شناسایی آسیب پذیری های سیستم های اطلاعاتی
سرگئی کونووالنکو
فارغ التحصیل مدرسه عالی نظامی کراسنودار،
روسیه، کراسنودار
ایگور کورولف
دکترای مهندسی، پروفسور، استاد گروه فناوری اطلاعات حفاظت شده، مدرسه عالی نظامی کراسنودار،
روسیه، کراسنودار
حاشیه نویسی
ارزیابی شد وجوه موجودتجزیه و تحلیل امنیتی سیستم های اطلاعاتیکه بر اساس آن مدل هایی برای شناسایی، شناسایی و ارزیابی تصاویر آسیب پذیری های سیستم های اطلاعاتی ساخته شده است. ویژگی های اصلی (عناصر) ذاتی در تصاویر آسیب پذیری های موجود سیستم های اطلاعاتی تعیین می شود.
خلاصه
ارزیابی ابزارهای موجود برای تجزیه و تحلیل امنیت سیستم های اطلاعاتی انجام شد. بر اساس نتایج بهدستآمده، مدلهای تشخیص، شناسایی و ارزیابی تصاویر آسیبپذیری سیستمهای اطلاعاتی ساخته شد. ویژگیهای اصلی (عناصر) ذاتی تصاویر آسیبپذیریهای سیستمهای اطلاعاتی موجود تعریف شد.
کلید واژه ها:تشخیص؛ سیستم اطلاعات؛ شناسایی؛ مقطع تحصیلی؛ شرح تصویر؛ آسیب پذیری
کلید واژه ها:تشخیص؛ سیستم اطلاعات؛ شناسایی؛ ارزیابی؛ شرح تصویر؛ آسیب پذیری
هر سیستم اطلاعاتی (از این پس به عنوان IS نامیده می شود) دارای آسیب پذیری های خاصی است که لیست آنها کاملاً گسترده است و دائماً در معرض به روز رسانی (گسترش) است. آسیب پذیری های IS به دلیل کاستی ها (خطاهایی) است که در طول "چرخه حیات" این سیستم رخ می دهد. در این شکل، امکان تحقق تهدیدات امنیتی IP به طور مستقیم به اقدامات یک مهاجم برای شناسایی و استفاده از آسیب پذیری های ذاتی آن بستگی دارد. از سوی دیگر، فرآیند شناسایی آسیبپذیریهای IS که توسط یک متخصص انجام میشود، برای مقابله با مهاجم در مراحل اولیه حملات، اساسی است.
هدف این مقاله ساخت مدلهای تعمیمیافته برای شناسایی، شناسایی و ارزیابی تصاویر آسیبپذیری IS و همچنین تعیین ویژگیها (عناصر) ذاتی در تصاویر آسیبپذیریهای موجود است که به متخصص این امکان را میدهد تا کار خود را در این زمینه بهتر نظامبندی کند. تضمین امنیت داعش تحت کنترل
طبق GOST R 56545-2015، "آسیب پذیری" یک نقص (ضعف) ابزار نرم افزار (نرم افزار و سخت افزار) یا IS به عنوان یک کل است که (که) می تواند برای اجرای تهدیدات علیه امنیت اطلاعات استفاده شود. "سیستم اطلاعاتی" مجموعه ای از اطلاعات موجود در پایگاه های داده (از این پس به عنوان DB نامیده می شود) و فن آوری های اطلاعاتی و ابزارهای فنی است که پردازش آن را تضمین می کند.
هر آسیبپذیری IS را میتوان بهعنوان تصویری نشان داد که شامل مجموعهای از ویژگیهای خاص (عناصر توصیفکننده این آسیبپذیری) است که بر اساس قوانین خاصی شکل گرفتهاند.
شرح آسیب پذیری IS اطلاعاتی در مورد آسیب پذیری شناسایی شده (کشف شده) است. قوانین برای توصیف یک آسیب پذیری IP مجموعه ای از مقرراتی است که ساختار و محتوای شرح آسیب پذیری را تنظیم می کند.
با توجه به تصاویر آسیبپذیریها به تصاویر آسیبپذیریهای شناخته شده، تصاویر آسیبپذیریهای روز صفر و تصاویر آسیبپذیریهای تازه شناسایی شده تقسیم میشوند. آسیب پذیری شناخته شده آسیب پذیری است که برای عموم منتشر شده است و اقدامات مناسب حفاظت از اطلاعات، رفع نقص ها و به روز رسانی های مرتبط را شرح می دهد. آسیبپذیری روز صفر آسیبپذیری است که قبل از انتشار اقدامات حفاظتی اطلاعات مربوطه، رفع نقص یا بهروزرسانیهای مربوطه توسط توسعهدهنده مؤلفه IS مشخص میشود. آسیب پذیری تازه شناسایی شده آسیب پذیری است که به طور عمومی افشا نشده است.
هر نوع از تصاویر آسیب پذیری IS دارای هر دو ویژگی (عناصر) عمومی و خاص است که می توان آنها را در یک جدول خلاصه کرد. یک جدول نمونه در زیر نشان داده شده است.
میز 1.
عناصر انواع مختلف تصاویر آسیب پذیری IP
ویژگی های تصویر آسیب پذیری |
عنصر ذاتی در الگوی آسیب پذیری شناخته شده |
عنصر ذاتی در تصویر آسیبپذیری روز صفر |
عنصر ذاتی در تصویر یک آسیب پذیری تازه شناسایی شده |
|
محل تشخیص (تشخیص) آسیب پذیری در IS. |
||||
روشی برای تشخیص (شناسایی) یک آسیب پذیری. |
||||
نام آسیب پذیری. |
||||
قبل از اینکه به سراغ مدلهایی برای شناسایی، شناسایی و ارزیابی آسیبپذیریها برویم، لازم است توضیح دهیم که IS از سطوح زیر تشکیل شده است:
- سطح نرم افزار کاربردی (از این پس نرم افزار نامیده می شود) که مسئول تعامل با کاربر است.
- سطح سیستم مدیریت پایگاه داده (از این پس DBMS نامیده می شود) که مسئول ذخیره و پردازش داده های IS است.
- سطح سیستم عامل (که از این پس سیستم عامل نامیده می شود) که مسئول سرویس DBMS و نرم افزار کاربردی است.
- سطح شبکه مسئول تعامل گره های IS.
هر یک از سطوح IS با انواع مختلف (کلاس) آسیب پذیری مرتبط است. برای شناسایی آسیبپذیریها، لازم است مدلهایی برای شناسایی، شناسایی و ارزیابی آسیبپذیریها ایجاد شود.
منابع اصلی آسیبپذیری IS عبارتند از:
- خطا در توسعه (طراحی) IS (به عنوان مثال، خطا در نرم افزار)؛
- خطا در اجرای IS (خطاهای مدیر IS) (به عنوان مثال، تنظیمات یا پیکربندی نادرست نرم افزار، مفهوم ناکارآمد خط مشی امنیتی و غیره)؛
- خطاهای هنگام استفاده از IS (خطاهای کاربر) (به عنوان مثال، رمزهای عبور ضعیف، نقض خط مشی امنیتی و غیره).
برای شناسایی، شناسایی و ارزیابی آسیبپذیریهای IS، و همچنین تولید گزارشها و حذف (خنثیسازی) آسیبپذیریها، از ابزارهای تحلیل امنیت شبکه (از این پس SAZ نامیده میشود) (اسکنرهای امنیتی (از این پس SB نامیده میشود) استفاده میشود که میتوان آنها را تقسیم کرد. به دو نوع:
- شبکه SAZ (SB) (انجام تجزیه و تحلیل از راه دور وضعیت میزبان های کنترل شده در سطح شبکه).
- SAZ (SB) سطح سیستم عامل (انجام تجزیه و تحلیل محلی از حالات میزبان های کنترل شده، گاهی اوقات لازم است یک عامل ویژه بر روی میزبان های کنترل شده نصب شود).
ارتباط استفاده از SAZ (SB) به این دلیل است که یک متخصص می تواند از قبل لیستی به اندازه کافی بزرگ از انواع (کلاس) آسیب پذیری های ذاتی IS کنترل شده را تعیین کند و اقدامات لازم را انجام دهد (در برخی موارد، سعی کنید آنها را حذف کنید یا احتمال استفاده از آسیب پذیری های شناسایی شده توسط مهاجم را حذف کنید (به حداقل برسانید).
برای سیستماتیک کردن کار یک متخصص در زمینه امنیت، کنترل شده توسط IS و بر اساس تجزیه و تحلیل، یک مدل تعمیم یافته برای شناسایی تصاویر آسیب پذیری های IS ساخته شده است (شکل 1).
شکل 1. مدل تعمیم یافته برای شناسایی تصاویر آسیب پذیری های IS
فرآیند شناسایی آسیبپذیریهای IS با انجام بررسیهای غیرفعال (اسکن) و بررسیهای فعال (کاوش) برای وجود آسیبپذیریها در IS کنترلشده ساخته میشود.
در فرآیند اسکن، SAS با ارسال درخواستهای مناسب به آدرس IS کنترلشده (به درگاههای میزبان کنترلشده)، بنرهای برگشتی (هدر بستههای داده) را تجزیه و تحلیل میکند و در مورد نوع IS و نتیجهگیری مناسب میگیرد. وجود آسیب پذیری های بالقوه (احتمالی) آن. نتیجه اسکن همیشه صد درصد وجود آسیبپذیریهای احتمالی (معمولی) IS را نشان نمیدهد، زیرا محتوای متنی بنر را میتوان بهطور خاص اصلاح کرد، یا آسیبپذیریهای شناخته شده ذاتی این IS توسط یک متخصص در فرآیند اجرای آن حذف شدند. (استفاده کنید). روش دیگر برای انجام اقدامات اسکن، بررسیهای کاوشگر فعال است که توانایی تجزیه و تحلیل اثر انگشت (اثرانگشت) بازگشتی یک قطعه از نرمافزار IP کنترلشده (یعنی انجام فرآیند مقایسه نتیجه با اثر انگشت دیجیتالی آسیبپذیری شناختهشده را فراهم میکند. از این نوعاست). این روشیک روش مطمئن تر و دقیق تر برای شناسایی آسیب پذیری های احتمالی (معمولی) IS کنترل شده ارائه می دهد.
در طول فرآیند کاوش، SAS با استفاده از تصویر یک آسیبپذیری احتمالی (معمولی) بهدستآمده در حین اسکن، اجرای یک حمله به یک IS کنترلشده را شبیهسازی میکند. نتیجه فرآیند کاوش دقیق ترین و اطلاعات قابل اعتماددر مورد وجود آسیب پذیری های کنترل شده IS. این روش همیشه مورد استفاده قرار نمی گیرد، زیرا احتمال نقص (غیرفعال) IS کنترل شده وجود دارد. تصمیم به استفاده از روش فوق توسط مدیر شبکه در موارد اجرای ناکارآمد و یا نیاز به تایید نتایج بررسی های پویش و کاوش فعال می باشد.
