potrebno je pojasniti da se IS sastoji od nivoa:

• nivo aplikativnog softvera (u daljem tekstu softver) koji je odgovoran za interakciju sa korisnikom;
• nivo sistema za upravljanje bazom podataka (u daljem tekstu DBMS) koji je odgovoran za skladištenje i obradu IS podataka;
• nivo operativnog sistema (u daljem tekstu OS) koji je odgovoran za održavanje DBMS-a i aplikativnog softvera;
• mrežni sloj odgovoran za interakciju IS čvorova.

Različite vrste (klase) ranjivosti povezane su sa svakim od nivoa IS-a. Za identifikaciju ranjivosti potrebno je razviti modele za identifikaciju, identifikaciju i procjenu ranjivosti.

Glavni izvori IP ranjivosti su:

• greške u razvoju (dizajnu) IS (na primjer, greške u softveru);
• greške u implementaciji IS-a (greške administratora IS-a) (na primjer, netačna postavka ili konfiguracija softvera, neefikasan koncept sigurnosne politike, itd.);
• greške pri korištenju IS-a (korisničke greške) (na primjer, slabe lozinke, kršenje sigurnosne politike, itd.).

Za identifikaciju, identifikaciju i procjenu ranjivosti IS-a, kao i generiranje izvještaja i eliminaciju (neutralizaciju) ranjivosti, koriste se alati za analizu mrežne sigurnosti (u daljnjem tekstu SAS) (sigurnosni skeneri (u daljnjem tekstu SAT)), koji se mogu podijeliti u dvije vrste:

• mrežni BACS (SB) (izvršiti udaljenu analizu stanja nadgledanih hostova na nivou mreže);
• SAS (SB) nivoa OS (izvršiti lokalnu analizu stanja nadgledanih hostova, ponekad je potrebno instalirati poseban agent na nadgledane hostove).

Relevantnost BAS (SB) aplikacije je zbog činjenice da je stručnjak u stanju unaprijed odrediti dovoljno veliku listu tipova (klasa) ranjivosti svojstvenih kontroliranom IS-u i poduzeti potrebne mjere (u nekim slučajevima pokušajte da ih eliminišete ili eliminišete (minimizirate) mogućnost korišćenja otkrivenih ranjivosti od strane napadača.

Za sistematizaciju rada specijaliste u oblasti bezbednosti koju kontroliše IS, a na osnovu analize izgrađen je generalizovani model za identifikaciju slika ranjivosti IS (slika 1).

Slika 1. Generalizovani model za identifikaciju slika ranjivosti IP-a

Proces identifikacije ranjivosti IS-a se gradi izvođenjem pasivnih provjera (scanning - scan) i aktivnih provjera (probing - probe) prisutnosti ranjivosti u kontrolisanom IS-u.

Tokom procesa skeniranja, BAC, šaljući odgovarajuće zahtjeve kontroliranom IS-u (na portove kontroliranog hosta), analizira vraćene banere (zaglavlja paketa podataka) i donosi odgovarajuće zaključke o vrsti IS-a i prisutnosti potencijala ( moguće) njegove ranjivosti. Rezultat skeniranja ne ukazuje uvijek na prisustvo mogućih (tipičnih) ranjivosti IS-a, budući da je tekstualni sadržaj banera mogao biti posebno modificiran, ili su poznate ranjivosti svojstvene ovom IS-u eliminirane od strane stručnjaka u procesu njegove implementacije ( upotreba). Drugi način izvođenja radnji skeniranja su aktivne provjere sondiranja, koje pružaju mogućnost analize vraćenog digitalnog otiska (otiska prsta) softverskog fragmenta kontroliranog IC-a (tj. da se izvrši proces poređenja dobivenog rezultata sa digitalnim otiskom poznata ranjivost ovog tipa IS). Ova metoda pruža pouzdaniju i tačniju proceduru za identifikaciju mogućih (tipičnih) kontrolisanih IS ranjivosti.

U procesu sondiranja, BAC simulira izvršenje napada na kontrolisani IS, koristeći sliku moguće (tipične) ranjivosti dobijenu tokom skeniranja. Rezultat procesa sondiranja je najprecizniji i pouzdane informacije o prisustvu ranjivosti u kontrolisanom IP-u. Ova metoda se ne koristi uvijek, jer postoji mogućnost kvara (onemogućavanja) kontroliranog IC-a. Odluku o primjeni gornje metode donosi administrator mreže u slučaju neefikasnog izvršenja ili potrebe za potvrdom rezultata skeniranja i aktivnih provjera sondiranja.

Rezultati skeniranja i sondiranja se šalju u bazu podataka ranjivosti, u kojoj se čuvaju slike ranjivosti kontrolisanog IS-a. Na osnovu procedure za upoređivanje slike otkrivene ranjivosti sa slikama ranjivosti kontrolisanog IS-a, CAZ generiše izveštaj o odsustvu ili prisustvu podudaranja na slikama ranjivosti (detekcija ranjivosti), koji se pohranjuje u baza podataka ranjivosti.

Generalizovani model za identifikaciju slika ranjivosti detaljno opisuje generalizovani model za identifikaciju i procenu slika ranjivosti IS (Slika 2).

Slika 2. Generalizovani model identifikacije i procjene slika ranjivosti IP-a

Proces identifikacije slike otkrivene ranjivosti IS-a, koja ima specifične karakteristike (elemente), provodi se putem procedure za upoređivanje sa slikama poznatih ranjivosti i ranjivosti nultog dana koje se čuvaju u bazi podataka ranjivosti. Formalni opis poznatih ranjivosti i ranjivosti nultog dana sastavlja se u obliku pasoša, koji sadrži informacije o specifičnim karakteristikama (elementima) određene ranjivosti. Za tačnu identifikaciju slike otkrivene ranjivosti, ona mora sadržavati informacije o nazivu i verziji IS softvera u kojem je ranjivost pronađena, o identifikatoru, nazivu i klasi otkrivene ranjivosti. Na osnovu gornjih informacija, BAC korelira sliku otkrivene ranjivosti sa jednom od vrsta slika ranjivosti. Za kvalitetnu procjenu, identificirana slika ranjivosti, zauzvrat, mora sadržavati informacije o identifikatoru i vrsti IS greške u kojoj je ranjivost otkrivena, o mjestu gdje je ranjivost otkrivena u IS-u io način da se identifikuje ranjivost. Proces procjene slike ranjivosti završava se izradom preporuka za otklanjanje ranjivosti ili isključivanje mogućnosti njene eksploatacije. U slučajevima kada je otkrivena slika novoidentifikovane ranjivosti, SAZ stavlja podatke o njoj u bazu podataka ranjivosti uz formiranje novog pasoša ranjivosti nultog dana. Kada programer IS-a donese mjere zaštite informacija, neophodna ažuriranja a nakon otklanjanja nedostataka, ranjivost nultog dana postaje poznata ranjivost.

Sumirajući rezultate ovog članka, napominjemo da je stručnjak za sigurnost IS-a dužan stalno raditi na identifikaciji ranjivosti u sistemu, jasno razumjeti i razumjeti procese koji se odvijaju u BAS-u, pratiti ažuriranje (proširivanje) baze podataka ranjivosti, blagovremeno otkloniti nedostatke u sistemu, instalirati odgovarajuće mjere zaštite i ažuriranja za kontrolirani IP.

Bibliografija:

1. Astahov A.S. Analiza sigurnosti korporativnih automatiziranih mreža // Jet Info Bulletin. - 2002. - br. 7 (110). / - [ Elektronski resurs]. - Način pristupa: URL: http://www.jetinfo.ru
2. Gorbatov V.S., Meshcheryakov A.A. Komparativna analiza sigurnosne kontrole računarsku mrežu// Sigurnost informacionih tehnologija. - 2013. - br. 1. / - [Elektronski izvor]. - Način pristupa: URL: http://www.bit.mephi.ru
3. GOST R 56545-2015 „Informaciona bezbednost. Ranjivosti informacionih sistema. Pravila opisa ranjivosti ”. - M.: Standardinform, 2015.
4. GOST R 56546-2015 „Informaciona sigurnost. Ranjivosti informacionih sistema. Klasifikacija ranjivosti informacionih sistema“. - M.: Standardinform, 2015.
5. Lukatskiy A.V. Kako radi sigurnosni skener? / - [Elektronski izvor]. - Način pristupa: http://www.citforum.ru/security/internet/scaner.shtml (Datum pristupa: 14.09.2016.).
6. Lukatskiy A.V. Detekcija napada. - SPb. : Izdavačka kuća "BVH", 2001. - 624 str.
7. Korisnički vodič softverski paket"Scanner-VS alat za sigurnosnu analizu." NPESH.00606-01. CJSC NPO Echelon, 2011.
8. XSPider sigurnosni skener. Administrator's Guide / - [Elektronski izvor]. - Način pristupa: http://www.ptsecurity.ru (Datum pristupa: 15.09.2016).
9. MaxPatrol sigurnosni skener. Sistem kontrole sigurnosti / - [Elektronski izvor]. - Način pristupa: http://www.ptsecurity.ru (Datum pristupa: 16.09.2016).
10. Stephen Northcutt, Judy Novak. Otkrivanje narušavanja sigurnosti u mrežama. 3. izd.: Per. sa engleskog - M.: Izdavačka kuća "Williams", 2003. - P. 265–280.

