IB NPA

شناسایی آسیب پذیری های سیستم های اطلاعاتی

سرگئی کونووالنکو

فارغ التحصیل مدرسه عالی نظامی کراسنودار،

روسیه، کراسنودار

ایگور کورولف

دکترای مهندسی، پروفسور، استاد گروه فناوری اطلاعات حفاظت شده، مدرسه عالی نظامی کراسنودار،

روسیه، کراسنودار

حاشیه نویسی

ارزیابی شد وجوه موجودتجزیه و تحلیل امنیتی سیستم های اطلاعاتیکه بر اساس آن مدل هایی برای شناسایی، شناسایی و ارزیابی تصاویر آسیب پذیری های سیستم های اطلاعاتی ساخته شده است. ویژگی های اصلی (عناصر) ذاتی در تصاویر آسیب پذیری های موجود سیستم های اطلاعاتی تعیین می شود.

خلاصه

ارزیابی ابزارهای موجود برای تجزیه و تحلیل امنیت سیستم های اطلاعاتی انجام شد. بر اساس نتایج به‌دست‌آمده، مدل‌های تشخیص، شناسایی و ارزیابی تصاویر آسیب‌پذیری سیستم‌های اطلاعاتی ساخته شد. ویژگی‌های اصلی (عناصر) ذاتی تصاویر آسیب‌پذیری‌های سیستم‌های اطلاعاتی موجود تعریف شد.

کلید واژه ها:تشخیص؛ سیستم اطلاعات؛ شناسایی؛ مقطع تحصیلی؛ شرح تصویر؛ آسیب پذیری

کلید واژه ها:تشخیص؛ سیستم اطلاعات؛ شناسایی؛ ارزیابی؛ شرح تصویر؛ آسیب پذیری

هر سیستم اطلاعاتی (از این پس به عنوان IS نامیده می شود) دارای آسیب پذیری های خاصی است که لیست آنها کاملاً گسترده است و دائماً در معرض به روز رسانی (گسترش) است. آسیب پذیری های IS به دلیل کاستی ها (خطاهایی) است که در طول "چرخه حیات" این سیستم رخ می دهد. در این شکل، امکان تحقق تهدیدات امنیتی IP به طور مستقیم به اقدامات یک مهاجم برای شناسایی و استفاده از آسیب پذیری های ذاتی آن بستگی دارد. از سوی دیگر، فرآیند شناسایی آسیب‌پذیری‌های IS که توسط یک متخصص انجام می‌شود، برای مقابله با مهاجم در مراحل اولیه حملات، اساسی است.

هدف این مقاله ساخت مدل‌های تعمیم‌یافته برای شناسایی، شناسایی و ارزیابی تصاویر آسیب‌پذیری IS و همچنین تعیین ویژگی‌ها (عناصر) ذاتی در تصاویر آسیب‌پذیری‌های موجود است که به متخصص این امکان را می‌دهد تا کار خود را در این زمینه بهتر نظام‌بندی کند. تضمین امنیت داعش تحت کنترل

طبق GOST R 56545-2015، "آسیب پذیری" یک نقص (ضعف) ابزار نرم افزار (نرم افزار و سخت افزار) یا IS به عنوان یک کل است که (که) می تواند برای اجرای تهدیدات علیه امنیت اطلاعات استفاده شود. "سیستم اطلاعاتی" مجموعه ای از اطلاعات موجود در پایگاه های داده (از این پس به عنوان DB نامیده می شود) و فن آوری های اطلاعاتی و ابزارهای فنی است که پردازش آن را تضمین می کند.

هر آسیب‌پذیری IS را می‌توان به‌عنوان تصویری نشان داد که شامل مجموعه‌ای از ویژگی‌های خاص (عناصر توصیف‌کننده این آسیب‌پذیری) است که بر اساس قوانین خاصی شکل گرفته‌اند.

شرح آسیب پذیری IS اطلاعاتی در مورد آسیب پذیری شناسایی شده (کشف شده) است. قوانین برای توصیف یک آسیب پذیری IP مجموعه ای از مقرراتی است که ساختار و محتوای شرح آسیب پذیری را تنظیم می کند.