نتایج اسکن و کاوش به پایگاه داده آسیبپذیری ارسال میشود که تصاویر آسیبپذیریهای IS کنترلشده را ذخیره میکند. بر اساس روش مقایسه تصویر آسیبپذیری شناساییشده با تصاویر آسیبپذیری IS کنترلشده، SAS گزارشی درباره عدم وجود یا وجود موارد مشابه در تصاویر آسیبپذیری (تشخیص آسیبپذیری) ایجاد میکند که در پایگاه داده آسیبپذیری ذخیره میشود.
مدل تعمیم یافته برای شناسایی و ارزیابی تصاویر آسیب پذیری IS جزئیات مدل تعمیم یافته برای شناسایی تصاویر آسیب پذیری ها را ارائه می دهد (شکل 2).
شکل 2. مدل تعمیم یافته برای شناسایی و ارزیابی تصاویر آسیب پذیری های IS
فرآیند شناسایی یک تصویر از آسیبپذیری IS شناساییشده، که دارای ویژگیهای (عناصر) خاص است، با استفاده از روشی برای مقایسه آن با تصاویر آسیبپذیریهای شناخته شده و آسیبپذیریهای روز صفر ذخیرهشده در پایگاه داده آسیبپذیری انجام میشود. شرح رسمی آسیبپذیریهای شناخته شده و آسیبپذیریهای روز صفر در قالب گذرنامههایی صادر میشود که حاوی اطلاعاتی درباره ویژگیهای خاص (عناصر) یک آسیبپذیری خاص است. برای شناسایی دقیق تصویر یک آسیبپذیری کشفشده، باید حاوی اطلاعاتی درباره نام و نسخه نرمافزار IS که آسیبپذیری در آن یافت شده است، درباره شناسه، نام و کلاس آسیبپذیری کشفشده باشد. بر اساس اطلاعات فوق، CAS تصویر آسیبپذیری شناساییشده را با یکی از انواع تصاویر آسیبپذیری مرتبط میکند. برای ارزیابی کیفی، تصویر آسیبپذیری شناساییشده، به نوبه خود، باید حاوی اطلاعاتی درباره شناسه و نوع نقص IS باشد که آسیبپذیری در آن شناسایی شده است، درباره محل آسیبپذیری در IS، و در مورد روش تشخیص آسیبپذیری. فرآیند ارزیابی تصویر آسیبپذیری با ایجاد توصیههایی برای حذف آسیبپذیری یا حذف احتمال بهرهبرداری از آن به پایان میرسد. در مواردی که تصویری از یک آسیبپذیری تازه شناسایی شده کشف شد، CAS اطلاعات مربوط به آن را با تشکیل یک پاسپورت آسیبپذیری روز صفر جدید در پایگاه داده آسیبپذیری قرار میدهد. هنگامی که یک توسعه دهنده IP اقدامات حفاظت از اطلاعات را صادر می کند، به روز رسانی های لازمو هنگامی که ایرادات برطرف شد، آسیبپذیری روز صفر به وضعیت آسیبپذیری شناخته شده تبدیل میشود.
با جمع بندی نتایج این مقاله، خاطرنشان می کنیم که یک متخصص امنیت IP موظف است به طور مداوم برای شناسایی آسیب پذیری ها در سیستم کار کند، فرآیندهای رخ داده در SAS را به وضوح درک و درک کند، به روز رسانی (گسترش) پایگاه داده آسیب پذیری ها را نظارت کند، به موقع. رفع نواقص در سیستم، ایجاد اقدامات حفاظتی مناسب و به روز رسانی IP کنترل شده.
کتابشناسی - فهرست کتب:
- استاخوف A.S. تجزیه و تحلیل امنیتی شبکه های خودکار شرکتی // خبرنامه جت اطلاعات. - 2002. - شماره 7 (110). / – [ منبع الکترونیکی]. – حالت دسترسی: URL: http://www.jetinfo.ru
- گورباتوف V.S., Meshcheryakov A.A. تحلیل تطبیقیکنترل های امنیتی شبکه کامپیوتری// امنیت فناوری اطلاعات. - 2013. - شماره 1. / - [منبع الکترونیکی]. – حالت دسترسی: URL: http://www.bit.mephi.ru
- GOST R 56545-2015 "امنیت اطلاعات. آسیب پذیری های سیستم های اطلاعاتی قوانینی برای توصیف آسیب پذیری ها - M.: Standartinform، 2015.
- GOST R 56546-2015 "امنیت اطلاعات. آسیب پذیری های سیستم های اطلاعاتی طبقه بندی آسیب پذیری های سیستم های اطلاعاتی. - M.: Standartinform، 2015.
- لوکاتسکی A.V. یک اسکنر امنیتی چگونه کار می کند؟ / - [منبع الکترونیکی]. – حالت دسترسی: http://www.citforum.ru/security/internet/scanner.shtml (تاریخ دسترسی: 1395/09/14).
- لوکاتسکی A.V. تشخیص حمله - سنت پترزبورگ. : BVH Publishing House, 2001. - 624 p.
- راهنمای کاربر بسته نرم افزاری"ابزار تحلیل امنیتی Scanner-VS". NPESh.00606-01. CJSC NPO Echelon، 2011.
- اسکنر امنیتی XSPider. راهنمای مدیر / – [منبع الکترونیکی]. – حالت دسترسی: http://www.ptsecurity.ru (تاریخ دسترسی: 2016/09/15).
- اسکنر امنیتی MaxPatrol سیستم کنترل امنیتی / - [منبع الکترونیکی]. – حالت دسترسی: http://www.ptsecurity.ru (تاریخ دسترسی: 2016/09/16).
- استیون نورثکات، جودی نواک. تشخیص نقض امنیت در شبکه ها ویرایش سوم: پر. از انگلیسی. – M.: انتشارات ویلیامز، 2003. – S. 265–280.
ما به بررسی تغییرات اخیر در دستور FSTEC شماره 17 روسیه ادامه می دهیم. این بار - تجزیه و تحلیل آسیب پذیری GIS.
اکنون تجزیه و تحلیل آسیب پذیری GIS برای 3 مرحله از 6 مرحله چرخه حیات امنیت GIS مورد نیاز است: الزامات، اجرا و اعتبار سنجی.
1. در مرحله تحلیل تهدیدات امنیت اطلاعات GIS، لازم است تحلیل شود ممکن استآسیب پذیری های IS، با استفاده از BDU FSTEC روسیه، و همچنین سایر منابع داده در مورد آسیب پذیری ها به عنوان داده های اولیه. توضیحات باید در مدل تهدید گنجانده شود ممکن استآسیب پذیری های IS
تفاوت اصلی با سایر مراحل در کلمه "ممکن" نهفته است. واقعی نیست، اما ممکن است. و با یک تخیل خوب، همه چیز با ما امکان پذیر خواهد بود. تا آنجا که من درک می کنم، باید نوعی طبقه بندی از همه آسیب پذیری های احتمالی وجود داشته باشد و انواع نامناسب آسیب پذیری ها را حذف کرد. دلایل خاصی(عدم وجود یک هدف، ویژگی های ساختاری خاص، فناوری اطلاعات استفاده نشده).
مشکل این است که چنین طبقه بندی آسیب پذیری در FSTEC BDU در بخش آسیب پذیری وجود ندارد. علاوه بر این، بخش آسیب پذیری تنها آسیب پذیری های نرم افزار واقعی را فهرست می کند. اما در مورد آسیب پذیری های GIS به طور کلی چطور؟ معایب سازمان. معیارهای؟
در واقع، فهرست چنین آسیبپذیریهای احتمالی به شکلی بدون ساختار در متن تهدیدات FSTEC BDU پنهان شده است: این تهدیدبه دلیل آسیب پذیری های برخی از بردهای سیستم (مادربرد) - وجود مکانیسم ها هارد ریسترمزهای عبور تنظیم شده در BIOS/UEFI" یا "این تهدید به دلیل ضعف در فیلترینگ ترافیک شبکه و مکانیزم های کنترل آنتی ویروس در سطح سازمان است."
2. در مرحله پیاده سازی یک سیستم امنیت اطلاعات، نیاز به تجزیه و تحلیل واقعی از آسیب پذیری ها می باشد.
"هنگام تجزیه و تحلیل آسیب پذیری های یک سیستم اطلاعاتی، عدم وجود آسیب پذیری های شناخته شدهابزارهای حفاظت از اطلاعات، سخت افزار و نرم افزار، از جمله در نظر گرفتن اطلاعات در دسترس توسعه دهندگان و به دست آمده از سایر منابع عمومی، نصب و پیکربندی صحیحابزار حفاظت از اطلاعات، سخت افزار و نرم افزار، و همچنین صحت کارابزار محافظت از اطلاعات در تعامل آنها با سخت افزار و نرم افزار.
با توجه به نتایج تجزیه و تحلیل آسیب پذیری، باید باشد تایید شدهکه در سیستم اطلاعاتی هیچ آسیبپذیری در پایگاه داده تهدید وجود نداردامنیت اطلاعات FSTEC روسیه و همچنین سایر منابع یا استفاده از آنها (عملیات) توسط متخلف غیرممکن است.
اما خوب است که آسیب پذیری ها دارای فیلدهایی مانند Manufacturer، Software Name، Software Version باشند. با تهیه لیست کامل نرم افزار از قبل، می توانید آسیب پذیری های لازم را انتخاب کنید. اما با نتایج چه باید کرد؟ به عنوان مثال، برای ویندوز 8.1 247 آسیب پذیری در BDU وجود دارد. بعد، در هر یک باید پیوند را دنبال کنید منابع خارجیو آنچه در آنجا برای از بین بردن آسیب پذیری ها پیشنهاد شده است را بررسی کنید، بررسی کنید به روز رسانی های نصب شدهبرای این آسیب پذیری ها
دستی دشوار است. من دوست دارم اسکنرهای آسیب پذیری بتوانند با OBD کار کنند و همه چیز را برای ما انجام دهند. بیایید نگاهی بیندازیم…
RedCheckاز Altex-Soft: "RedCheck آسیبپذیریها را در پایگاه داده ovaldb ما جستجو میکند، که با پایگاه داده تهدیدات امنیت اطلاعات FSTEC روسیه هماهنگ شده است! شما می توانید لیست آسیب پذیری ها را در وب سایت پایگاه داده https://ovaldb.altx-soft.ru/Definitions.aspx?refsource=FSTEC مشاهده کنید.
به نظر می رسد خوب است. تنها حیف آخرین آسیب پذیری در پیوند است - از سال 2016. و در BDU در حال حاضر یک دسته برای سال 2017 وجود دارد.