Nastavljamo da razmatramo nedavne izmjene naredbe FSTEC Rusije br. 17. Ovaj put - analiza ranjivosti GIS-a.

Sada je potrebno izvršiti analizu ranjivosti GIS-a u 3 od 6 faza životnog ciklusa GIS sigurnosnog sistema: formiranje zahtjeva, implementacija i sertifikacija.

1. U fazi analize prijetnji po sigurnost GIS informacija potrebno je izvršiti analizu moguće IS ranjivosti, dok se koristi FSTEC Rusije BDU, kao i drugi izvori podataka o ranjivosti kao ulazni podaci. Model prijetnje mora uključivati ​​opis moguće IP ranjivosti.

Glavna razlika od ostalih faza leži u riječi „moguće“. Nije stvarno, ali moguće. A uz dobru maštu sve će nam biti moguće. Koliko sam shvatio, mora postojati neka vrsta klasifikacije svih mogućih ranjivosti i isključivanje neprikladnih vrsta ranjivosti od strane određenih razloga(odsustvo objekta uticaja, određene strukturne karakteristike, neiskorišćeni IT).

Problem je što ne postoji takva klasifikacija ranjivosti u FSTEC DBU u odjeljku Ranjivosti. Osim toga, odjeljak Ranjivosti navodi samo stvarne ranjivosti softvera. Ali šta je sa ranjivostima GIS-a uopšte? Nedostaci org. mjere?

Zapravo, lista takvih mogućih ranjivosti skrivena je u nestrukturiranom obliku u tekstu prijetnji FSTEC NDU: “ Ova prijetnja zbog ranjivosti nekih sistemskih (matičnih) ploča - prisustvo mehanizama hard reset lozinke postavljene u BIOS-u / UEFI "ili" Ova prijetnja je uzrokovana slabostima u filtriranju mrežnog prometa i antivirusnoj kontroli na nivou organizacije."

2. U fazi implementacije sistema informacione sigurnosti potrebna je stvarna analiza ranjivosti.

“Kada se analiziraju ranjivosti informacionog sistema, odsustvo poznate ranjivosti sredstva za zaštitu informacija, hardvera i softvera, uključujući uzimanje u obzir informacija koje su dostupne programerima i dobijenih iz drugih javno dostupnih izvora, ispravna instalacija i konfiguracija sredstva za sigurnost informacija, hardver i softver, kao i ispravnost rada sredstva zaštite informacija pri interakciji sa hardverom i softverom.

Na osnovu rezultata analize ranjivosti, trebalo bi da postoji potvrđenošta se nalazi u informacionom sistemu nema ranjivosti sadržanih u banci podataka o prijetnjama informatička sigurnost FSTEC Rusije, kao i u drugim izvorima, ili je njihovo korištenje (rad) od strane prekršitelja nemoguće."

Ali dobro je da ranjivosti imaju polja kao što su proizvođač, naziv softvera, verzija softvera. Nakon što ste unaprijed sastavili kompletnu listu softvera, možete napraviti odabir potrebnih ranjivosti. Ali šta je sa rezultatima? Na primjer, za Windows 8.1 - 247 ranjivosti u NOS-u. Zatim morate pratiti vezu u svakoj od njih eksternih izvora i provjerite šta je tamo predloženo za uklanjanje ranjivosti, provjerite instalirana ažuriranja za ove ranjivosti.

Ručno - teško. Voleo bih da skeneri ranjivosti mogu da rade sa NOS-om i da urade sve za nas. Hajde da pogledamo…

RedCheck iz Altex-Softa: „RedCheck traži ranjivosti u našoj bazi podataka ovaldb, koja je sinhronizovana sa FSTEC ruskom bazom podataka o prijetnjama sigurnosti informacija! Lista ranjivosti se može naći na stranici baze podataka https: // ovaldb .altx -soft .ru / Definitions .aspx? Refsource = FSTEC. "

Izgleda ok. Šteta samo zadnja ranjivost na linku - iz 2016. A u BDU ih već ima dosta za 2017.

Mrežni revizor 3.0 iz CBI: „Revizor mreže u početku traži ranjivosti uključene u FSTEC Rusije (http://bdu.fstec.ru) operativni sistemi Windows i aplikacije i alati za sigurnost informacija koji rade u njima, uključujući ruski dizajn. Pored traženja ranjivosti iz baze podataka ranjivosti FSTEC Rusije, Network Auditor Network Scanner verzija 3.0 pretražuje ranjivosti sadržane u izvorima kao što su cve.mitre.org, ovaldb.altx-soft.ru, microsoft.com i drugi izvori. "

XSpider iz Positive Technologies “Svakako će biti takva prilika. U junu u okviru XSpider recertifikacije, sklop sa takvom funkcionalnošću će biti prebačen u FSTEC laboratoriju za ispitivanje”.

Scanner-VS iz Echelona „Skener-VS podržava traženje ranjivosti u FSTEK Russia’s NDU“. Istina, iskustvo je pokazalo da trenutna, certificirana verzija ne podržava.

Ukupno, u budućnosti je moguće da će skeneri raditi sve za nas, ali u ovog trenutka Nisam našao gotov izvještaj koji potvrđuje odsustvo ranjivosti FSTEC BDU-a. I pitanja o relevantnosti baza podataka - bit će potrebno pažljivo provjeriti rezultate i, eventualno, ručno pogledati najnovije ranjivosti.

Osim toga, ne zaboravite da analiza ranjivosti uključuje i analizu podešavanja sistema informacione bezbednosti, softvera i hardvera i analizu ispravnosti funkcionisanja sistema informacione bezbednosti.

3. U fazi kvalifikacija, potrebni su sljedeći testovi “Analiza ranjivosti informacionog sistema, uključujući i one uzrokovane pogrešno podešavanje(konfiguriranje) softvera i sigurnosti informacija" u ovom slučaju, kao početni podaci se koriste "Rezultati analize ranjivosti informacionog sistema"... Kako je općenito?

Da li samo ponavljamo ono što smo radili u fazi implementacije? Uz razmatranje najnovijim zahtevima do razdvajanja procjenitelja i implementatora, očigledno postoji oslanjanje na selektivnu nezavisnu duplikatnu analizu.

UVOD

Korporativna IT infrastruktura je složen višekomponentni mehanizam dizajniran za automatizaciju poslovnih procesa kompanije. Infrastruktura domena, mail servisi, web aplikacije, poslovni sistemi - sve je to osnova svakog korporativnog informacionog sistema. U zavisnosti od veličine kompanije i broja zaposlenih u njoj će se razlikovati i veličina IT infrastrukture. Ali, uprkos tome, većina kompanija jeste uobičajeni problemi vezano za osiguranje sigurnost informacija informacioni sistemi. Na primjer, tokom širenja ransomware virusa WannaCry pogođeno je više od 500 hiljada računara koji su pripadali, između ostalog, vladinim agencijama. velike kompanije i male komercijalne organizacije. Ovaj incident potvrđuje da apsolutno svaka organizacija može pretrpjeti zlonamjerne napade.

Ova studija identifikuje glavne trendove u analizi sigurnosti korporativnih informacionih sistema i omogućava vam da odredite:

• koji su najvjerovatniji vektori napada koje uljez može koristiti da dobije pristup resursima korporativna mreža;
• koje su ranjivosti najčešće na perimetru mreže;
• koliko su opasne radnje uljeza koji ima pristup LAN resursima;
• koje sigurnosne propuste omogućavaju napadaču da dobije maksimalne privilegije korporativna infrastruktura;
• da li su napadi socijalnog inženjeringa i dalje relevantni;
• Kako dobiti pristup internim mrežnim resursima koristeći napade na bežične mreže.