با توجه به تصاویر آسیب‌پذیری‌ها به تصاویر آسیب‌پذیری‌های شناخته شده، تصاویر آسیب‌پذیری‌های روز صفر و تصاویر آسیب‌پذیری‌های تازه شناسایی شده تقسیم می‌شوند. آسیب پذیری شناخته شده آسیب پذیری است که برای عموم منتشر شده است و اقدامات مناسب حفاظت از اطلاعات، رفع نقص ها و به روز رسانی های مرتبط را شرح می دهد. آسیب‌پذیری روز صفر آسیب‌پذیری است که قبل از انتشار اقدامات حفاظتی اطلاعات مربوطه، رفع نقص یا به‌روزرسانی‌های مربوطه توسط توسعه‌دهنده مؤلفه IS مشخص می‌شود. آسیب پذیری تازه شناسایی شده آسیب پذیری است که به طور عمومی افشا نشده است.

هر نوع از تصاویر آسیب پذیری IS دارای هر دو ویژگی (عناصر) عمومی و خاص است که می توان آنها را در یک جدول خلاصه کرد. یک جدول نمونه در زیر نشان داده شده است.

میز 1.

عناصر انواع مختلف تصاویر آسیب پذیری IP

	ویژگی های تصویر آسیب پذیری	عنصر ذاتی در الگوی آسیب پذیری شناخته شده	عنصر ذاتی در تصویر آسیب‌پذیری روز صفر	عنصر ذاتی در تصویر یک آسیب پذیری تازه شناسایی شده
	محل تشخیص (تشخیص) آسیب پذیری در IS.
	روشی برای تشخیص (شناسایی) یک آسیب پذیری.
	نام آسیب پذیری.

قبل از اینکه به سراغ مدل‌هایی برای شناسایی، شناسایی و ارزیابی آسیب‌پذیری‌ها برویم، لازم است توضیح دهیم که IS از سطوح زیر تشکیل شده است:

• سطح نرم افزار کاربردی (از این پس نرم افزار نامیده می شود) که مسئول تعامل با کاربر است.
• سطح سیستم مدیریت پایگاه داده (از این پس DBMS نامیده می شود) که مسئول ذخیره و پردازش داده های IS است.
• سطح سیستم عامل (که از این پس سیستم عامل نامیده می شود) که مسئول سرویس DBMS و نرم افزار کاربردی است.
• سطح شبکه مسئول تعامل گره های IS.

هر یک از سطوح IS با انواع مختلف (کلاس) آسیب پذیری مرتبط است. برای شناسایی آسیب‌پذیری‌ها، لازم است مدل‌هایی برای شناسایی، شناسایی و ارزیابی آسیب‌پذیری‌ها ایجاد شود.

منابع اصلی آسیب‌پذیری IS عبارتند از:

• خطا در توسعه (طراحی) IS (به عنوان مثال، خطا در نرم افزار)؛
• خطا در اجرای IS (خطاهای مدیر IS) (به عنوان مثال، تنظیمات یا پیکربندی نادرست نرم افزار، مفهوم ناکارآمد خط مشی امنیتی و غیره)؛
• خطاهای هنگام استفاده از IS (خطاهای کاربر) (به عنوان مثال، رمزهای عبور ضعیف، نقض خط مشی امنیتی و غیره).

برای شناسایی، شناسایی و ارزیابی آسیب‌پذیری‌های IS، و همچنین تولید گزارش‌ها و حذف (خنثی‌سازی) آسیب‌پذیری‌ها، از ابزارهای تحلیل امنیت شبکه (از این پس SAZ نامیده می‌شود) (اسکنرهای امنیتی (از این پس SB نامیده می‌شود) استفاده می‌شود که می‌توان آنها را تقسیم کرد. به دو نوع:

• شبکه SAZ (SB) (انجام تجزیه و تحلیل از راه دور وضعیت میزبان های کنترل شده در سطح شبکه).
• SAZ (SB) سطح سیستم عامل (انجام تجزیه و تحلیل محلی از حالات میزبان های کنترل شده، گاهی اوقات لازم است یک عامل ویژه بر روی میزبان های کنترل شده نصب شود).