حسابرس شبکه 3.0از CBI: "ممیز شبکه در ابتدا آسیب پذیری های موجود در BDU FSTEC روسیه (http://bdu.fstec.ru) موجود در سیستم های عاملویندوز و برنامه ها و ابزارهای حفاظت از اطلاعات که در آنها کار می کنند، از جمله آنهایی که در روسیه توسعه یافته اند. علاوه بر جستجوی آسیبپذیریها از پایگاه داده آسیبپذیریهای FSTEC روسیه، Network Inspector 3.0 Network Scanner آسیبپذیریهای موجود در منابعی مانند cve.mitre.org، ovaldb.altx-soft.ru، microsoft.com و منابع دیگر را جستجو میکند. . ”
XSpiderاز Positive Technologies "قطعا چنین فرصتی وجود خواهد داشت. در ماه ژوئنبه عنوان بخشی از تأیید مجدد XSpider، مجموعه ای با چنین عملکردی به آزمایشگاه آزمایش FSTEC منتقل می شود.
Scanner-VSاز Echelon "Scanner-VS از جستجوی آسیب پذیری ها مطابق با BDU FSTEC روسیه پشتیبانی می کند." درست است، تجربه نشان داده است که نسخه فعلی و گواهی شده پشتیبانی نمی کند.
در مجموع در آینده این امکان وجود دارد که اسکنرها همه کاری را برای ما انجام دهند اما در این لحظهمن گزارش آماده ای که عدم وجود آسیب پذیری را از FSTEC BDU تأیید کند، پیدا نکردم. بله، و با ارتباط سوالات پایگاه داده - لازم است نتایج را به دقت بررسی کنید و احتمالاً به صورت دستی آخرین آسیب پذیری ها را بررسی کنید.
علاوه بر این، فراموش نکنید که تجزیه و تحلیل آسیب پذیری ها همچنین شامل تجزیه و تحلیل تنظیمات سیستم امنیت اطلاعات، نرم افزار و سخت افزار و تجزیه و تحلیل صحت عملکرد سیستم امنیت اطلاعات است.
3. در مرحله صدور گواهینامه، آزمایشات زیر الزامی است تجزیه و تحلیل آسیبپذیریهای سیستم اطلاعاتی، از جمله آسیبپذیریهای ناشی از تنظیم نادرست(پیکربندی) نرم افزار و ابزار امنیت اطلاعات”در این مورد، به عنوان داده های اولیه، نتایج تحلیل آسیب پذیری سیستم اطلاعاتی. به طور کلی چطور است؟
آیا ما فقط کارهایی را که در مرحله اجرا انجام دادیم تکرار می کنیم؟ با در نظر گرفتن آخرین الزاماتبرای جداسازی گواهیدهندهها و اجراکنندگان، ظاهراً در اینجا آنها روی یک تجزیه و تحلیل تکراری مستقل و انتخابی حساب میکنند.
معرفی
زیرساخت فناوری اطلاعات شرکتی یک مکانیسم پیچیده چند جزئی است که برای خودکارسازی فرآیندهای تجاری یک شرکت طراحی شده است. زیرساخت دامنه، خدمات پستی، برنامه های کاربردی وب، سیستم های تجاری - همه اینها اساس هر سیستم اطلاعات شرکتی است. بسته به مقیاس شرکت و تعداد کارکنان آن، اندازه زیرساخت فناوری اطلاعات نیز متفاوت خواهد بود. با این حال، با وجود این، اکثر شرکت ها دارند مشکلات رایجمربوط به ارائه امنیت اطلاعاتسیستم های اطلاعاتی. بنابراین، در طول گسترش ویروس رمزگذاری WannaCry، بیش از 500000 رایانه تحت تأثیر قرار گرفتند که از جمله به سازمانهای دولتی تعلق داشتند. شرکت های بزرگو سازمان های تجاری کوچک. این حادثه تأیید می کند که مطلقاً هر سازمانی می تواند از حملات مخرب رنج ببرد.
این مطالعه روندهای اصلی در زمینه تجزیه و تحلیل امنیتی سیستم های اطلاعات شرکت را تعریف می کند و به شما امکان می دهد تعیین کنید:
- محتمل ترین بردارهای حمله ای که یک مهاجم می تواند برای دسترسی به منابع از آنها استفاده کند چیست؟ شبکه شرکتی;
- چه آسیبپذیریهایی در محیط شبکه رایجتر هستند.
- اقدامات مهاجمی که به منابع LAN دسترسی دارد چقدر خطرناک است.
- چه نقایص امنیتی به مهاجم اجازه می دهد تا حداکثر امتیازات را در آن کسب کند زیرساخت های شرکتی;
- آیا حملاتی که از روشهای مهندسی اجتماعی استفاده میکنند مرتبط هستند یا خیر.
- نحوه استفاده از حملات به شبکه های بی سیم برای دسترسی به منابع شبکه داخلی
به عنوان پایه ای برای آماده سازی این مطالعهما از داده های آماری برای سال 2017 استفاده کردیم که از تجزیه و تحلیل امنیت سیستم های اطلاعات شرکتی انجام شده توسط متخصصان فناوری های مثبت به دست آمده است. نتایج به دست آمده ممکن است منعکس کننده وضعیت فعلی امنیت سیستم های اطلاعاتی در سایر شرکت ها نباشد. هدف از این مطالعه جلب توجه متخصصان امنیت اطلاعات به مبرمترین مشکلات و کمک به شناسایی و رفع آسیبپذیریها به موقع است.
1. خلاصه
تجزیه و تحلیل امنیت محیطی شبکه:
- امکان غلبه بر محیط شبکه و دسترسی به منابع LAN در 68٪ از پروژه ها برای تجزیه و تحلیل امنیت سیستم های اطلاعات شرکت وجود داشت.
- انتخاب حسابهای فرهنگ لغت برای منابع در محیط شبکه و بهرهبرداری از آسیبپذیریهای برنامههای وب، بردارهای اصلی حمله برای نفوذ هستند. شبکه داخلی;
- با توجه به نتایج اسکن ابزاری منابع محیطی شبکه، مشخص شد که 31٪ از شرکت ها در معرض خطر آلودگی با ویروس رمزگذاری WannaCry قرار دارند.
تجزیه و تحلیل امنیت منابع داخلی:
- هنگام تست نفوذ از طرف یک مهاجم داخلی تسلط کاملدر کل زیرساخت موفق به دریافت در همه سیستم ها شد.
- MS17-010 در 60 درصد از سیستمهای شرکتی که بین 14 آوریل تا 31 دسامبر 2017 آزمایش شدهاند یافت شد، که نشان میدهد بهروزرسانیهای امنیتی حیاتی سیستمعامل به موقع نصب نشدهاند.
- محافظت ناکافی در برابر بازیابی حساب ها از حافظه سیستم عامل آسیب پذیری اصلی است که به شما امکان می دهد کنترل کاملی بر سیستم اطلاعات شرکت داشته باشید.
ارزیابی آگاهی کارکنان:
- 26% از کارمندان پیوندی را به یک منبع وب فیشینگ دنبال میکنند و تقریباً نیمی از آنها اعتبار خود را در فرم احراز هویت جعلی وارد میکنند.
- هر ششم کارمند زیرساخت های شرکت را در معرض خطر عفونت ویروسی قرار می دهد.
تجزیه و تحلیل امنیت شبکه های بی سیم:
- در 75 درصد موارد، یک مهاجم از طریق حملات به شبکه های بی سیم می تواند به منابع شبکه داخلی دسترسی پیدا کند و همچنین اطلاعات حساسی را به دست آورد (به عنوان مثال، حساب های کاربری دامنه).
2. داده های اولیه
آمار سال 2017 بر اساس نتایج تجزیه و تحلیل امنیتی 22 سیستم شرکتی متعلق به شرکت های روسی و خارجی از بخش های مختلف اقتصاد است. هنگام انتخاب پروژه ها برای مطالعه، محتوای اطلاعاتی نتایج به دست آمده در نظر گرفته شد. پروژه هایی که بنا به درخواست مشتریان انجام شد تعداد محدودگره ها در این مطالعه گنجانده نشدند، زیرا آنها وضعیت واقعی امنیت سیستم اطلاعات شرکت را به عنوان یک کل منعکس نمی کنند. همانند سال 2016، بخش عمده ای از کارهای تست نفوذ برای موسسات مالی و شرکت های صنعتی انجام شد. حملات موفقیت آمیز به سیستم های شرکتی در بخش های مالی و صنعتی معمولاً مجرمان سایبری را به همراه دارند حداکثر سود. حمله موفقیت آمیز به زیرساخت های بانک اغلب مستقیماً به سرقت منجر می شود پول. نفوذ یک مزاحم به شبکه داخلی یک شرکت صنعتی نه تنها می تواند منجر به نشت اطلاعات حساس شود که بعداً می تواند به شرکت های رقیب فروخته شود، بلکه باعث اختلال در روند فناوری می شود.
تجزیه و تحلیل امنیت شبکه های شرکتی با استفاده از ابزارهای خارجی، داخلی و تست جامعنفوذ (آخرین شامل خارجی و داخلی می شود). تست نفوذ - روش موثرتجزیه و تحلیل امنیتی، که به شما امکان می دهد آسیب پذیری ها را در زیرساخت شرکت شناسایی کنید و یک ارزیابی عینی و مستقل از سطح امنیتی آن بدست آورید. در طول آزمایش، اقدامات یک مهاجم بالقوه شبیه سازی می شود و حملاتی را هم از طریق اینترنت و هم از بخش هایی از شبکه داخلی شرکت انجام می دهد. این رویکرد به شما امکان می دهد شرایطی را که معمولاً متخلفان در آن کار می کنند دوباره ایجاد کنید و به سرعت نقص های حفاظتی را از بین ببرید.
برای دومین سال متوالی، شاهد علاقه مندی به خدمات یکپارچه هستیم. مشتریان ما نه تنها برای محافظت از محیط شبکه خود در برابر حملات یک مزاحم خارجی، بلکه همچنین برای کاهش خطرات مرتبط با به خطر افتادن LAN توسط یک مهاجم داخلی تلاش می کنند.
علاوه بر تست نفوذ، برای بسیاری از مشتریان، کار برای تجزیه و تحلیل امنیت شبکه های بی سیم و ارزیابی آگاهی کارکنان در مسائل امنیت اطلاعات نیز انجام شد.
در سال جاری، نتایج تجزیه و تحلیل امنیت محیطی شبکه بهدستآمده در طول آزمایش نفوذ خارجی، نه تنها با نتایج مطالعه سال گذشته، بلکه با آمارهای بهدستآمده در طول مطالعه ابزاری، که در دوره توزیع فعال انجام شد، مقایسه میشود. ویروس باج افزار WannaCry در سه ماهه دوم سال 2017، Positive Technologies یک اسکن محیطی خارجی رایگان برای شناسایی خدمات آسیب پذیر ارائه کرد. درخواست های 26 شرکت از مناطق مختلفاقتصاد. آمار مربوط به تست نفوذ خارجی در مقایسه با نتایج تحقیقات ابزاری بعداً در بخش مربوطه به تفصیل مورد بحث قرار خواهد گرفت.