Kao osnova za pripremu ovu studiju koristili smo statističke podatke za 2017. godinu dobijene analizom sigurnosti korporativnih informacionih sistema od strane stručnjaka Positive Technologies. Izvedeni zaključci možda ne odražavaju trenutno stanje sigurnosti informacionih sistema u drugim kompanijama. Svrha studije je da skrene pažnju stručnjaka za informacionu bezbednost na najhitnije probleme i pomogne im da na vreme identifikuju i eliminišu ranjivosti.

1. SAŽETAK

Sigurnosna analiza perimetra mreže:

• bilo je moguće uspješno prevladati mrežni perimetar i dobiti pristup LAN resursima u 68% projekata za analizu sigurnosti korporativnih informacionih sistema;
• odabir računa rječnika za resurse na perimetru mreže i iskorištavanje ranjivosti u web aplikacijama glavni su vektori napada za prodor interna mreža;
• Na osnovu rezultata instrumentalnog skeniranja resursa mrežnog perimetra utvrđeno je da je 31% kompanija izloženo riziku od zaraze virusom WannaCry ransomware.

Analiza sigurnosti internih resursa:

• u penetracijskom testiranju u ime internog napadača puna kontrola preko cjelokupne infrastrukture uspjeli proći kroz sve sisteme;
• ranjivost MS17-010 je pronađena u 60% korporativnih sistema testiranih između 14. aprila i 31. decembra 2017. godine, što ukazuje na neblagovremenu instalaciju kritičnih sigurnosnih ažuriranja OS;
• nedovoljna zaštita od vraćanja naloga iz OS memorije je glavna ranjivost koja omogućava potpunu kontrolu nad korporativnim informacionim sistemom.

Procjena svijesti zaposlenih:

• 26% zaposlenih prati link na phishing web resurs, a skoro polovina njih unosi svoje akreditive u lažni obrazac za autentifikaciju;
• svaki šesti zaposleni izlaže korporativnu infrastrukturu riziku zaraze virusom.

Analiza sigurnosti bežičnih mreža:

• U 75% slučajeva napadač može dobiti pristup internim mrežnim resursima putem napada na bežične mreže, kao i dobiti osjetljive informacije (na primjer, korisnički računi domena).

2. POČETNI PODACI

Statistika za 2017. zasnovana je na rezultatima analize bezbednosti 22 korporativna sistema koji pripadaju i ruskim i stranim kompanijama iz različitih sektora privrede. Prilikom odabira projekata za istraživanje uzet je u obzir informativni sadržaj dobijenih rezultata. Projekti koji su, na zahtjev kupaca, izvedeni na ograničena količinačvorovi nisu uključeni u studiju, jer ne odražavaju stvarno stanje sigurnosti korporativnog informacionog sistema u cjelini. Kao iu 2016. godini, najveći dio testiranja penetracije obavljen je za finansijske institucije i industrijska preduzeća. Uspješni napadi na korporativne sisteme u finansijskom i industrijskom sektoru imaju tendenciju da dovedu do cyber kriminalaca maksimalnu korist... Uspješan napad na infrastrukturu banke često vodi direktno do krađe Novac... Prodiranje uljeza u internu mrežu industrijskog preduzeća ne samo da može dovesti do curenja osjetljivih informacija, koje se kasnije mogu prodati konkurentskim kompanijama, već i poremetiti tehnološki proces.

Analiza sigurnosti korporativnih mreža vršena je eksternim, internim i sveobuhvatno testiranje penetracija (potonje uključuje i spoljašnje i unutrašnje). Ispitivanje penetracije - efikasan metod bezbednosnu analizu, koja vam omogućava da identifikujete ranjivosti u korporativnoj infrastrukturi i dobijete objektivnu, nezavisnu procenu njenog nivoa bezbednosti. Tokom testiranja simuliraju se akcije potencijalnog uljeza koji vrši napade kako sa interneta tako i iz segmenata interne mreže kompanije. Ovaj pristup vam omogućava da ponovo stvorite uslove u kojima nasilnici obično rade i da brzo eliminišete bezbednosne propuste.

Već drugu godinu zaredom bilježimo interesovanje za sveobuhvatne usluge. Naši klijenti nastoje ne samo da zaštite svoj mrežni perimetar od napada eksternog napadača, već i da smanje rizike povezane s kompromitovanom LAN-om od strane internog napadača.

Pored testiranja penetracije, za mnoge klijente se radilo i na analizi sigurnosti bežičnih mreža i procjeni svijesti zaposlenih o pitanjima sigurnosti informacija.

Ove godine rezultati analize sigurnosti perimetra mreže dobijeni tokom eksternog testiranja penetracije porede se ne samo sa rezultatima prošlogodišnjeg istraživanja, već i sa statistikom dobijenom tokom instrumentalnog istraživanja, koje je sprovedeno u periodu aktivnog širenja virus WannaCry ransomware. U drugom kvartalu 2017. godine, Positive Technologies je ponudio besplatno vanjsko skeniranje perimetra kako bi se identificirale ranjive usluge. Prijave je podnijelo 26 kompanija iz različite sfere ekonomija. Statistički podaci o eksternom penetracijskom testiranju u poređenju sa rezultatima instrumentalnog istraživanja biće detaljno razmotreni kasnije u odgovarajućem odeljku.

3. STATISTIKA ZA 2017. GODINU

3.1. Opšti rezultati bezbednosne analize

Po pravilu, prilikom analize sigurnosti u svakom sistemu, naši stručnjaci otkrivaju određene ranjivosti i nedostatke zaštitnih mehanizama, koji, između ostalog, omogućavaju razvoj vektora napada do potpune kompromitacije infrastrukture kompanije, dobijaju pristup osjetljivim informacije, provođenje napada uskraćivanjem usluge, itd. Sve ranjivosti dijelimo u tri kategorije: vezane za propuste u konfiguraciji; vezano za nedostatak sigurnosnih ažuriranja; vezano za greške u kodu web aplikacija. Za svaku identifikovanu ranjivost, nivo ozbiljnosti se utvrđuje u skladu sa sistemom klasifikacije CVSS verzije 3.0.

18 godina- starost najstarije ranjivosti CVE-1999-0532, otkrivena tokom instrumentalne analize resursa mrežnog perimetra

U odnosu na prošlu godinu, gotovo se udvostručio udio korporativnih sistema u kojima su otkrivene ranjivosti kritične ozbiljnosti (CVSS ≥ 9.0). Ovo je uglavnom zbog objavljivanja informacija o kritičnoj ranjivosti MS17-010 u SMB servisu čvorova koji rade pod Windows kontrola... Nakon objavljivanja javno dostupnih eksploatacija u mnogim projektima internog testiranja penetracije, naši stručnjaci su iskoristili ovu ranjivost kako bi dobili potpunu kontrolu nad LAN čvorovima i eskalirali napad do stjecanja maksimalnih privilegija u domeni.

Za sisteme u kojima nisu utvrđene greške u kodu web aplikacija i nedostaci povezani s nedostatkom sigurnosnih ažuriranja, treba imati na umu da se testiranje penetracije provodi metodom crne kutije, te je nemoguće identificirati sve postojeće ranjivosti unutar granica rada. Glavni cilj penetracijskog testiranja je dobiti objektivnu procjenu sigurnosti korporativnog sistema od napada uljeza.

3.2. Rezultati analize sigurnosti perimetra mreže

Rezultati testa eksterne penetracije

Na kraju 2017. godine sigurnost mrežnog perimetra korporativnih informacionih sistema ostala je na nivou iz 2016. godine. Međutim, u isto vrijeme postoji tendencija smanjenja složenosti prevladavanja perimetra mreže. Ako je u 2016. u samo 27% projekata teškoća pristupa LAN resursima ocijenjena kao trivijalna, onda se do kraja 2017. ova brojka udvostručila, na 56%.

10 — maksimalan broj vektori prodora u internu mrežu, identifikovani tokom testiranja jednog korporativnog informacionog sistema 2017.

Ova distribucija se objašnjava činjenicom da napadač u prosjeku mora obaviti dva koraka da bi dobio pristup LAN resursima: na primjer, biranje akreditiva iz rječnika za autorizaciju u web aplikaciji i iskorištavanje njenih ranjivosti da bi mogao izvršiti naredbe OS-a na napadnuti domaćin.