ارتباط استفاده از SAZ (SB) به این دلیل است که یک متخصص می تواند از قبل لیستی به اندازه کافی بزرگ از انواع (کلاس) آسیب پذیری های ذاتی IS کنترل شده را تعیین کند و اقدامات لازم را انجام دهد (در برخی موارد، سعی کنید آنها را حذف کنید یا احتمال استفاده از آسیب پذیری های شناسایی شده توسط مهاجم را حذف کنید (به حداقل برسانید).

برای سیستماتیک کردن کار یک متخصص در زمینه امنیت، کنترل شده توسط IS و بر اساس تجزیه و تحلیل، یک مدل تعمیم یافته برای شناسایی تصاویر آسیب پذیری های IS ساخته شده است (شکل 1).

شکل 1. مدل تعمیم یافته برای شناسایی تصاویر آسیب پذیری های IS

فرآیند شناسایی آسیب‌پذیری‌های IS با انجام بررسی‌های غیرفعال (اسکن) و بررسی‌های فعال (کاوش) برای وجود آسیب‌پذیری‌ها در IS کنترل‌شده ساخته می‌شود.

در فرآیند اسکن، SAS با ارسال درخواست‌های مناسب به آدرس IS کنترل‌شده (به درگاه‌های میزبان کنترل‌شده)، بنرهای برگشتی (هدر بسته‌های داده) را تجزیه و تحلیل می‌کند و در مورد نوع IS و نتیجه‌گیری مناسب می‌گیرد. وجود آسیب پذیری های بالقوه (احتمالی) آن. نتیجه اسکن همیشه صد درصد وجود آسیب‌پذیری‌های احتمالی (معمولی) IS را نشان نمی‌دهد، زیرا محتوای متنی بنر را می‌توان به‌طور خاص اصلاح کرد، یا آسیب‌پذیری‌های شناخته شده ذاتی این IS توسط یک متخصص در فرآیند اجرای آن حذف شدند. (استفاده کنید). روش دیگر برای انجام اقدامات اسکن، بررسی‌های کاوشگر فعال است که توانایی تجزیه و تحلیل اثر انگشت (اثرانگشت) بازگشتی یک قطعه از نرم‌افزار IP کنترل‌شده (یعنی انجام فرآیند مقایسه نتیجه با اثر انگشت دیجیتالی آسیب‌پذیری شناخته‌شده را فراهم می‌کند. از این نوعاست). این روشیک روش مطمئن تر و دقیق تر برای شناسایی آسیب پذیری های احتمالی (معمولی) IS کنترل شده ارائه می دهد.

در طول فرآیند کاوش، SAS با استفاده از تصویر یک آسیب‌پذیری احتمالی (معمولی) به‌دست‌آمده در حین اسکن، اجرای یک حمله به یک IS کنترل‌شده را شبیه‌سازی می‌کند. نتیجه فرآیند کاوش دقیق ترین و اطلاعات قابل اعتماددر مورد وجود آسیب پذیری های کنترل شده IS. این روش همیشه مورد استفاده قرار نمی گیرد، زیرا احتمال نقص (غیرفعال) IS کنترل شده وجود دارد. تصمیم به استفاده از روش فوق توسط مدیر شبکه در موارد اجرای ناکارآمد و یا نیاز به تایید نتایج بررسی های پویش و کاوش فعال می باشد.

نتایج اسکن و کاوش به پایگاه داده آسیب‌پذیری ارسال می‌شود که تصاویر آسیب‌پذیری‌های IS کنترل‌شده را ذخیره می‌کند. بر اساس روش مقایسه تصویر آسیب‌پذیری شناسایی‌شده با تصاویر آسیب‌پذیری IS کنترل‌شده، SAS گزارشی درباره عدم وجود یا وجود موارد مشابه در تصاویر آسیب‌پذیری (تشخیص آسیب‌پذیری) ایجاد می‌کند که در پایگاه داده آسیب‌پذیری ذخیره می‌شود.

مدل تعمیم یافته برای شناسایی و ارزیابی تصاویر آسیب پذیری IS جزئیات مدل تعمیم یافته برای شناسایی تصاویر آسیب پذیری ها را ارائه می دهد (شکل 2).