3. آمار برای سال 2017
3.1. نتایج کلی تحلیل امنیتی
به عنوان یک قاعده، هنگام تجزیه و تحلیل امنیت در هر سیستم، متخصصان ما آسیبپذیریها و ضعفهای خاصی را در مکانیسمهای حفاظتی کشف میکنند، که، از جمله موارد دیگر، امکان توسعه یک بردار حمله را تا به خطر انداختن کامل زیرساختهای شرکت، دسترسی به اطلاعات حساس، انجام حملات انکار سرویس و غیره. ما همه آسیبپذیریها را به سه دسته تقسیم میکنیم: آسیبپذیریهای مربوط به نقصهای پیکربندی. مربوط به عدم به روز رسانی امنیتی؛ مربوط به خطا در کد برنامه وب برای هر آسیبپذیری شناسایی شده، درجه شدت آن مطابق با سیستم طبقهبندی CVSS نسخه 3.0 تعیین میشود.
18 سال- سن قدیمی ترین آسیب پذیری CVE-1999-0532 که در طی تجزیه و تحلیل ابزاری منابع محیطی شبکه کشف شد
در مقایسه با سال گذشته، نسبت سیستمهای شرکتی که در آنها آسیبپذیریهای با شدت بحرانی (CVSS ≥ 9.0) کشف شدهاند، تقریباً دو برابر شده است. این عمدتا به دلیل انتشار اطلاعات مربوط به آسیب پذیری حیاتی MS17-010 در سرویس SMB میزبان هایی است که تحت کنترل ویندوز. پس از انتشار اکسپلویتهای در دسترس عموم در بسیاری از پروژههای آزمایش نفوذ داخلی، متخصصان ما از این آسیبپذیری برای به دست آوردن کنترل کامل بر گرههای LAN و توسعه حمله تا رسیدن به حداکثر امتیازات در دامنه استفاده کردند.
برای سیستمهایی که خطا در کد برنامه وب و کاستیهای مربوط به عدم بهروزرسانی امنیتی در آنها شناسایی نشده است، باید در نظر داشت که تست نفوذ با استفاده از روش جعبه سیاه انجام میشود و شناسایی تمام موارد موجود غیرممکن است. آسیب پذیری در محدوده کار هدف اصلی از تست نفوذ، به دست آوردن یک ارزیابی عینی از امنیت یک سیستم شرکتی در برابر حملات مزاحم است.
3.2. نتایج تحلیل امنیت محیطی شبکه
نتایج تست نفوذ خارجی
در پایان سال 2017، امنیت محیط شبکه سیستم های اطلاعات شرکت ها در سطح سال 2016 باقی ماند. با این حال، تمایل به کاهش پیچیدگی غلبه بر محیط شبکه وجود دارد. اگر در سال 2016 تنها در 27 درصد از پروژه ها، دشواری دسترسی به منابع LAN به عنوان پیش پا افتاده ارزیابی می شد، در پایان سال 2017 این رقم دو برابر شد و به 56 درصد رسید.
10 — حداکثر تعدادبردارهای نفوذ به شبکه داخلی، شناسایی شده در طی آزمایش یک سیستم اطلاعات شرکت در سال 2017
این توزیع با این واقعیت توضیح داده می شود که برای دستیابی به منابع LAN، یک مهاجم به طور متوسط باید دو مرحله را انجام دهد: به عنوان مثال، اعتبار فرهنگ لغت را برای مجوز در یک برنامه وب دریافت کند و از آسیب پذیری های آن برای به دست آوردن توانایی اجرا استفاده کند. دستورات سیستم عامل بر روی میزبان مورد حمله.
با توجه به نتایج تجزیه و تحلیل امنیتی سیستم های اطلاعات شرکت ها، به طور متوسط در هر شرکت دو بردار نفوذ به شبکه داخلی شناسایی می شود که حداکثر تعداد بردارهای شناسایی شده برای یک شرکت 10 است.
می توانید تمام بردارهای موفق نفوذ در شبکه داخلی را به دسته های زیر تقسیم کنید:
- 44 درصد از بردارهای حمله موفق بر اساس انتخاب اعتبار فرهنگ لغت برای دسترسی به برنامه های کاربردی وب، DBMS و سایر خدمات موجود برای اتصال در محیط شبکه است. سپس مهاجم می تواند دستورات سیستم عامل را بر روی میزبان مورد حمله اجرا کند.
- 28 درصد از بردارهای حمله مبتنی بر بهره برداری از آسیب پذیری های برنامه های وب هستند. بلافاصله در طی چندین آزمایش خارجی، آسیبپذیریهایی شناسایی شدند که در یک مرحله، بدون نیاز به مجوز، اجازه میدهند تا دستورات سیستمعامل را از راه دور با امتیازات یک برنامه وب اجرا کنند.
- در 16٪ موارد، مهاجم می تواند با سوء استفاده از آسیب پذیری ها در نسخه های نرم افزار قدیمی (مثلاً در سیستم عامل های CMS) به منابع شبکه داخلی دسترسی پیدا کند.
- در موارد دیگر، مهاجم میتواند از نقصهای پیکربندی مربوط به افشای اعتبار برای دسترسی به سیستمهای موجود در محیط شبکه در حوزه عمومی، مانند صفحات برنامه وب، برای حمله استفاده کند. علاوه بر این، مواردی شناسایی شد که متخصصان ما یک مترجم وب قبلا دانلود شده را در منبع وب شرکت آزمایش شده پیدا کردند. خط فرمان، که نشان دهنده حملات موفقیت آمیز توسط نفوذگران خارجی است.
پنج آسیب پذیری رایج در محیط شبکه شامل همان آسیب پذیری های سال 2016 است، اما درصد آنها تغییر کرده است. می توان به یک روند نزولی کلی در میانگین تعداد آسیب پذیری های شناسایی شده در طول آزمایش نفوذ خارجی اشاره کرد. به عنوان مثال، در سال 2016، در تمام سیستم های آزمایش شده، آسیب پذیری های مربوط به استفاده از اعتبار فرهنگ لغت شناسایی شد، در سال 2017 این رقم به نصف کاهش یافت. چنین نتایجی به این دلیل است که بسیاری از شرکت ها قبلاً امنیت سیستم های شرکت خود را تجزیه و تحلیل کرده اند. در نتیجه چنین کاری، مشتریان با موفقیت بیشتر آسیبپذیریها و نقصهای پیکربندی شناساییشده را تصحیح کردند و شروع به کنترل دقیقتر مطابقت با سیاستهای رمز عبور داخلی کردند. بر این اساس، زمانی که تست نفوذ خارجی پس از یک سال و نیم تکرار شد، آسیب پذیری های کمتری کشف شد که در نهایت تاثیر مثبتی بر نتایج کلیدر سال 2017
همانطور که در سال 2016، اغلب آسیبپذیریها در محیط شبکه در برنامه شناسایی میشوند. نرم افزارو وب سرورها
نتایج تحلیل ابزاری امنیت محیطی
همانطور که قبلا ذکر شد، در سه ماهه دوم سال 2017، Positive Technologies تبلیغاتی را در این زمینه برگزار کرد اسکن رایگانمحیط خارجی تعدادی از شرکت ها به منظور شناسایی خدمات آسیب پذیر. هدف اصلی مقابله با گسترش ویروس رمزگذاری WannaCry بود. درخواستهای اسکن ابزاری منابع محیطی شبکه توسط 26 شرکت از بخشهای مختلف اقتصاد ارسال شد: شرکتهای فناوری اطلاعات و مخابرات، خردهفروشان بزرگ، شرکتهایی از بخش مالی و صنعت نفت و گاز.
همه شرکت ها ابتدا باید مرزهای سیستم های شرکتی خود را مشخص می کردند. قبلاً در این مرحله، برخی از شرکت کنندگان با مشکلاتی روبرو بودند: 23٪ نتوانستند مرزهای محیط شبکه خود را تعیین کنند یا آنها را به اشتباه تعیین کردند. عدم توانایی در تعیین مرزهای محیط شبکه در حال حاضر شاهدی بر امنیت پایین سیستم اطلاعات شرکت در برابر حملات یک مزاحم خارجی است - حتی قبل از دریافت نتایج تجزیه و تحلیل دستی یا ابزاری سیستم شرکت.
اسکن محیط شبکه با استفاده از سیستم تجزیه و تحلیل امنیتی خودکار MaxPatrol و کنترل انطباق و نرم افزار اضافی انجام شد. اسکنها آسیبپذیریهای زیادی را نشان دادند: 15٪ از آنها طبق مقیاس نسخه 2.0 CVSS دارای سطح خطر بالایی هستند و سوء استفادههای عمومی برای سوء استفاده از برخی از آسیبپذیریها وجود دارد.
به طور جداگانه، ما می توانیم آماری را در مورد محبوب ترین آسیب پذیری های شناسایی شده در حین اسکن ابزاری محیط شبکه در نظر بگیریم. در میان این آسیب پذیری ها، CVE-2016-6515 در سرویس OpenSSH خطرناک ترین است. هنگام وارد کردن رمز عبور برای احراز هویت در برنامه، محدودیتی در تعداد کاراکترهای وارد شده وجود ندارد. این کمبودبه یک مهاجم راه دور اجازه می دهد تا حملات انکار سرویس را انجام دهد. همچنین یک اکسپلویت 1 در دسترس عموم برای بهره برداری از این آسیب پذیری وجود دارد. علاوه بر این، اگر یک مهاجم بتواند اعتبار اتصال SSH را به صورت بی رحمانه اعمال کند و امتیازات کاربر را در یک سیستم یونیکس به دست آورد، وجود آسیبپذیری CVE-2016-10010 در OpenSSH به او این امکان را میدهد که به صورت محلی امتیازات خود را به حداکثر در میزبان در معرض خطر افزایش دهد. با استفاده از اکسپلویت 2 دیگر، و سپس حمله به منابع LAN را توسعه دهید.
هنگام تجزیه و تحلیل سرویس های موجود در محیط، بیشترین تعداد آسیب پذیری در برنامه های کاربردی وب و خدمات دسترسی از راه دور (SSH) یافت شد. این نتایج تجزیه و تحلیل ابزاری با آمارهای بهدستآمده در طول آزمایش نفوذ خارجی، که در آن آسیبپذیریها و نقصهای پیکربندی در برنامههای کاربردی وب در بیشتر موارد نقطه شروع برای دسترسی به منابع LAN بود، مطابقت دارد.