Na osnovu rezultata analize sigurnosti korporativnih informacionih sistema, u prosjeku svaka kompanija identifikuje dva vektora prodora u internu mrežu, maksimalan broj detektovanih vektora za jednu kompaniju je 10.

Sve uspješne vektore prodora u internu mrežu možete podijeliti u kategorije:

• 44% uspješnih vektora napada zasniva se na pogađanju akreditiva iz rječnika za pristup web aplikacijama, DBMS-u i drugim servisima dostupnim za povezivanje na perimetru mreže. Tada napadač može dobiti priliku da izvrši OS komande na napadnutom čvoru;
• 28% vektora napada zasnovano je na iskorištavanju ranjivosti web aplikacija. Neposredno tokom nekoliko eksternih testova identifikovane su ranjivosti koje omogućavaju u jednom koraku, bez potrebe za autorizacijom, daljinsko izvršavanje OS komandi uz privilegije web aplikacije;
• U 16% slučajeva, napadač može dobiti pristup internim mrežnim resursima kada iskorištava ranjivosti u zastarjelim verzijama softvera (na primjer, na CMS platformama);
• u drugim slučajevima, za napad, napadač može iskoristiti konfiguracijske nedostatke povezane s identifikacijom vjerodajnica za pristup sistemima na perimetru mreže u javnom domenu, na primjer, na stranicama web aplikacije. Osim toga, identificirani su slučajevi kada su naši stručnjaci pronašli prethodno učitani web tumač na web resursu kompanije koja se testira komandna linija, što ukazuje na uspješne napade koje izvode vanjski napadači.

Prvih pet najčešćih ranjivosti na perimetru mreže uključuje iste ranjivosti kao i 2016. godine, ali se njihov postotak promijenio. Možemo primijetiti opći trend pada prosječnog broja ranjivosti otkrivenih tokom eksternog penetracijskog testiranja. Na primjer, u 2016. godini u svim testiranim sistemima identifikovane su ranjivosti u vezi sa korištenjem akreditiva iz rječnika, a u 2017. ovaj pokazatelj se prepolovio. Ovi rezultati su rezultat činjenice da su mnoge kompanije ranije radile na analizi sigurnosti svojih korporativnih sistema. Kao rezultat takvog rada, korisnici su uspješno ispravili većinu identificiranih ranjivosti i konfiguracijskih nedostataka i počeli strože pratiti usklađenost s internim politikama lozinki. Shodno tome, kada je eksterno penetracijsko testiranje ponovljeno nakon godinu i po dana, otkriveno je manje ranjivosti, što je u konačnici imalo pozitivan učinak na ukupni rezultati u 2017.

Kao i 2016. godine, najčešće se ranjivosti na perimetru mreže otkrivaju u aplikaciji softvera i na web serverima.

Rezultati instrumentalne analize sigurnosti perimetra

Kao što je ranije spomenuto, u drugom kvartalu 2017. godine, Pozitivne tehnologije su održale kampanju o besplatno skeniranje eksterni perimetar brojnih kompanija kako bi se identifikovale ranjive usluge. Glavni cilj je bio suzbijanje širenja ransomware virusa WannaCry. Prijave za instrumentalno skeniranje resursa perimetra mreže podnijelo je 26 kompanija iz različitih sektora privrede: IT i telekom kompanije, veliki trgovci na malo, kompanije iz finansijskog sektora i industrije nafte i gasa.

Sve kompanije su prvo morale da definišu granice svojih korporativnih sistema. Već u ovoj fazi neki od učesnika su imali poteškoća: 23% nije bilo u stanju da odredi granice perimetra svoje mreže ili ih je pogrešno odredilo. Nemogućnost utvrđivanja granica mrežnog perimetra već je dokaz niske sigurnosti korporativnog informacionog sistema od napada eksternog uljeza - čak i pre nego što se dobiju rezultati ručne ili instrumentalne analize korporativnog sistema.

Skeniranje perimetra mreže obavljeno je korištenjem automatizirane sigurnosne analize i sistema kontrole usklađenosti MaxPatrol i dodatnog softvera. Skeniranje je otkrilo mnoge ranjivosti: 15% njih ima visok nivo rizika prema CVSS verziji 2.0 skale, a postoje i javno dostupni eksploatacije za iskorištavanje nekih od ranjivosti.

Zasebno, možete razmotriti statistiku o najpopularnijim ranjivostima identifikovanim tokom instrumentalnog skeniranja perimetra mreže. Među ovim ranjivostima, najopasniji je CVE-2016-6515 u OpenSSH servisu. Prilikom unosa lozinke za autentifikaciju u aplikaciji, nema ograničenja u broju unesenih znakova. Ovaj nedostatak Dozvoljava udaljenom napadaču da izvrši napade uskraćivanja usluge. Postoji i javno dostupan exploit 1 za iskorištavanje ove ranjivosti. Osim toga, ako napadač može pogoditi vjerodajnice za povezivanje putem SSH-a i dobiti korisničke privilegije na UNIX sistemu, tada će mu prisustvo CVE-2016-10010 ranjivosti u OpenSSH-u omogućiti da lokalno poveća svoje privilegije na maksimum na kompromitovanom hostu koristeći još jedan exploit 2, a zatim razviti napad na LAN resurse.

Prilikom analize dostupnih servisa na perimetru, najveći broj ranjivosti identifikovan je u web aplikacijama i uslugama udaljenog pristupa (SSH). Ovi rezultati instrumentalne analize poklapaju se sa statistikom dobijenom tokom eksternog penetracijskog testiranja, gdje su ranjivosti i nedostaci u konfiguraciji web aplikacija u većini slučajeva bili polazna tačka za pristup LAN resursima.

Prilikom instrumentalne analize dostupnih web aplikacija posebno je prikupljana statistika o stanju SSL sertifikata. Više od četvrtine certifikata je isteklo u trenutku skeniranja, 15% koristilo je nepouzdane kriptografske algoritme (na primjer, SHA-1), a svaki šesti certifikat je izdat duže od 5 godina.

Korištenje SSL certifikata koji su istekli nosi rizik za reputaciju kompanija, jer korisnik, nakon što u prozoru pretraživača dobije upozorenje o korištenju nevažećeg certifikata u aplikaciji, može odbiti posjetiti web resurs.

Korištenje slabih algoritama enkripcije poništava cijeli smisao korištenja SSL certifikata, budući da napadač može presresti mrežni promet i potom uspješno dešifrirati primljene podatke. Osim toga, napadač može lažirati SSL certifikat i kreirati vlastitu phishing stranicu, pomoću koje može zaraziti korisnike zlonamjernim softverom i ukrasti njihove vjerodajnice. Istovremeno, korisnici mogu pomisliti da su njihovi računari zaraženi nakon posjete legitimnoj web stranici kompanije.

Ako se SSL certifikat izdaje na period duži od 5 godina, postoje rizici povezani s mogućnošću odabira ključa za šifriranje.

Vratimo se glavnom cilju instrumentalnog skeniranja resursa mrežnog perimetra. U 8 kompanija od 26, eksterni čvorovi sa otvoreni port 445 / TCP koji pokreće SMB uslugu. Tako je infrastruktura gotovo svake treće kompanije bila u opasnosti od zaraze virusom ransomware WannaCry.

31% kompanija je bila u opasnosti od zaraze virusom ransomware WannaCry

3.3. Rezultati analize internih resursa

U slučaju uspješnog napada na resurse mrežnog perimetra, eksterni napadač može dobiti pristup internoj mreži i dalje razvijati napad do potpune kontrole nad cjelokupnom IT infrastrukturom kompanije.

Kao i 2016. godine, tokom penetracijskog testiranja u ime internog napadača (na primjer, običnog uposlenika kompanije sa pristupom korisničkom segmentu mreže), u svim testiranim sistemima dobijena je potpuna kontrola nad cjelokupnom infrastrukturom. Samo 7% projekata ocijenilo je poteškoću u dobivanju pristupa kritičnim resursima od strane internog napadača kao „srednju“. U svim drugim slučajevima, nestručni prekršilac može ugroziti čitav korporativni sistem.

Tipičan vektor napada na internu mrežu bio je baziran na dobijanju maksimalnih privilegija na jednom od LAN čvorova uz naknadno pokretanje specijalizovanog softvera za izdvajanje akreditiva drugih korisnika koji su se prethodno povezali na ovaj čvor. Ponavljanjem ovih koraka na različitim hostovima, napadač bi na kraju mogao pronaći host koji pohranjuje administratorski račun domene i dohvatiti njegovu lozinku u otvorena forma.