شکل 2. مدل تعمیم یافته برای شناسایی و ارزیابی تصاویر آسیب پذیری های IS

فرآیند شناسایی یک تصویر از آسیب‌پذیری IS شناسایی‌شده، که دارای ویژگی‌های (عناصر) خاص است، با استفاده از روشی برای مقایسه آن با تصاویر آسیب‌پذیری‌های شناخته شده و آسیب‌پذیری‌های روز صفر ذخیره‌شده در پایگاه داده آسیب‌پذیری انجام می‌شود. شرح رسمی آسیب‌پذیری‌های شناخته شده و آسیب‌پذیری‌های روز صفر در قالب گذرنامه‌هایی صادر می‌شود که حاوی اطلاعاتی درباره ویژگی‌های خاص (عناصر) یک آسیب‌پذیری خاص است. برای شناسایی دقیق تصویر یک آسیب‌پذیری کشف‌شده، باید حاوی اطلاعاتی درباره نام و نسخه نرم‌افزار IS که آسیب‌پذیری در آن یافت شده است، درباره شناسه، نام و کلاس آسیب‌پذیری کشف‌شده باشد. بر اساس اطلاعات فوق، CAS تصویر آسیب‌پذیری شناسایی‌شده را با یکی از انواع تصاویر آسیب‌پذیری مرتبط می‌کند. برای ارزیابی کیفی، تصویر آسیب‌پذیری شناسایی‌شده، به نوبه خود، باید حاوی اطلاعاتی درباره شناسه و نوع نقص IS باشد که آسیب‌پذیری در آن شناسایی شده است، درباره محل آسیب‌پذیری در IS، و در مورد روش تشخیص آسیب‌پذیری. فرآیند ارزیابی تصویر آسیب‌پذیری با ایجاد توصیه‌هایی برای حذف آسیب‌پذیری یا حذف احتمال بهره‌برداری از آن به پایان می‌رسد. در مواردی که تصویری از یک آسیب‌پذیری تازه شناسایی شده کشف شد، CAS اطلاعات مربوط به آن را با تشکیل یک پاسپورت آسیب‌پذیری روز صفر جدید در پایگاه داده آسیب‌پذیری قرار می‌دهد. هنگامی که یک توسعه دهنده IP اقدامات حفاظت از اطلاعات را صادر می کند، به روز رسانی های لازمو هنگامی که ایرادات برطرف شد، آسیب‌پذیری روز صفر به وضعیت آسیب‌پذیری شناخته شده تبدیل می‌شود.

با جمع بندی نتایج این مقاله، خاطرنشان می کنیم که یک متخصص امنیت IP موظف است به طور مداوم برای شناسایی آسیب پذیری ها در سیستم کار کند، فرآیندهای رخ داده در SAS را به وضوح درک و درک کند، به روز رسانی (گسترش) پایگاه داده آسیب پذیری ها را نظارت کند، به موقع. رفع نواقص در سیستم، ایجاد اقدامات حفاظتی مناسب و به روز رسانی IP کنترل شده.

کتابشناسی - فهرست کتب:

1. استاخوف A.S. تجزیه و تحلیل امنیتی شبکه های خودکار شرکتی // خبرنامه جت اطلاعات. - 2002. - شماره 7 (110). / – [ منبع الکترونیکی]. – حالت دسترسی: URL: http://www.jetinfo.ru
2. گورباتوف V.S., Meshcheryakov A.A. تحلیل تطبیقیکنترل های امنیتی شبکه کامپیوتری// امنیت فناوری اطلاعات. - 2013. - شماره 1. / - [منبع الکترونیکی]. – حالت دسترسی: URL: http://www.bit.mephi.ru
3. GOST R 56545-2015 "امنیت اطلاعات. آسیب پذیری های سیستم های اطلاعاتی قوانینی برای توصیف آسیب پذیری ها - M.: Standartinform، 2015.
4. GOST R 56546-2015 "امنیت اطلاعات. آسیب پذیری های سیستم های اطلاعاتی طبقه بندی آسیب پذیری های سیستم های اطلاعاتی. - M.: Standartinform، 2015.
5. لوکاتسکی A.V. یک اسکنر امنیتی چگونه کار می کند؟ / - [منبع الکترونیکی]. – حالت دسترسی: http://www.citforum.ru/security/internet/scanner.shtml (تاریخ دسترسی: 1395/09/14).
6. لوکاتسکی A.V. تشخیص حمله - سنت پترزبورگ. : BVH Publishing House, 2001. - 624 p.
7. راهنمای کاربر بسته نرم افزاری"ابزار تحلیل امنیتی Scanner-VS". NPESh.00606-01. CJSC NPO Echelon، 2011.
8. اسکنر امنیتی XSPider. راهنمای مدیر / – [منبع الکترونیکی]. – حالت دسترسی: http://www.ptsecurity.ru (تاریخ دسترسی: 2016/09/15).
9. اسکنر امنیتی MaxPatrol سیستم کنترل امنیتی / - [منبع الکترونیکی]. – حالت دسترسی: http://www.ptsecurity.ru (تاریخ دسترسی: 2016/09/16).
10. استیون نورثکات، جودی نواک. تشخیص نقض امنیت در شبکه ها ویرایش سوم: پر. از انگلیسی. – M.: انتشارات ویلیامز، 2003. – S. 265–280.