در طول تجزیه و تحلیل ابزاری برنامه های کاربردی وب موجود، آمار به طور جداگانه در مورد وضعیت گواهینامه های SSL جمع آوری شد. بیش از یک چهارم گواهیها در زمان اسکن منقضی شده بودند، 15٪ از الگوریتمهای رمزنگاری ضعیف (مانند SHA-1) استفاده میکردند، و از هر شش گواهی یک مورد برای بیش از 5 سال صادر میشد.
استفاده از گواهینامه های SSL منقضی شده خطرات اعتباری را برای شرکت ها به همراه دارد، زیرا کاربر پس از دریافت هشدار در پنجره مرورگر در مورد استفاده از گواهی نامعتبر در برنامه، ممکن است از بازدید از منبع وب خودداری کند.
استفاده از الگوریتمهای رمزگذاری ضعیف، کل نکته استفاده از گواهیهای SSL را باطل میکند، زیرا مهاجم میتواند ترافیک شبکه را رهگیری کند و سپس با موفقیت دادههای دریافتی را رمزگشایی کند. علاوه بر این، یک مهاجم می تواند گواهی SSL را جعل کند و سایت فیشینگ خود را ایجاد کند تا کاربران را با بدافزار آلوده کند و اعتبار آنها را بدزدد. در عین حال، کاربران ممکن است پس از بازدید از وب سایت شرکت قانونی فکر کنند که رایانه های آنها آلوده شده است.
اگر گواهی SSL برای یک دوره بیش از 5 سال صادر شود، خطرات مرتبط با امکان انتخاب یک کلید رمزگذاری وجود دارد.
بیایید به هدف اصلی اسکن ابزاری منابع محیطی شبکه برگردیم. 8 شرکت از 26 شرکت دارای هاست خارجی بودند پورت باز 445/TCP با سرویس SMB در حال اجرا. بنابراین، زیرساخت تقریباً هر سومین شرکت در معرض خطر آلودگی با ویروس رمزگذاری WannaCry قرار داشت.
31% شرکتها در معرض خطر ابتلا به ویروس باجافزار WannaCry قرار گرفتند
3.3. نتایج تجزیه و تحلیل منابع داخلی
در صورت حمله موفقیت آمیز به منابع محیطی شبکه، یک مهاجم خارجی می تواند به شبکه داخلی دسترسی پیدا کند و حمله را تا کنترل کامل بر کل زیرساخت فناوری اطلاعات شرکت توسعه دهد.
همانطور که در سال 2016، هنگام آزمایش نفوذ از طرف یک مهاجم داخلی (به عنوان مثال، یک کارمند معمولی یک شرکت با دسترسی به بخش کاربری شبکه)، امکان کنترل کامل بر کل زیرساخت در تمام سیستم های آزمایش شده وجود داشت. . تنها در 7 درصد از پروژه ها، مشکل دسترسی به منابع حیاتی توسط یک مهاجم داخلی به عنوان "متوسط" رتبه بندی شد. در تمام موارد دیگر، یک متخلف غیر ماهر می تواند کل سیستم شرکت را به خطر بیندازد.
یک بردار حمله معمولی در شبکه داخلی مبتنی بر کسب حداکثر امتیازات در یکی از گرههای LAN و به دنبال آن راهاندازی نرمافزار تخصصی برای استخراج اعتبار سایر کاربرانی بود که قبلاً به این گره متصل شده بودند. با تکرار این مراحل در هاست های مختلف، مهاجم در نهایت می تواند میزبانی را که حساب مدیر دامنه را ذخیره می کند پیدا کند و رمز عبور خود را در آن دریافت کند. فرم باز.
در 60 درصدسیستم های شرکتی که از 14 آوریل تا 31 دسامبر 2017 آزمایش شدند، آسیب پذیری MS17-010 کشف شد.
در سال 2017، پس از انتشار اطلاعات مربوط به آسیبپذیری MS17-010، کار دستیابی به حداکثر امتیازات در میزبان شبکه داخلی برای یک مهاجم بسیار سادهتر شد. در ۱۴ مارس ۲۰۱۷، مایکروسافت بهروزرسانیای را منتشر کرد که این آسیبپذیری را برطرف میکرد و دقیقاً یک ماه بعد، در ۱۴ آوریل، گروه هکر Shadow Brokers اکسپلویت EternalBlue 3 را برای بهرهبرداری از آن منتشر کرد. از اواسط آوریل تا پایان سال، متخصصان ما با موفقیت از این اکسپلویت در 60 درصد از آزمایشهای نفوذ داخلی استفاده کردند که نشاندهنده نصب دیرهنگام بهروزرسانیهای امنیتی حیاتی سیستم عامل در اکثر سیستمهای شرکتی است.
در اواخر سال 2017، سیستمهای شرکتی با بهروزرسانیهایی که آسیبپذیری حیاتی MS17-010 را برطرف میکنند، رایجتر شدند. با این حال، چندین پروژه در میزبان های ویندوز موفق شدند از آسیب پذیری مهم دیگری برای افزایش امتیاز محلی، همانطور که در بولتن امنیتی MS17-018 توضیح داده شده است، سوء استفاده کنند. همچنین یک سوء استفاده برای این آسیب پذیری وجود دارد که به صورت عمومی در دسترس نیست.
آمار رایج ترین آسیب پذیری ها در شبکه داخلی در مقایسه با سال 2016 تقریباً بدون تغییر باقی مانده است. استثنا است دسته بندی جدید"محافظت ناکافی در برابر بازیابی حساب ها از حافظه سیستم عامل." در گره های LAN که دارای ویندوز هستند، می توان رمزهای عبور را به صورت متن ساده (یا مجموع هش آنها) از حافظه سیستم با استفاده از نرم افزار ویژه دریافت کرد - در صورتی که مجرم دارای امتیازات باشد. مدیر محلی. پیش از این، ما این آسیبپذیری را به نقص نرمافزار آنتیویروس نسبت میدادیم، که باید راهاندازی هرگونه ابزار مخرب برای استخراج اعتبار را مسدود کند. با این حال، اخیراً تغییراتی در چنین ابزارهایی منتشر شده است که به زبان PowerShell نوشته شده اند، که به طور خاص برای دور زدن مسدود کردن راه اندازی توسط هر نرم افزار آنتی ویروس طراحی شده اند. اکنون، برای محافظت در برابر استخراج اعتبار از حافظه سیستم عامل، لازم است از یک رویکرد یکپارچه استفاده شود، از جمله ممنوعیت ذخیره داده های کش شده، تسریع در پاکسازی حافظه فرآیند lsass.exe از حساب های کاربری که به پایان رسیده است. جلسه، و غیرفعال کردن مکانیسم wdigest. علاوه بر این، مدرن نسخه های ویندوز 10، که سیستم Remote Credential Guard را پیاده سازی کرد، که اجازه می دهد تا فرآیند سیستم lsass.exe را از دسترسی غیرمجاز ایزوله و محافظت کند. بنابراین، در سال 2017، به منظور ارزیابی عینی وضعیت مکانیسمهای حفاظت از شبکه شرکت، معیار جداگانهای را برای جمعآوری آمار در مورد راهاندازی ابزارهای طراحی شده برای استخراج اعتبار معرفی کردیم.
در 14 درصد از سیستمهای شرکتی که آسیبپذیری «حفاظت ناکافی در برابر بازیابی حسابها از حافظه سیستمعامل» یافت نشد، از سایر بردارهای حمله برای به دست آوردن کنترل کامل بر زیرساخت شرکت استفاده شد.
آمار مربوط به نقص های امنیتی در پروتکل های خدمات بر اساس پروژه هایی ساخته شده است که در آن تجزیه و تحلیل شبکه انجام شده است. ترافیک LAN(71 درصد شرکت ها). در برخی از پروژهها، مشتریان با چنین چکهایی مخالف بودند، زیرا میتوانست منجر به تخلف شود کار مداومشبکه های.
با توجه به نتایج آزمایش داخلی، مشخص شد که مشکلات اصلی سیستم های اطلاعات شرکت نصب نابهنگام به روز رسانی های امنیتی مهم و محافظت ناکافی در برابر بازیابی حساب ها از حافظه سیستم عامل با استفاده از ابزارهای تخصصی است.
4. نتایج ارزیابی آگاهی کارکنان از مسائل امنیت اطلاعات
علاوه بر تست نفوذ سیستمهای اطلاعات شرکتها، تعدادی از شرکتها میزان آگاهی کارکنان را در مسائل امنیت اطلاعات ارزیابی کردند. چنین کاری بر اساس سناریوهای از قبل توافق شده با مشتری انجام می شود که در آن حملات واقعی توسط متجاوزان با استفاده از روش های مهندسی اجتماعی شبیه سازی شده و واکنش کارکنان به این حملات رصد می شود.
آزمایش کارمندان به دو روش انجام شد - با استفاده از پست ایمیل هاو در تعامل تلفنی برای به دست آوردن یک ارزیابی عینی از سطح آگاهی کارکنان، رویدادهای کنترل شده زیر مورد تجزیه و تحلیل قرار گرفت:
- دنبال کردن پیوندی به منبع وب مهاجم؛
- وارد کردن اعتبار به یک فرم احراز هویت عمداً نادرست؛
- راه اندازی فایل ضمیمه نامه؛
- واقعیت تعامل با مهاجم از طریق تلفن یا ایمیل.
با توجه به نتایج کار، مشخص شد که 26٪ از کارمندان پیوندی را به یک منبع وب فیشینگ دنبال می کنند و تقریباً نیمی از آنها پس از آن اعتبار خود را در یک فرم احراز هویت جعلی وارد می کنند. هر ششم کارمند زیرساخت های شرکت را با اجرای فایل پیوست شده به نامه در معرض خطر آلودگی ویروس قرار می دهد. علاوه بر این، 12 درصد از کارکنان آماده هستند تا با متخلف وارد گفتگو شوند و اطلاعاتی را افشا کنند که بعداً می تواند در حملات به سیستم اطلاعات شرکت مورد استفاده قرار گیرد.
در مجموع، هنگام ارزیابی آگاهی کارکنان در سال 2017، بیش از 1300 نامه ارسال شد که نیمی از آنها حاوی پیوندی به یک منبع فیشینگ بود و دومی حاوی یک فایل با یک اسکریپت خاص بود که اطلاعات متخصصان ما را در مورد زمان باز کردن پرونده ارسال می کرد. و همچنین آدرس ایمیل کارمند. یک مهاجم واقعی میتواند مجموعهای از اکسپلویتها را با هدف سوءاستفاده از آسیبپذیریهای مختلف، از جمله CVE-2013-3906، CVE-2014-1761 و CVE-2017-0199، به محتوای فایل اضافه کند. چنین حمله ای می تواند منجر به این شود که مهاجم کنترل ایستگاه کاری کاربر مربوطه را به دست آورد و گسترش یابد کد مخرب، محرومیت از خدمات و سایر پیامدهای منفی.