60% korporativni sistemi testirani između 14. aprila i 31. decembra 2017. godine, otkrivena je ranjivost MS17-010

U 2017. godini, zadatak dobivanja maksimalnih privilegija na hostu na internoj mreži za napadača je znatno pojednostavljen nakon objavljivanja informacija o ranjivosti MS17-010. Microsoft je 14. marta 2017. objavio ažuriranje koje popravlja ovu ranjivost, a tačno mjesec dana kasnije, 14. aprila, hakerska grupa Shadow Brokers objavila je EternalBlue 3 eksploataciju kako bi je iskoristila. U periodu od sredine aprila do kraja godine, naši stručnjaci su uspešno koristili eksploataciju u 60% internog testiranja penetracije, što ukazuje na neblagovremenu instalaciju kritičnih bezbednosnih ažuriranja OS-a u većini korporativnih sistema.

Krajem 2017. godine postalo je češće vidjeti korporativne sisteme koji imaju instalirana ažuriranja koja eliminišu kritičnu ranjivost MS17-010. Međutim, nekoliko projekata na Windows hostovima uspješno je iskoristilo još jednu kritičnu ranjivost opisanu u MS17-018 za lokalnu eskalaciju privilegija. Postoji i eksploatacija za ovu ranjivost koja nije javno dostupna.

Statistika najčešćih ranjivosti na internoj mreži ostala je praktično nepromijenjena u odnosu na 2016. godinu. Izuzetak je nova kategorija"Nedovoljna zaštita od oporavka naloga iz OS memorije." Na LAN čvorovima koji koriste Windows, moguće je dobiti lozinke u čistom tekstu (ili njihove hash sume) iz sistemske memorije pomoću posebnog softvera - ako uljez ima privilegije lokalni administrator... Ranije smo ovu ranjivost pripisivali nedostacima antivirusnog softvera, koji bi trebao blokirati pokretanje bilo kakvih zlonamjernih uslužnih programa za ekstrahiranje vjerodajnica. Međutim, nedavno je došlo do modifikacija takvih uslužnih programa napisanih na jeziku PowerShell, koji su posebno dizajnirani da zaobiđu blokiranje pokretanja bilo kojim antivirusnim softverom. Sada, da bi se osigurala zaštita od ekstrakcije vjerodajnica iz OS memorije, potrebno je koristiti sveobuhvatan pristup, uključujući onemogućavanje spremanja keširanih podataka, ubrzavanje brisanja memorije procesa lsass.exe sa odjavljenih korisničkih naloga, i onemogućavanje wdigest mehanizma. Alternativno, moderno Windows verzije 10, koji implementira sistem Remote Credential Guard, koji vam omogućava da izolujete i zaštitite sistemski proces lsass.exe od neovlašćenog pristupa. Tako smo 2017. godine, kako bismo objektivno procijenili stanje zaštitnih mehanizama korporativne mreže, uveli posebnu metriku za prikupljanje statistike o pokretanju uslužnih programa dizajniranih za izvlačenje akreditiva.

U 14% korporativnih sistema, gde ranjivost „Nedovoljna zaštita od oporavka naloga iz OS memorije“ nije pronađena, korišćeni su drugi vektori napada da bi se stekla puna kontrola nad korporativnom infrastrukturom.

Statistika o nedostacima u zaštiti servisnih protokola izgrađena je na osnovu onih projekata kod kojih je izvršena analiza mreže. LAN saobraćaj(71% kompanija). U nekim projektima kupci su bili protiv takvih provjera, jer bi mogle dovesti do prekršaja kontinuirani rad mreže.

Na osnovu rezultata internog testiranja, utvrđeno je da su glavni problemi korporativnih informacionih sistema neblagovremena instalacija kritičnih sigurnosnih ažuriranja i nedovoljna zaštita od vraćanja naloga iz OS memorije pomoću specijalizovanih uslužnih programa.

4. REZULTATI PROCJENE SVIJESTI ZAPOSLENIH U PITANJIMA INFORMACIONE SIGURNOSTI

Pored rada na penetracionom testiranju korporativnih informacionih sistema, za niz kompanija je sprovedena i procena svesti zaposlenih o informacionoj bezbednosti. Takav rad se odvija prema prethodno dogovorenim scenarijima s naručiteljem, u kojima se metodom socijalnog inženjeringa simuliraju stvarni napadi cyber kriminalaca i prati reakcija zaposlenih na te napade.

Testiranje zaposlenih vršeno je na dva načina - putem pošte emailovi i u telefonskim interakcijama. Da bi se dobila objektivna procena nivoa svesti zaposlenih, analizirani su sledeći kontrolisani događaji:

• praćenje veze do web resursa napadača;
• unošenje akreditiva u svjesno lažni obrazac za autentifikaciju;
• pokretanje datoteke priložene pismu;
• činjenica interakcije sa napadačem putem telefona ili e-pošte.

Na osnovu rezultata rada ustanovljeno je da 26% zaposlenih klikne na link ka phishing web resursu, a skoro polovina njih naknadno unese svoje akreditive u lažni obrazac za autentifikaciju. Svaki šesti zaposleni izlaže korporativnu infrastrukturu riziku zaraze virusom pokretanjem datoteke priložene pismu. Osim toga, 12% zaposlenih spremno je da uđe u dijalog sa uljezom i otkrije informacije koje se kasnije mogu iskoristiti u napadima na korporativni informacioni sistem.

Ukupno, prilikom procjene svijesti zaposlenih u 2017. godini, poslano je više od 1.300 e-mailova, od kojih je polovina sadržavala vezu do phishing resursa, a druga je sadržavala datoteku sa posebnom skriptom koja je našim stručnjacima poslala informacije o vremenu otvaranja fajla. , kao i e-mail adresu zaposlenog. Pravi napadač bi mogao da doda skup eksploatacija u sadržaj datoteke kako bi iskoristio različite ranjivosti, uključujući CVE-2013-3906, CVE-2014-1761 i CVE-2017-0199. Takav napad može dovesti do toga da napadač dobije kontrolu nad radnom stanicom odgovarajućeg korisnika, šireći se zlonamjernog koda, uskraćivanje usluge i druge negativne posljedice.

Tipičan primjer napada socijalnog inženjeringa:

1. napadač postavlja skup eksploatacija za različite verzije softvera na kontrolirani resurs;
2. veza do ovog resursa se šalje masovno u phishing e-porukama;
3. zaposlenik organizacije slijedi vezu iz pisma, a nakon otvaranja stranice u pretraživaču, ranjivosti se iskorištavaju.

Ovakav napad može dovesti do infekcije. radna stanica korisnik sa zlonamjernim softverom. Takođe, prilikom upotrebe zastarjela verzija pretraživač može implementirati daljinsko izvršavanje koda (npr. CVE-2016-0189). Dakle, napadač može dobiti pristup hostu na internoj mreži i eskalirati napad do maksimalnih privilegija u korporativnoj infrastrukturi. Za više informacija o scenarijima napada pomoću metoda društvenog inženjeringa, pogledajte našu studiju „Kako društveni inženjering otvara vrata hakeru da uđe u vašu organizaciju“ 4.

5. REZULTATI SIGURNOSNE PROCJENE KORPORATIVNIH BEŽIČNIH MREŽA

40% kompanije koriste ključ rječnika za bežičnu mrežu

Napadi na bežične mreže su alternativni način da vanjski uljez dobije pristup resursima na internoj mreži. Ako pokušaj savladavanja mrežnog perimetra ne uspije, na primjer, putem napada na web aplikacije, napadač može iskoristiti ranjivosti u bežičnim mrežama kompanije. Za uspješan napad morat će unaprijed kupiti jeftinu opremu i ući u područje pokrivenosti bežične mreže. Štaviše, napadač ne mora da uđe u kontrolisano područje kompanije da bi izvršio napade: prema rezultatima našeg rada, utvrđeno je da je 75% bežičnih mreža dostupno van njega. Odnosno, napadi na bežične mreže mogu se vršiti diskretno iz obližnjeg područja, na primjer, sa parkinga pored poslovne zgrade.

U 2017. praktično sve testirane bežične mreže koristile su WPA2 sa različite metode autentifikacija, od kojih je najčešća bila PSK (pre-shared key).