ما به بررسی تغییرات اخیر در دستور FSTEC شماره 17 روسیه ادامه می دهیم. این بار - تجزیه و تحلیل آسیب پذیری GIS.

اکنون تجزیه و تحلیل آسیب پذیری GIS برای 3 مرحله از 6 مرحله چرخه حیات امنیت GIS مورد نیاز است: الزامات، اجرا و اعتبار سنجی.

1. در مرحله تحلیل تهدیدات امنیت اطلاعات GIS، لازم است تحلیل شود ممکن استآسیب پذیری های IS، با استفاده از BDU FSTEC روسیه، و همچنین سایر منابع داده در مورد آسیب پذیری ها به عنوان داده های اولیه. توضیحات باید در مدل تهدید گنجانده شود ممکن استآسیب پذیری های IS

تفاوت اصلی با سایر مراحل در کلمه "ممکن" نهفته است. واقعی نیست، اما ممکن است. و با یک تخیل خوب، همه چیز با ما امکان پذیر خواهد بود. تا آنجا که من درک می کنم، باید نوعی طبقه بندی از همه آسیب پذیری های احتمالی وجود داشته باشد و انواع نامناسب آسیب پذیری ها را حذف کرد. دلایل خاصی(عدم وجود یک هدف، ویژگی های ساختاری خاص، فناوری اطلاعات استفاده نشده).

مشکل این است که چنین طبقه بندی آسیب پذیری در FSTEC BDU در بخش آسیب پذیری وجود ندارد. علاوه بر این، بخش آسیب پذیری تنها آسیب پذیری های نرم افزار واقعی را فهرست می کند. اما در مورد آسیب پذیری های GIS به طور کلی چطور؟ معایب سازمان. معیارهای؟

در واقع، فهرست چنین آسیب‌پذیری‌های احتمالی به شکلی بدون ساختار در متن تهدیدات FSTEC BDU پنهان شده است: این تهدیدبه دلیل آسیب پذیری های برخی از بردهای سیستم (مادربرد) - وجود مکانیسم ها هارد ریسترمزهای عبور تنظیم شده در BIOS/UEFI" یا "این تهدید به دلیل ضعف در فیلترینگ ترافیک شبکه و مکانیزم های کنترل آنتی ویروس در سطح سازمان است."

2. در مرحله پیاده سازی یک سیستم امنیت اطلاعات، نیاز به تجزیه و تحلیل واقعی از آسیب پذیری ها می باشد.

"هنگام تجزیه و تحلیل آسیب پذیری های یک سیستم اطلاعاتی، عدم وجود آسیب پذیری های شناخته شدهابزارهای حفاظت از اطلاعات، سخت افزار و نرم افزار، از جمله در نظر گرفتن اطلاعات در دسترس توسعه دهندگان و به دست آمده از سایر منابع عمومی، نصب و پیکربندی صحیحابزار حفاظت از اطلاعات، سخت افزار و نرم افزار، و همچنین صحت کارابزار محافظت از اطلاعات در تعامل آنها با سخت افزار و نرم افزار.

با توجه به نتایج تجزیه و تحلیل آسیب پذیری، باید باشد تایید شدهکه در سیستم اطلاعاتی هیچ آسیب‌پذیری در پایگاه داده تهدید وجود نداردامنیت اطلاعات FSTEC روسیه و همچنین سایر منابع یا استفاده از آنها (عملیات) توسط متخلف غیرممکن است.