یک مثال معمولی از حمله با استفاده از روش های مهندسی اجتماعی:
- یک مهاجم مجموعه ای از اکسپلویت ها را برای نسخه های مختلف نرم افزار بر روی یک منبع کنترل شده قرار می دهد.
- پیوندی به این منبع به طور گسترده در ایمیل های فیشینگ ارسال می شود.
- یک کارمند یک سازمان پیوندی را از یک ایمیل دنبال می کند و پس از باز کردن صفحه در مرورگر، از آسیب پذیری ها سوء استفاده می شود.
چنین حمله ای می تواند منجر به عفونت شود ایستگاه کاریکاربر بدافزار علاوه بر این، هنگام استفاده از نسخه قدیمیمرورگر می تواند اجرای کد از راه دور را پیاده سازی کند (به عنوان مثال، CVE-2016-0189). بنابراین، یک مهاجم می تواند به یک گره شبکه داخلی دسترسی پیدا کند و یک حمله را تا حداکثر امتیازات در زیرساخت شرکت توسعه دهد. برای کسب اطلاعات بیشتر در مورد سناریوهای حمله مهندسی اجتماعی، مطالعه ما را ببینید چگونه مهندسی اجتماعی درهای سازمان شما را برای یک هکر باز می کند 4.
5. نتایج ارزیابی امنیتی شبکه های بی سیم شرکتی
40% شرکت ها از کلید فرهنگ لغت برای شبکه بی سیم استفاده می کنند
حمله به شبکه های بی سیم برای یک مزاحم خارجی یک راه جایگزین برای دسترسی به منابع شبکه داخلی است. در صورت شکست در هنگام تلاش برای نفوذ به محیط شبکه، به عنوان مثال، از طریق حملات به برنامه های کاربردی وب، یک مهاجم می تواند از آسیب پذیری های موجود در شبکه های بی سیم شرکت استفاده کند. برای یک حمله موفقیت آمیز، او باید تجهیزات ارزان قیمت را از قبل خریداری کند و وارد منطقه تحت پوشش شبکه بی سیم شود. علاوه بر این، برای انجام حملات، یک مهاجم مجبور نیست وارد منطقه تحت کنترل شرکت شود: با توجه به نتایج کار ما، مشخص شد که 75٪ از شبکه های بی سیم خارج از آن قابل دسترسی هستند. یعنی حملات به شبکههای بیسیم میتوانند بهطور نامحسوس از قلمرو مجاور، به عنوان مثال، از یک پارکینگ در کنار یک ساختمان اداری انجام شوند.
در سال 2017، تقریباً تمام شبکه های بی سیم آزمایش شده از پروتکل WPA2 استفاده کردند روش های مختلفاحراز هویت، که رایج ترین آن PSK (کلید از پیش مشترک) بود.
بسته به روش احراز هویت مورد استفاده، می توان از سناریوهای مختلفی برای حمله به شبکه های بی سیم استفاده کرد. در سال 2017، دو سناریو زیر بیشتر برای دسترسی به منابع شبکه داخلی مورد استفاده قرار گرفت:
- رهگیری یک دست دادن بین نقطه دسترسی و یک کلاینت قانونی (فقط برای روش PSK مناسب است).
- حملات به مشتریان شبکه های بی سیم با استفاده از یک نقطه دسترسی جعلی (مناسب برای همه روش های احراز هویت).
در سناریوی اول، رمز عبور به مقدار دست دادن رهگیری شده حدس زده می شود. موفقیت به پیچیدگی رمز عبور استفاده شده بستگی دارد. در عین حال، مهم است که در نظر بگیرید که یک مهاجم می تواند آن را خارج از منطقه تحت پوشش نقطه دسترسی مورد مطالعه قرار دهد. اگر در محدوده کار، متخصصان ما همیشه نتوانند رمز عبور را با استفاده از مقدار دست دادن حدس بزنند، مهاجم زمان بیشتری دارد که شانس او را بسیار افزایش می دهد.
پس از حدس زدن رمز عبور و اتصال به اکسس پوینت، مشخص شد که در 75 درصد شبکه های بی سیم هیچ انزوا بین کاربران وجود ندارد. بنابراین، یک مهاجم میتواند به دستگاههای کاربران حمله کند، برای مثال، از آسیبپذیری MS17-010 در لپتاپهای شخصی و شرکتی آنها سوء استفاده کند.
اگر حدس زدن رمز ورود به نقطه دسترسی امکان پذیر نبود، می توانید از سناریوی دوم با نصب یک اکسس پوینت جعلی استفاده کنید.
ابتدا، یک مهاجم، همراه با یک نقطه دسترسی جعلی، میتواند از یک صفحه احراز هویت فیشینگ برای به دست آوردن اعتبار و رهگیری اطلاعات حساس ارسال شده از طریق پروتکلهای انتقال داده باز (مثلا HTTP، FTP) استفاده کند.
در سال 2017، به عنوان بخشی از یکی از پروژه های تجزیه و تحلیل امنیت یک شبکه بی سیم که در مسکو برگزار شد، متخصصان Positive Technologies از یک نقطه دسترسی جعلی با ESSID (شناسایی مجموعه خدمات گسترده) MT_FREE استفاده کردند که در بین شهروندان محبوب است. برای دسترسی به شبکه Wi-Fi مستقر در حمل و نقل عمومی استفاده می شود. سپس یک فرم احراز هویت جعلی تهیه شد که در آن از لوگو و طرح شرکتی شرکت مورد آزمایش استفاده شده بود. پس از اتصال به یک اکسس پوینت جعلی، هنگام تلاش برای باز کردن هر وبسایتی، همه کاربران به صفحهای با فرمی جعلی از احراز هویت در شبکه شرکت هدایت شدند. در نتیجه این حمله، امکان دریافت اعتبار دامنه کارمندان شرکت و استفاده از آنها برای توسعه بیشتر حمله وجود داشت.
فقط 1 از 8در شرکت های آزمایش شده، کارمندان اعتبار خود را در فرم احراز هویت جعلی وارد نکرده اند
ثانیاً، مهاجمی که از یک نقطه دسترسی جعلی استفاده میکند، میتواند اطلاعات کاربری ذخیره شده در دستگاه را رهگیری کند. برای انجام این کار، باید یک اکسس پوینت با همان ESSID و پارامترهای مشابه نقطه دسترسی قانونی ایجاد کنید. اگر دستگاه کاربر پیکربندی شده باشد اتصال خودکاربه یک شبکه بی سیم ذخیره شده، اگر سیگنال قوی تری در محل این دستگاه داشته باشد، سعی می کند به طور خودکار به یک نقطه دسترسی جعلی متصل شود. در نتیجه چنین حملاتی، یک مهاجم می تواند مبالغ هش رمز عبور کارکنان شرکت را به دست آورد و از آنها برای توسعه بیشتر حمله به زیرساخت های شرکتی استفاده کند.
مشخص شده است که در 75٪ موارد، یک مهاجم از طریق حملات به شبکه های بی سیم می تواند به منابع شبکه داخلی و همچنین اطلاعات حساس (به عنوان مثال، حساب های کاربری دامنه) دسترسی پیدا کند. این روش نفوذ به شبکه داخلی جایگزین موثری برای حملات کلاسیک به گره های محیطی شبکه است.
هر سال، بر اساس نتایج تستهای نفوذ، سرویسهایی را مشخص میکنیم که اغلب با استفاده از رمزهای عبور فرهنگ لغت به آنها دسترسی داشتهاند. این آمار در درجه اول برای مدیران سیستمبه آنها یادآوری شود که پس از نصب و راه اندازی سرویس جدید، از رمزهای عبور قوی استفاده کنند و حساب های استاندارد را به موقع جایگزین کنند.
در پایان سال 2017 مشخص شد که کاربران عادیو مدیران اغلب از ترکیب کلیدهای نزدیک روی صفحه کلید به عنوان رمز عبور خود استفاده می کنند و معتقدند که هیچ چیز طولانی نیست رمز عبور معنی دار(به عنوان مثال، zaq12wsxcde3 یا poiuytrewq) قادر خواهد بود از آنها در برابر دسترسی غیرمجاز محافظت کند. با این حال، این یک نظر اشتباه است: با وجود پیچیدگی ظاهری رمز عبور، همه این ترکیبات کلیدی مدتهاست که در فرهنگ لغتهای ویژه گنجانده شدهاند و حمله brute force چند دقیقه طول میکشد.
Qwerty، Zaq1xsw2و سایر ترکیبات کلیدهای بسته روی صفحه کلید محبوب ترین رمز عبور هستند، از جمله در میان کاربران ممتاز
نتیجه
سیستم های اطلاعاتی شرکت ها هنوز در برابر حملات مزاحمان خارجی و داخلی آسیب پذیر هستند. اگر هنگام انجام آزمایش نفوذ خارجی، شرکتهای بیشتری وجود داشته باشند که نگران امنیت محیط شبکه خود هستند، پس هنگام آزمایش امنیت یک سیستم شرکتی از طرف یک مهاجم داخلی، وضعیت بسیار بدتر است. در سال 2017، از طرف یک مهاجم خارجی که از جمله روشهای مهندسی اجتماعی و حملات به شبکههای بیسیم استفاده میکرد، در 68 درصد کارها میتوان بر محیط شبکه غلبه کرد. در همان زمان، از طرف خودی، کنترل کامل بر منابع LANدر تمام پروژه ها بدون استثنا به دست آمد - با وجود ابزارهای فنی و اقدامات سازمانی مورد استفاده در شرکت ها برای محافظت از اطلاعات.
- استفاده از رمزهای عبور ساده و فرهنگ لغت را متوقف کنید، قوانین سختگیرانه ای را برای خط مشی رمز عبور شرکتی ایجاد کنید و بر اجرای آنها نظارت کنید.
- حفاظت اضافی برای حساب های دارای امتیاز (به عنوان مثال، مدیران دامنه) ارائه دهید. استفاده از احراز هویت دو مرحله ای تمرین خوبی است.
- از حفاظت زیرساخت در برابر حملاتی که با هدف بازیابی حسابها از حافظه سیستمعامل انجام میشود، اطمینان حاصل کنید. برای انجام این کار، در تمام ایستگاههای کاری کاربران ممتاز، و همچنین در تمام گرههایی که با استفاده از حسابهای دارای امتیاز با آنها ارتباط برقرار میشود، نسخههای ویندوز بالاتر از 8.1 را نصب کنید و کاربران دامنه ممتاز را در گروه کاربران محافظت شده قرار دهید. علاوه بر این، میتوانید از نسخههای مدرن ویندوز 10 استفاده کنید که سیستم Remote Credential Guard را پیادهسازی میکنند، که به شما امکان میدهد فرآیند سیستم lsass.exe را از دسترسی غیرمجاز ایزوله و محافظت کنید.