Za napad na bežične mreže mogu se koristiti različiti scenariji, ovisno o korištenoj metodi provjere autentičnosti. U 2017. za pristup internim mrežnim resursima najčešće su korištena sljedeća dva scenarija:

• presretanje rukovanja između pristupne tačke i legitimnog klijenta (prikladno samo za PSK metodu);
• napade na bežične klijente koristeći lažnu pristupnu tačku (pogodno za sve metode provjere autentičnosti).

U prvom scenariju, lozinka za presretnutu vrijednost rukovanja je gruba sila. Uspjeh ovisi o složenosti korištene lozinke. Istovremeno, važno je uzeti u obzir da ga napadač može pokupiti već izvan dometa istraživane pristupne tačke. Ako u granicama posla naši stručnjaci ne uspiju uvijek pronaći lozinku na osnovu vrijednosti rukovanja, tada napadač ima više vremena, što značajno povećava njegove šanse.

Nakon pogađanja lozinke i povezivanja na pristupnu tačku, ustanovljeno je da u 75% bežičnih mreža ne postoji izolacija između korisnika. Dakle, napadač može napasti uređaje korisnika, na primjer, iskoristiti ranjivost MS17-010 na njihovim ličnim i korporativnim laptopima.

Ako nije bilo moguće pronaći lozinku za pristupnu tačku, možete koristiti drugi scenario sa instalacijom lažne pristupne tačke.

Prvo, napadač, zajedno sa lažnom pristupnom tačkom, može koristiti stranicu za phishing autentifikaciju kako bi dobio vjerodajnice i presretnuo osjetljive informacije koje se prenose preko otvorenih protokola za prijenos podataka (na primjer, HTTP, FTP).

U 2017. godini, u sklopu jednog od projekata analize sigurnosti bežične mreže u Moskvi, stručnjaci Positive Technologies koristili su lažnu pristupnu tačku sa ESSID-om (Extended Service Set Identification) MT_FREE, koja je popularna među građanima, jer se koristi za pristup Wi-Fi mreži.razmješteno u javnom prijevozu. Zatim je pripremljen lažni obrazac za autentifikaciju koji je koristio logo i korporativni identitet kompanije koja se testira. Nakon povezivanja na lažnu pristupnu tačku, prilikom pokušaja otvaranja bilo koje web stranice, svi korisnici su bili preusmjereni na stranicu s lažnim obrascem za autentifikaciju na korporativnoj mreži. Kao rezultat ovog napada, bilo je moguće dobiti akreditive za domene zaposlenih u kompaniji i koristiti ih za daljnji razvoj napada.

Samo u 1 od 8 od testiranih kompanija, zaposleni nisu unijeli svoje akreditive u lažni obrazac za autentifikaciju

Drugo, napadač može koristiti lažnu pristupnu tačku da presretne korisničke vjerodajnice pohranjene na uređaju. Da biste to uradili, potrebno je da kreirate pristupnu tačku sa istim ESSID-om i istim parametrima kao legitimna pristupna tačka. Ako je uređaj korisnika konfigurisan automatsko povezivanje na sačuvanu bežičnu mrežu, pokušat će se automatski povezati na lažnu pristupnu tačku ako ima jači signal na lokaciji ovog uređaja. Kao rezultat ovakvih napada, napadač može dobiti hešove lozinki zaposlenih u kompaniji i koristiti ih za daljnji razvoj napada na korporativnu infrastrukturu.

Utvrđeno je da u 75% slučajeva napadač, putem napada na bežične mreže, može dobiti pristup internim mrežnim resursima, kao i osjetljivim informacijama (na primjer, korisničkim nalozima domena). Ova metoda prodiranja u internu mrežu je efikasna alternativa klasičnim napadima na čvorove perimetra mreže.

Svake godine, na osnovu rezultata testova penetracije, utvrđujemo servise za pristup kojima su se najčešće koristile lozinke iz rječnika. Ove statistike su prvenstveno namijenjene sistem administratori da ih podsjeti da koriste jake lozinke i pravovremeno zamjene standardne račune nakon instaliranja i pokretanja nove usluge.

Krajem 2017. godine ustanovljeno je da obični korisnici a administratori često koriste prečice na tastaturi kao svoje lozinke, vjerujući da dugo, ništa smislena lozinka(poput zaq12wsxcde3 ili poiuytrewq) moći će ih zaštititi od neovlaštenog pristupa. Međutim, ovo je pogrešno mišljenje: uprkos naizgled složenosti lozinke, sve takve prečice na tastaturi odavno su uključene u posebne rečnike, a napad grubom silom napadaču traje nekoliko minuta.

Qwerty, Zaq1xsw2 i druge prečice za zatvaranje tastera na tastaturi - najpopularnije lozinke, uključujući i među privilegovanim korisnicima

ZAKLJUČAK

Korporativni informacioni sistemi su još uvijek osjetljivi na napade vanjskih i internih uljeza. Dok se prilikom eksternog testiranja penetracije susreće sve više kompanija koje su zabrinute za sigurnost svog mrežnog perimetra, onda je kod testiranja sigurnosti korporativnog sistema u ime internog napadača situacija mnogo gora. U 2017. godini, za račun eksternog napadača koristeći, između ostalog, metode socijalnog inženjeringa i napade na bežične mreže, bilo je moguće savladati perimetar mreže u 68% radova. Istovremeno, u ime insajdera, potpuna kontrola nad LAN resursi je dobijen na svim projektima bez izuzetka - uprkos tehničkim sredstvima i organizacionim mjerama koje se koriste u kompanijama za zaštitu informacija.

• Odbijte korištenje jednostavnih lozinki i lozinki iz rječnika, razvijte stroga pravila za korporativnu politiku lozinki i pratite njihovu primjenu.
• Obezbedite dodatnu zaštitu za privilegovane naloge (na primer, administratore domena). Dobra je praksa koristiti dvofaktorsku autentifikaciju.
• Zaštitite infrastrukturu od napada koji imaju za cilj vraćanje naloga iz OS memorije. Da biste to uradili, na svim radnim stanicama privilegovanih korisnika, kao i na svim čvorovima na koje su povezane RANJIVOSTI KORPORATIVNIH INFORMACIJSKIH SISTEMA preko privilegovanih naloga, instalirajte Windows verzije veće od 8.1 i uključite privilegovane korisnike domene u grupu Zaštićeni korisnici. Osim toga, možete koristiti moderne verzije Windows 10, koje implementiraju Remote Credential Guard sistem, koji vam omogućava da izolirate i zaštitite sistemski proces lsass.exe od neovlaštenog pristupa.
• Uvjerite se da osjetljive informacije od interesa za napadača ne budu pohranjene u čistom tekstu (na primjer, na stranicama web aplikacije). Takve informacije mogu uključivati ​​akreditive za pristup različitim resursima, koji sadrži adresar kompanije email adrese i identifikatori domena zaposlenih, itd.
• Ograničite broj servisa na perimetru mreže, pobrinite se da sučelja otvoreni za povezivanje zaista budu dostupna svim korisnicima interneta.
• Pravovremeno instalirajte sigurnosna ažuriranja za OS i najnovije verzije aplikativnog softvera.
• Analizirajte sigurnost bežičnih mreža. Posebna pažnja vrijedi obratiti pažnju na pouzdanost korištenih metoda provjere autentičnosti, kao i na konfigurisanje izolacije korisnika pristupne tačke.
• Redovno sprovoditi obuku zaposlenih u cilju povećanja njihove kompetencije u pitanjima bezbednosti informacija, uz praćenje rezultata.
• Koristite SIEM sistem za blagovremeno otkrivanje napada. Samo pravovremeno otkrivanje pokušaja napada spriječit će ga prije nego što napadač nanese značajnu štetu kompaniji.
• Za zaštitu web aplikacija - instalirajte firewall zaštitni zid web aplikacije.
• Redovno provodite testiranje penetracije kako biste na vrijeme identificirali vektore napada na korporativni sistem i u praksi ocijenili efikasnost preduzete mere zaštita.

Ova lista nije konačna, ali nepoštovanje čak i jedne tačke može dovesti do potpunog kompromitovanja korporativnog sistema, a svi troškovi za razna skupa sredstva i sisteme zaštite će se pokazati neopravdanim. Integrisani pristup informacionoj bezbednosti najbolja je zaštita korporativnog informacionog sistema od bilo kakvog uljeza.

Kada vaš OS bude spreman za rad, vrijeme je da shvatite kakvo ćete točno istraživanje uraditi. Generalno, mogu se razlikovati četiri vrste takvih studija:

• Procjena ranjivosti sistema;
• Procjena usklađenosti sistema sa sigurnosnim standardima;
• Tradicionalno ispitivanje penetracije sistema;
• Istraživanje primjene.

Specifičan zadatak za istraživanje sistema može uključivati razni elementi svake vrste. Mislimo da je vrijedno detaljnije o njima i otkriti njihov odnos s Kali Linuxom i desktopom.

Prije nego što pređemo na opis specifičnih vrsta mjera za procjenu sigurnosti sistema, hajde da razgovaramo o tome kako se ranjivosti razlikuju od eksploatacije.

Ranjivost se može definisati kao nedostatak u informacionom sistemu koji se može koristiti za narušavanje njegove povjerljivosti, integriteta ili dostupnosti. Postoje različite vrste ranjivosti sa kojima se može suočiti. Evo nekih od njih:

11.2.2. Procjena usklađenosti sistema sa sigurnosnim standardima

Sljedeća najteža vrsta istraživanja je procjena usklađenosti sistema sa sigurnosnim standardima. Ovakvo testiranje sistema je najčešće jer se zasniva na testiranju zahtjeva državnih i industrijskih standarda koji se primjenjuju na organizacije.

Postoji mnogo specijalizovanih sigurnosnih standarda, međutim, najčešći je Standard sigurnosti podataka industrije platnih kartica (PCI DSS). Ovaj standard su razvile kompanije koje izdaju platne kartice. Moraju ga uskladiti organizacije koje obrađuju plaćanje karticama. Ako govorimo o drugim uobičajenim standardima, možemo spomenuti kao što su Vodiči za tehničku implementaciju sigurnosti Agencije za informacione sisteme odbrane (DISA STIG), Federalni program upravljanja rizicima i autorizacijama (FedRAMP), Federalni zakon o upravljanju sigurnošću informacija (FISMA) i drugi.

Korporativni klijent može naručiti sličnu studiju ili se prijaviti za rezultate prethodno sprovedene studije na različitih razloga... Konkretno, inicijativa može doći od samog klijenta ili on može biti primoran da izvrši obaveznu verifikaciju. U svakom slučaju, takve studije se nazivaju "procjena sistema u odnosu na sigurnosne standarde" ili "studije u odnosu na sigurnosne standarde" ili "provjere u odnosu na sigurnosne standarde".

Procjena usklađenosti sistema sa standardima obično počinje analizom ranjivosti. U slučaju revizije usklađenosti sa PCI, procjena ranjivosti, ako se pravilno izvrši, može zadovoljiti nekoliko osnovnih zahtjeva standarda. Među njima - zahtjev 2: "Nemojte koristiti lozinke i druge sistemske parametre koje je proizvođač postavio prema zadanim postavkama." Možete analizirati da li je vaš sistem usklađen sa ovim zahtjevom koristeći alate u kategoriji menija Napad lozinkom. Nadalje, ovo je zahtjev 11: "Redovno testirajte sigurnosne sisteme i procese." Ovo se može provjeriti korištenjem alata u kategoriji Procjena baze podataka. Neki zahtjevi se ne mogu provjeriti konvencionalnim alatima za skeniranje ranjivosti. Među njima - zahtjev 9: „Ograničenje fizički pristup na podatke o korisniku kartice “, i 12: “Razvijati i održavati politiku sigurnosti informacija za svo osoblje u organizaciji”. Potrebni su dodatni napori da bi se potvrdili takvi zahtjevi.

Na prvi pogled može izgledati zbunjujuće kako koristiti Kali Linux za obavljanje nekih provjera. Međutim, Kali je odlična za rješavanje ovakvih problema, i to ne samo zbog bogatog seta standardni alati, ali i zato što je baziran na Debianu, što otvara mogućnost instaliranja mnogih dodatne aplikacije... Možete tražiti programe koji implementiraju potrebnu funkcionalnost u upravitelju paketa koristeći ključne riječi preuzeto iz korištenog standarda sigurnosti informacija. Ovakva pretraga će gotovo sigurno završiti s nekoliko značajnih rezultata. Trenutno, mnoge organizacije koriste Kali Linux kao platformu posebno za procjenu usklađenosti sistema sa sigurnosnim standardima.

11.2.3. Tradicionalno ispitivanje penetracije sistema

Nedavno je postalo teško pronaći odgovarajuću definiciju za "tradicionalni test penetracije". Činjenica je da se takvi testovi koriste u različitim područjima djelatnosti, pa ih svatko opisuje na svoj način. Dodatnu konfuziju unosi činjenica da se „testiranje penetracije“ sve češće naziva procenom sistema opisanih iznad usklađenosti sa bezbednosnim standardima, ili čak uobičajenom procenom ranjivosti. U takvim slučajevima istraživanje ne ide dalje od određenih minimalnih zahtjeva.

U ovom odeljku nećemo se doticati sporova o karakteristikama različitih tipova sistema za testiranje. Ovdje ćemo govoriti o istraživanjima koja nisu ograničena nekim "minimalnim zahtjevima". Ovo su studije koje su dizajnirane da se istinski poboljšaju. opšta sigurnost organizacije.

Za razliku od tipova istraživanja o kojima smo ranije govorili, tradicionalno testiranje penetracije često ne počinje definicijom područja istraživanja. Umjesto toga, za njih su postavljeni konkretni ciljevi. Na primjer: "simulirati posljedice kompromitiranja internog korisnika", ili: "saznati šta bi se dogodilo da je organizacija meta napada eksternog napadača." Ključna karakteristika ovakvih studija je da u toku njihove implementacije ne samo da pronalaze i procjenjuju ranjivosti, već i koriste pronađene probleme za otkrivanje najgorih scenarija.

Testiranje penetracije se ne oslanja samo na alate za skeniranje ranjivosti. Rad se nastavlja istraživanjem nalaza, korištenjem eksploatacije ili testiranja kako bi se isključili lažni pozitivni rezultati, i čineći sve što je moguće da se otkriju skrivene ranjivosti, ili ono što nazivamo lažno negativnim.

Takvo istraživanje često uključuje iskorištavanje otkrivenih ranjivosti, procjenu nivoa pristupa koji eksploatacije pružaju i iskorišćavanje ovoga. povećan nivo pristup kao polazna tačka za dodatne napade na ciljni sistem.

To zahtijeva kritičku analizu ciljnog okruženja, ručno traženje ranjivosti, kreativnost, sposobnost razmišljanja izvan okvira. Sve su to pristupi otkrivanju dodatnih ranjivosti koji zahtijevaju druge alate koji mogu pronaći ranjivosti gdje su mogućnosti najmoćnijeg automatski skeneri... Često, nakon završetka ovog koraka, cijeli proces se počinje iznova i iznova kako bi se osiguralo da je posao završen i dobro obavljen.

Unatoč složenosti i svestranosti tradicionalnog penetracijskog testiranja, napredak takvog istraživanja može se pojednostaviti razbijanjem u nekoliko koraka. Vrijedi napomenuti da Kali olakšava odabir softvera za svaki od ovih koraka. Pa evo plan korak po korak penetracijsko testiranje s komentarima o korištenim alatima:

• Prikupljanje informacija. U ovoj fazi, pentesterovi napori su usmjereni na učenje što je više moguće o ciljnom okruženju. Ova aktivnost je obično neinvazivna i izgleda kao normalna aktivnost korisnika. Ove radnje čine osnovu za ostale korake istraživanja i stoga treba da dovedu do prikupljanja što potpunijih podataka o sistemu. Odjeljak za prikupljanje informacija u meniju Kali Linux aplikacije sadrži desetine alata dizajniranih da otkriju što je više moguće informacija o sistemu koji se istražuje.
• Otkrivanje ranjivosti. Ovaj korak se često naziva „proaktivno prikupljanje informacija“. Specijalista, pokušavajući da identifikuje potencijalne ranjivosti u ciljnom okruženju, još ne napada sistem, već se ponaša drugačije od redovni korisnik... Ovdje se često odvija gore opisano skeniranje sistema u potrazi za ranjivostima. U ovom koraku studije, programi iz sekcija Analiza ranjivosti, Analiza web aplikacija, Procjena baze podataka i Reverse Engineering će biti korisni.
• Iskorišćavanje ranjivosti. Imajući listu otkrivenih potencijalnih ranjivosti, u ovoj fazi istrage, stručnjak pokušava da ih iskoristi kako bi pronašao uporište u ciljnom okruženju. Alati koji se mogu naći u kategorijama Analiza web aplikacija, Procjena baze podataka, Napadi lozinkom i Alati za eksploataciju su korisni u tom pogledu.
• Infiltracija sistema i prikriveno preuzimanje podataka. Nakon što je istraživač uspio da se učvrsti u sistemu, morate nastaviti dalje. Po pravilu, u ovoj fazi traže način da povećaju privilegije na nivo koji odgovara onom potrebnom za dostizanje ciljnih sistema koji su ranije bili nedostupni i iz njih tajno izvući tajne podatke. U ovom koraku možete pristupiti odeljcima menija aplikacije Napadi lozinkom, Alati za eksploataciju, Njuškanje i lažiranje i Post eksploatacija.
• Priprema izvještaja. Nakon završetka aktivne faze studije potrebno je dokumentirati poduzete radnje i pripremiti izvještaj. Obično ovaj korak nema istu tehničku složenost kao prethodni. Međutim, uz kvalitetne izvještaje klijent može dobiti punu nagradu za novac, stoga nemojte podcijeniti važnost ove faze istraživanja. Odgovarajući alati se mogu naći u odeljku Alati za izveštavanje u meniju Aplikacije.