- اطمینان حاصل کنید که اطلاعات حساس مورد علاقه یک مهاجم به صورت باز (مثلاً در صفحات یک برنامه وب) ذخیره نمی شود. چنین اطلاعاتی ممکن است شامل اعتبار برای دسترسی به منابع مختلف، دفترچه آدرس شرکت باشد آدرس ایمیلو شناسه دامنه کارمندان و غیره
- تعداد سرویس ها را در محیط شبکه محدود کنید، مطمئن شوید که رابط های باز برای اتصال باید واقعاً برای همه کاربران اینترنت در دسترس باشد.
- به روز رسانی های امنیتی سیستم عامل و آخرین نسخه های نرم افزار کاربردی را به موقع نصب کنید.
- تجزیه و تحلیل امنیتی شبکه های بی سیم را انجام دهید. توجه ویژهارزش توجه به قابلیت اطمینان روش های احراز هویت مورد استفاده و همچنین تنظیم جداسازی کاربران نقطه دسترسی را دارد.
- به طور منظم، آموزش کارکنان را با هدف بهبود شایستگی آنها در مسائل امنیت اطلاعات با نظارت بر نتایج انجام دهید.
- از سیستم SIEM برای شناسایی به موقع حملات استفاده کنید. فقط شناسایی به موقع یک حمله به شرکت اجازه می دهد تا قبل از اینکه مهاجم آسیب قابل توجهی به شرکت وارد کند، از آن جلوگیری شود.
- برای محافظت از برنامه های وب - نصب کنید دیواره آتشلایه برنامه وب (فایروال برنامه وب).
- انجام منظم تست نفوذ به منظور شناسایی به موقع بردارهای حمله در سیستم شرکت و ارزیابی اثربخشی در عمل اقدامات انجام شدهحفاظت.
این فهرست جامع نیست، اما عدم رعایت حتی یک مورد می تواند منجر به سازش کامل سیستم شرکتی شود و تمام هزینه ها برای وسایل مختلف گران قیمت و سیستم های حفاظتی غیر قابل توجیه خواهد بود. یک رویکرد یکپارچه برای امنیت اطلاعات بهترین محافظت از یک سیستم اطلاعاتی شرکتی در برابر هر متجاوز است.
هنگامی که سیستم عامل شما آماده راه اندازی شد، زمان آن است که دقیقاً نوع تحقیقی را که قرار است انجام دهید، تعریف کنید. به طور کلی، چهار نوع از این مطالعات را می توان متمایز کرد:- ارزیابی آسیب پذیری سیستم؛
- ارزیابی سیستم ها برای انطباق با استانداردهای ایمنی؛
- تست نفوذ سیستم سنتی؛
- تحقیقات کاربردی.
قبل از اینکه به شرح انواع خاصی از اقدامات برای ارزیابی امنیت سیستم ها بپردازیم، بیایید در مورد تفاوت آسیب پذیری ها با اکسپلویت ها صحبت کنیم.
آسیب پذیری را می توان به عنوان نقصی در یک سیستم اطلاعاتی تعریف کرد که می تواند برای به خطر انداختن محرمانه بودن، یکپارچگی یا در دسترس بودن آن مورد سوء استفاده قرار گیرد. انواع مختلفی از آسیب پذیری ها وجود دارد که ممکن است با آنها مواجه شوید. در اینجا به برخی از آنها اشاره می کنیم:
11.2.2. ارزیابی سیستم ها برای انطباق با استانداردهای ایمنی
پیچیده ترین نوع تحقیق بعدی، ارزیابی سیستم ها برای انطباق با استانداردهای امنیتی است. این تست های سیستمی رایج ترین هستند، زیرا بر اساس تأیید الزامات تجویز شده توسط استانداردهای دولتی و صنعتی است که برای سازمان ها اعمال می شود.استانداردهای امنیتی تخصصی زیادی وجود دارد، با این حال، رایج ترین استاندارد امنیت داده صنعت کارت پرداخت (PCI DSS) است. این استاندارد توسط شرکت هایی که کارت های پرداخت را صادر می کنند، ایجاد شده است. باید با سازمان هایی که پرداخت های کارتی را پردازش می کنند مطابقت داشته باشد. اگر در مورد استانداردهای رایج دیگر صحبت کنیم، میتوان به راهنمای پیادهسازی فنی امنیتی آژانس سیستمهای اطلاعات دفاعی (DISA STIG)، برنامه مدیریت ریسک و مجوز فدرال (FedRAMP)، قانون مدیریت امنیت اطلاعات فدرال (FISMA) و غیره اشاره کرد.
یک مشتری شرکتی می تواند یک مطالعه مشابه را سفارش دهد یا برای نتایج یک مطالعه قبلی در مورد آن درخواست دهد دلایل مختلف. به ویژه، ممکن است ابتکار عمل از طرف خود مشتری باشد، یا ممکن است مجبور به انجام یک بررسی اجباری شود. در هر صورت، چنین مطالعاتی به عنوان «ارزیابی ایمنی سیستم» یا «مطالعات انطباق امنیتی» یا «ممیزی های امنیتی» نامیده می شود.
ارزیابی یک سیستم برای انطباق با استانداردها معمولاً با تجزیه و تحلیل آسیب پذیری آغاز می شود. در مورد روش حسابرسی PCI، ارزیابی آسیبپذیری، در صورت انجام مناسب، میتواند چندین مورد از الزامات اصلی استاندارد را برآورده کند. از جمله آنها شرط 2 است: "از رمزهای عبور و سایر پیش فرض های سیستم که توسط سازنده تنظیم شده است استفاده نکنید." تجزیه و تحلیل سیستم در برابر این نیاز را می توان با استفاده از ابزارهایی از دسته منو حمله رمز عبور (شک کردن رمزهای عبور) انجام داد. بعد شرط 11 است: "آزمایش منظم سیستم ها و فرآیندهای امنیتی را انجام دهید." بررسی مربوطه را می توان با استفاده از ابزارهای دسته ارزیابی پایگاه داده انجام داد. برخی الزامات را نمی توان با استفاده از ابزارهای اسکن آسیب پذیری معمولی تأیید کرد. از جمله آنها الزام 9 است: «محدود کردن دسترسی فیزیکیبه داده های دارنده کارت» و 12: «توسعه و حفظ خط مشی امنیت اطلاعات برای همه پرسنل سازمان». تلاش های بیشتری برای تأیید چنین الزاماتی مورد نیاز است.
در نگاه اول، ممکن است کاملاً واضح به نظر نرسد که چگونه از Kali Linux برای انجام برخی بررسی ها استفاده کنید. با این حال، کالی برای حل چنین مشکلاتی عالی است و نه تنها به دلیل مجموعه غنی ابزار استاندارد، بلکه به این دلیل که مبتنی بر Debian است که امکان نصب بسیاری را باز می کند برنامه های کاربردی اضافی. میتوانید با استفاده از برنامههایی که عملکردهای مورد نیاز را در مدیریت بستهها پیادهسازی میکنند، جستجو کنید کلید واژه ها، برگرفته از استاندارد امنیت اطلاعات استفاده شده است. چنین جستجویی تقریباً به طور قطع به نتایج قابل توجهی ختم خواهد شد. در حال حاضر، بسیاری از سازمانها از کالی لینوکس بهعنوان یک پلتفرم مخصوص ارزیابی سیستمها از نظر انطباق با استانداردهای امنیتی استفاده میکنند.
11.2.3. تست نفوذ سنتی
اخیراً یافتن تعریف مناسب برای «آزمون نفوذ سنتی» مشکل شده است. واقعیت این است که چنین تست هایی در زمینه های مختلف فعالیت مورد استفاده قرار می گیرند، در نتیجه هرکسی آنها را به روش خود توصیف می کند. این واقعیت که "تست نفوذ" به طور فزاینده ای به عنوان ارزیابی سیستم هایی که در بالا توضیح داده شد برای انطباق با استانداردهای امنیتی یا حتی ارزیابی معمول آسیب پذیری ها نامیده می شود، به سردرگمی اضافه می شود. در چنین مواردی، مطالعه فراتر از حداقل الزامات خاص نمی رود.در این بخش به اختلافات در مورد ویژگی های انواع تست های سیستمی نمی پردازیم. در اینجا ما در مورد تحقیقاتی صحبت خواهیم کرد که با برخی از "حداقل الزامات" محدود نمی شوند. اینها مطالعاتی هستند که به گونه ای طراحی شده اند که پس از انجام آنها واقعاً می توان پیشرفت کرد امنیت عمومیسازمان های.
برخلاف انواع تحقیقاتی که قبلاً مورد بحث قرار گرفتیم، آزمونهای نفوذ سنتی اغلب با تعریف محدوده شروع نمیشوند. در عوض، آنها اهداف خاصی را تعیین می کنند. به عنوان مثال: "عواقب در معرض خطر قرار گرفتن یک کاربر داخلی" را شبیه سازی کنید، یا: "پیدا کنید که اگر سازمانی توسط یک مهاجم خارجی هدف قرار گیرد چه اتفاقی می افتد". وجه تمایز کلیدی چنین مطالعاتی این است که در جریان اجرای آنها، نه تنها آسیب پذیری ها پیدا و ارزیابی می شوند، بلکه از مشکلات یافت شده نیز برای کشف بدترین سناریوها استفاده می شود.
تست نفوذ تنها به ابزارهای اسکن آسیب پذیری متکی نیست. کار با بررسی یافتهها، استفاده از اکسپلویت یا آزمایش برای از بین بردن موارد مثبت کاذب، انجام هر کاری که ممکن است برای کشف آسیبپذیریهای پنهان یا آنچه ما منفیهای کاذب مینامیم، ادامه مییابد.
چنین تحقیقاتی اغلب شامل بهرهبرداری از آسیبپذیریهای کشفشده، ارزیابی سطح دسترسی که اکسپلویتها فراهم میکنند و بهرهبرداری از آن است. سطح پیشرفتهدسترسی به عنوان نقطه شروع برای حملات اضافی به سیستم هدف.
این نیاز به تجزیه و تحلیل انتقادی از محیط هدف، جستجوی دستی برای آسیب پذیری ها، خلاقیت و توانایی تفکر خارج از چارچوب دارد. اینها همه رویکردهایی برای کشف آسیبپذیریهای اضافی هستند که به ابزارهای دیگری نیاز دارند که میتوانند آسیبپذیریها را در جایی پیدا کنند که تواناییهای قدرتمندترین آنها به پایان میرسد. اسکنرهای خودکار. اغلب، پس از اتمام این مرحله، کل فرآیند بارها و بارها شروع می شود تا از تکمیل و کیفیت بالا اطمینان حاصل شود.