U većini slučajeva, testiranje penetracije će biti dizajnirano vrlo različito, jer će svaka organizacija biti izložena različitim prijetnjama i imat će različite resurse za zaštitu. Kali Linux daje univerzalna baza da biste riješili takve probleme, ovdje možete iskoristiti prednosti mnogih opcija za konfiguriranje Kalija. Mnoge organizacije koje se bave ovim istraživanjem podržavaju prilagođene verzije Kali LInuxa za internu upotrebu... To im omogućava da ubrzaju implementaciju sistema prije novih istraživanja.

Među često susrećem dodatna podešavanja Kali Linux se može primijetiti po sljedećem:

• Predinstalacija licenciranih komercijalnih paketa. Na primjer, postoji paket poput plaćenog skenera ranjivosti koji se planira koristiti tokom mnogih sesija testiranja penetracije. Kako biste izbjegli potrebu za instaliranjem ovog paketa na svaku instaliranu kopiju Kalija, možete ga integrirati u sistem. Kao rezultat, ovaj paket će biti instaliran svaki put kada se Kali implementira.
• Unaprijed konfigurirani VPN s obrnutom vezom. Ovo je vrlo zgodna funkcija za uređaje koji su namjerno ostavljeni povezani unutar mreže koja se istražuje. Takvi uređaji omogućavaju "daljinsko interno" istraživanje. Uređaj za obrnuto povezivanje povezuje se sa računarom pentestera, stvarajući tunel koji se može koristiti za povezivanje sa interni sistemi... Kali Linux ISO distribucije Dooma je primjer upravo takvog posebnog podešavanja sistema.
• Unaprijed instalirani alati i vlasnički programi. Mnoge organizacije imaju interne setove alata koji su potrebni tokom sesija penetracijskog testiranja, tako da njihovo prethodno instaliranje tokom prilagođenog snimanja može uštedjeti vrijeme.
• Prethodno konfigurisanje konfiguracije OS-a, uključujući konfigurisanje mapiranja imena hostova na IP adrese, pozadine radne površine, postavke proxy servera i tako dalje. Mnogi korisnici Kalija preferiraju određene sistemske postavke. Ako ćete redovno ponovo instalirati sistem, možda bi imalo smisla zadržati ove postavke.

11.2.4. Istraživanje aplikacija

Većina mjera za procjenu sigurnosti sistema prilično je velikog obima. Karakteristika aplikativnog istraživanja je činjenica da se proučava određeni program. Ova vrsta istraživanja postaje sve češća zbog složenosti vitalnih aplikacija koje koriste kompanije. Mnoge od ovih aplikacija su kreirane na svoju ruku ove kompanije. Ako je potrebno, istraživanje primjene može pratiti i druge vrste istraživanja. Među vrstama aplikacija koje se mogu istražiti radi sigurnosti, mogu se primijetiti sljedeće:

• Web aplikacije. Ove aplikacije su često na meti sajber kriminalaca, jer obično imaju značajnu površinu napada i dostupne su sa interneta. Standardni testovičesto može otkriti osnovne probleme u web aplikacijama. Međutim, detaljnija studija, iako može potrajati, omogućava vam da pronađete skrivene nedostatke u aplikacijama. Da biste izvršili ove testove, možete koristiti metapaket kali-linux-web, koji sadrži mnoge korisne alate.
• Desktop aplikacije distribuirane kao izvršne datoteke. Serverske aplikacije nisu jedine mete napadača. Desktop aplikacije su također podložne napadima. U prošlim godinama, mnogi desktop programi, kao što su PDF čitači ili video aplikacije koje koriste internet, napadnute su višestrukim napadima, što je dovelo do njihovog poboljšanja. Međutim, još uvijek postoje mnoge desktop aplikacije u kojima, kada pravi pristup, možete pronaći mnogo ranjivosti.
• Mobilne aplikacije. Sa sve većom popularnošću mobilnih uređaja, mobilne aplikacije postaju stalni predmet sigurnosnih istraživanja. Ove aplikacije se vrlo brzo razvijaju i mijenjaju, tako da metodologija istraživanja u ovoj oblasti još nije dovoljno zrela, što dovodi do redovnog, gotovo sedmičnog, pojavljivanja novih metoda. Alati koji se odnose na učenje mobilnih aplikacija mogu se naći u odjeljku menija aplikacije Kali Linux Reverse Engineering.

Istraživanje aplikacija može obaviti većina Različiti putevi... Na primjer, možete koristiti automatizirani alat dizajniran za testiranje određene aplikacije kako biste identificirali potencijalne probleme. Slično automatska sredstva pokušavaju pronaći nepoznate slabosti na osnovu načina na koji aplikacije rade, umjesto da se oslanjaju na skup unaprijed definiranih potpisa. Alati za analizu programa moraju uzeti u obzir posebnosti njihovog ponašanja. Na primjer, popularni skener ranjivosti web aplikacije Burp Suite. Dok istražuje aplikaciju, pronalazi polja za unos, a zatim izvodi različite napade SQL injekcije, dok promatra aplikaciju kako bi identificirao napade koji su bili uspješni.

Postoje i složeniji scenariji istraživanja aplikacija. Takve studije se mogu izvoditi online. Koriste modele crno-bijelih kutija.

• Istraživanje metodom crne kutije. Alat (ili istraživač) stupa u interakciju sa aplikacijom bez posebnog znanja o njoj, ili posebnog pristupa njoj koji prevazilazi mogućnosti prosječnog korisnika. Na primjer, u slučaju web aplikacije, istraživač može imati pristup samo funkcijama i mogućnostima, otvoren za korisnika koji nije autorizovan u sistemu. Bilo koji račun koji se koristi bit će isti koji običan korisnik može sam registrirati. Ovo će spriječiti napadača da analizira funkcionalnost koja je dostupna samo privilegiranim korisnicima, čije naloge mora kreirati administrator.
• Istraživanje bijele kutije. Alat (ili istraživač) često ima potpun pristup izvornom kodu aplikacije, administrativni pristup platformi na kojoj radi itd. Ovo osigurava da se izvrši potpuna i temeljita analiza svih mogućnosti aplikacije, bez obzira na to gdje se nalazi funkcionalnost koja se proučava. Nedostatak takve studije je što nije imitacija stvarnih postupaka uljeza.

Naravno, postoje i nijanse sive između bijele i crne. Obično je način na koji će aplikacija funkcionisati određen ciljevima istraživanja. Ako je cilj otkriti šta bi se moglo dogoditi aplikaciji koja je ciljana eksternim napadom, onda je testiranje crne kutije vjerovatno najbolje. Ako je cilj identificirati i eliminirati što je više moguće više sigurnosnih problema u relativno kratkom vremenu, studija bijele kutije može biti efikasnija.

U drugim slučajevima, hibridni pristup se može primijeniti kada istraživač nema pun pristup na izvorni kod aplikacije za platformu na kojoj radi, ali nalog koji joj je izdat je pripremljen od strane administratora i daje pristup što većem broju mogućnosti aplikacije.

Kali je idealna platforma za sve pristupe istraživanju aplikacija. Nakon instaliranja standardne distribucije, ovdje se može naći mnogo skenera specifičnih za aplikaciju. Postoje i alati za naprednija istraživanja. To uključuje uređivače izvora i okruženja za skriptiranje. U slučaju istraživanja primjene, možda ćete pronaći korisnim materijalima iz odjeljaka Dodaj oznake