با وجود پیچیدگی و تطبیق پذیری تست نفوذ سنتی، دوره چنین مطالعه ای را می توان در چند مرحله ساده کرد. شایان ذکر است که کالی انتخاب نرم افزار را برای هر یک از این مراحل ساده می کند. بنابراین، اینجا طرح گام به گامتست نفوذ با نظرات در مورد ابزارهای مورد استفاده:
- مجموعه اطلاعات. در این مرحله، تلاش پنتستر این است که تا حد امکان در مورد محیط هدف بیاموزد. معمولا این فعالیت غیر تهاجمی است و مانند فعالیت عادی کاربر به نظر می رسد. این فعالیتها پایه و اساس بقیه مراحل تحقیق را تشکیل میدهند و بنابراین باید به جمعآوری تا حد امکان دادهها در مورد سیستم منجر شوند. بخش جمعآوری اطلاعات در منوی برنامههای کاربردی کالی لینوکس حاوی دهها ابزار با هدف افشای هرچه بیشتر اطلاعات در مورد سیستم مورد مطالعه است.
- تشخیص آسیب پذیری این مرحله اغلب به عنوان "جمع آوری اطلاعات فعال" نامیده می شود. متخصص، در تلاش برای شناسایی آسیبپذیریهای بالقوه در محیط هدف، هنوز به سیستم حمله نکرده است، اما قبلاً متفاوت از آن رفتار میکند. کاربر معمولی. این جایی است که اسکن آسیب پذیری که در بالا توضیح داده شد اغلب انجام می شود. در این مرحله از مطالعه، برنامه هایی از بخش های تجزیه و تحلیل آسیب پذیری (تحلیل آسیب پذیری)، تجزیه و تحلیل برنامه های کاربردی وب (تحلیل برنامه های کاربردی وب)، ارزیابی پایگاه داده (پژوهش پایگاه داده)، و مهندسی معکوس مفید خواهد بود.
- بهره برداری از آسیب پذیری ها متخصص با داشتن فهرستی از آسیبپذیریهای احتمالی کشفشده، در این مرحله از تحقیق، سعی میکند از آنها برای یافتن جای پایی در محیط هدف استفاده کند. در این مورد، ابزارهایی که در دسته بندی های Web Application Analysis (Analysis of web applications)، Database Assessment (تحقیق پایگاه های داده)، Password Attacks (Cracking Password) و Exploitation Tools (Vulnerability Exploitation tools) یافت می شوند، مفید هستند.
- نفوذ به سیستم ها و استخراج بی صدا داده ها. پس از اینکه محقق توانست در سیستم جای پایی به دست آورد، باید ادامه دهید. به عنوان یک قاعده، در این مرحله، فرد به دنبال راهی برای افزایش امتیازات به سطحی است که برای رسیدن به سیستمهای هدفی که قبلاً غیرقابل دسترس بودند و به طور مخفیانه اطلاعات مخفی را از آنها استخراج میکند، ضروری است. در این مرحله میتوانید به بخشهایی از منوی برنامه مانند حملات رمز عبور (شک کردن رمزهای عبور)، ابزارهای بهرهبرداری (ابزارهای بهرهبرداری آسیبپذیری)، Sniffing & Spoofing (Sniffing و جعل) و Post Exploitation (اقدامات پس از بهرهبرداری از یک آسیبپذیری) دسترسی داشته باشید.
- تهیه گزارشات. پس از اتمام فاز فعال مطالعه، مستندسازی اقدامات انجام شده و تهیه گزارش ضروری است. معمولاً این مرحله از نظر فنی مانند مراحل قبلی پیچیده نیست. با این حال، به لطف گزارش های با کیفیت، مشتری می تواند بازده کامل کار انجام شده را دریافت کند، بنابراین اهمیت این مرحله از مطالعه را دست کم نگیرید. ابزارهای مناسب را میتوانید در بخش گزارش ابزارهای منوی برنامهها پیدا کنید.
از جمله مواردی که اغلب با آن مواجه می شوند تنظیمات پیشرفتهکالی لینوکس را می توان به موارد زیر اشاره کرد:
- پیش نصب بسته های تجاری دارای مجوز. به عنوان مثال، بسته ای مانند یک اسکنر آسیب پذیری پولی وجود دارد که قرار است در بسیاری از جلسات تست نفوذ استفاده شود. به منظور اجتناب از نصب این بسته بر روی هر کپی مستقر شده از Kali، می توانید آن را در سیستم ادغام کنید. در نتیجه، این بسته بر روی هر استقرار کالی نصب خواهد شد.
- VPN از پیش پیکربندی شده با اتصال معکوس. این یک ویژگی بسیار مفید برای دستگاه هایی است که عمداً در شبکه تحت بررسی وصل شده اند. چنین دستگاه هایی امکان تحقیقات "درونی از راه دور" را فراهم می کنند. دستگاه اتصال پشتی به کامپیوتر پنتستر متصل می شود و یک تونل ایجاد می کند که می توان از آن برای اتصال به سیستم های داخلی. ISO توزیع Doom کالی لینوکس نمونه ای از چنین راه اندازی سیستم خاصی است.
- ابزارها و برنامه های از پیش نصب شده طراحی خودمان. بسیاری از سازمانها جعبههای ابزار اختصاصی مورد نیاز برای جلسات تست نفوذ دارند، بنابراین نصب از قبل آنها هنگام ساخت یک تصویر سیستم سفارشی باعث صرفهجویی در زمان میشود.
- پیکربندی اولیه سیستم عامل، از جمله - تنظیم نمایش نام میزبان به آدرس های IP، تصویر زمینه دسکتاپ، تنظیمات سرور پروکسی و غیره. بسیاری از کاربران کالی تنظیمات خاص سیستم را ترجیح می دهند. اگر می خواهید سیستم خود را به طور منظم مجدداً نصب کنید، ذخیره این تنظیمات ممکن است منطقی باشد.
11.2.4. تحقیقات کاربردی
بیشتر فعالیتها برای ارزیابی امنیت سیستمها دامنه وسیعی دارند. یکی از ویژگی های تحقیقات کاربردی این واقعیت است که یک برنامه خاص در حال مطالعه است. چنین مطالعاتی به دلیل پیچیدگی کاربردهای حیاتی مورد استفاده شرکت ها رایج تر می شوند. بسیاری از این برنامه ها ساخته شده اند به تنهاییاین شرکت ها در صورت لزوم، تحقیقات کاربردی می تواند مکمل سایر انواع تحقیقات باشد. از جمله انواع برنامه های کاربردی که می توان از نظر امنیت بررسی کرد موارد زیر است:- برنامه های کاربردی وب این برنامهها اغلب توسط مهاجمان هدف قرار میگیرند، زیرا از طریق اینترنت در دسترس هستند، معمولاً سطح حمله قابل توجهی دارند. تست های استاندارداغلب مشکلات اساسی برنامه وب را آشکار می کند. با این حال، یک مطالعه دقیق تر، اگرچه ممکن است زمان زیادی طول بکشد، به شما امکان می دهد نقص های برنامه پنهان را پیدا کنید. برای انجام چنین تست هایی می توانید از متاپکیج kali-linux-web استفاده کنید که حاوی ابزارهای مفید زیادی است.
- برنامه های دسکتاپ به صورت فایل های اجرایی توزیع می شوند. برنامه های سرور تنها هدف مهاجمان نیستند. برنامه های دسکتاپ نیز مستعد حملات هستند. در سال های گذشته بسیاری از برنامه های دسکتاپمانند پیدیافخوانها یا برنامههای ویدیویی که از منابع اینترنتی استفاده میکنند، مورد حملات بسیاری قرار گرفتهاند که منجر به بهبود آنها شده است. با این حال، هنوز بسیاری از برنامه های دسکتاپ وجود دارد که در آنها، با رویکرد درست، می توانید آسیب پذیری های زیادی پیدا کنید.
- برنامه های موبایل. با افزایش محبوبیت دستگاه های تلفن همراه، برنامه های تلفن همراه در حال تبدیل شدن به موضوعات ثابت تحقیقات امنیتی هستند. این کاربردها بسیار سریع در حال توسعه و تغییر هستند، بنابراین روش تحقیق در این زمینه هنوز به بلوغ کافی نرسیده است که منجر به ظهور منظم، تقریباً هفتگی، روشهای جدید میشود. ابزارهای مربوط به مطالعه اپلیکیشن های موبایل را می توانید در قسمت منوی اپلیکیشن مهندسی معکوس لینوکس کالی (مهندسی معکوس) مشاهده کنید.
سناریوهای تحقیق کاربردی پیشرفته تری وجود دارد. چنین مطالعاتی را می توان به صورت تعاملی انجام داد. از مدل های جعبه سیاه و سفید استفاده می کنند.
- تحقیق جعبه سیاه ابزار (یا کاوشگر) بدون داشتن دانش خاصی در مورد آن، یا دسترسی ویژه به آن، فراتر از توانایی های یک کاربر معمولی، با برنامه تعامل می کند. به عنوان مثال، در مورد یک برنامه وب، محقق ممکن است فقط به ویژگی ها و عملکرد دسترسی داشته باشد برای کاربر باز شود، که در سیستم مجاز نیست. هر حساب کاربری استفاده شده همان حسابی خواهد بود که یک کاربر معمولی می تواند به تنهایی ثبت نام کند. با این کار مهاجم از تجزیه و تحلیل عملکردی که فقط برای کاربران ممتاز در دسترس است، جلوگیری میکند که حسابهای آنها باید توسط یک سرپرست ایجاد شود.
- تحقیق جعبه سفید این ابزار (یا کاوشگر) اغلب به کد منبع برنامه، دسترسی مدیریتی به پلتفرمی که روی آن در حال اجراست و غیره دسترسی کامل دارد. این تضمین می کند که یک تجزیه و تحلیل کامل و کامل از تمام ویژگی های برنامه، صرف نظر از اینکه عملکرد مورد مطالعه در کجا قرار دارد، انجام می شود. عیب چنین مطالعه ای این است که تقلیدی از اقدامات واقعی یک مهاجم نیست.
در موارد دیگر، در جایی که محقق ندارد، ممکن است از رویکرد ترکیبی استفاده شود دسترسی کاملبه کد منبع برنامه برای پلتفرمی که روی آن اجرا می شود، اما حسابی که به آن داده شده توسط مدیر تهیه شده است و امکان دسترسی به بسیاری از ویژگی های برنامه را می دهد.
کالی پلتفرم ایده آل برای همه رویکردهای تحقیق کاربردی است. پس از نصب توزیع استاندارد، در اینجا می توانید بسیاری از اسکنرهای طراحی شده برای برنامه های خاص را پیدا کنید. همچنین ابزارهایی برای تحقیقات پیشرفته تر وجود دارد. از جمله ویرایشگرهای کد منبع و محیط های اسکریپت نویسی هستند. در تحقیقات کاربردی، ممکن است خودتان را پیدا کنید مواد مفیداز بخش اضافه کردن برچسب