اما خوب است که آسیب پذیری ها دارای فیلدهایی مانند Manufacturer، Software Name، Software Version باشند. با تهیه لیست کامل نرم افزار از قبل، می توانید آسیب پذیری های لازم را انتخاب کنید. اما با نتایج چه باید کرد؟ به عنوان مثال، برای ویندوز 8.1 247 آسیب پذیری در BDU وجود دارد. بعد، در هر یک باید پیوند را دنبال کنید منابع خارجیو آنچه در آنجا برای از بین بردن آسیب پذیری ها پیشنهاد شده است را بررسی کنید، بررسی کنید به روز رسانی های نصب شدهبرای این آسیب پذیری ها

دستی دشوار است. من دوست دارم اسکنرهای آسیب پذیری بتوانند با OBD کار کنند و همه چیز را برای ما انجام دهند. بیایید نگاهی بیندازیم…

RedCheckاز Altex-Soft: "RedCheck آسیب‌پذیری‌ها را در پایگاه داده ovaldb ما جستجو می‌کند، که با پایگاه داده تهدیدات امنیت اطلاعات FSTEC روسیه هماهنگ شده است! شما می توانید لیست آسیب پذیری ها را در وب سایت پایگاه داده https://ovaldb.altx-soft.ru/Definitions.aspx?refsource=FSTEC مشاهده کنید.

به نظر می رسد خوب است. تنها حیف آخرین آسیب پذیری در پیوند است - از سال 2016. و در BDU در حال حاضر یک دسته برای سال 2017 وجود دارد.

حسابرس شبکه 3.0از CBI: "ممیز شبکه در ابتدا آسیب پذیری های موجود در BDU FSTEC روسیه (http://bdu.fstec.ru) موجود در سیستم های عاملویندوز و برنامه ها و ابزارهای حفاظت از اطلاعات که در آنها کار می کنند، از جمله آنهایی که در روسیه توسعه یافته اند. علاوه بر جستجوی آسیب‌پذیری‌ها از پایگاه داده آسیب‌پذیری‌های FSTEC روسیه، Network Inspector 3.0 Network Scanner آسیب‌پذیری‌های موجود در منابعی مانند cve.mitre.org، ovaldb.altx-soft.ru، microsoft.com و منابع دیگر را جستجو می‌کند. . ”

XSpiderاز Positive Technologies "قطعا چنین فرصتی وجود خواهد داشت. در ماه ژوئنبه عنوان بخشی از تأیید مجدد XSpider، مجموعه ای با چنین عملکردی به آزمایشگاه آزمایش FSTEC منتقل می شود.

Scanner-VSاز Echelon "Scanner-VS از جستجوی آسیب پذیری ها مطابق با BDU FSTEC روسیه پشتیبانی می کند." درست است، تجربه نشان داده است که نسخه فعلی و گواهی شده پشتیبانی نمی کند.

در مجموع در آینده این امکان وجود دارد که اسکنرها همه کاری را برای ما انجام دهند اما در این لحظهمن گزارش آماده ای که عدم وجود آسیب پذیری را از FSTEC BDU تأیید کند، پیدا نکردم. بله، و با ارتباط سوالات پایگاه داده - لازم است نتایج را به دقت بررسی کنید و احتمالاً به صورت دستی آخرین آسیب پذیری ها را بررسی کنید.

علاوه بر این، فراموش نکنید که تجزیه و تحلیل آسیب پذیری ها همچنین شامل تجزیه و تحلیل تنظیمات سیستم امنیت اطلاعات، نرم افزار و سخت افزار و تجزیه و تحلیل صحت عملکرد سیستم امنیت اطلاعات است.

3. در مرحله صدور گواهینامه، آزمایشات زیر الزامی است تجزیه و تحلیل آسیب‌پذیری‌های سیستم اطلاعاتی، از جمله آسیب‌پذیری‌های ناشی از تنظیم نادرست(پیکربندی) نرم افزار و ابزار امنیت اطلاعات”در این مورد، به عنوان داده های اولیه، نتایج تحلیل آسیب پذیری سیستم اطلاعاتی. به طور کلی چطور است؟

آیا ما فقط کارهایی را که در مرحله اجرا انجام دادیم تکرار می کنیم؟ با در نظر گرفتن آخرین الزاماتبرای جداسازی گواهی‌دهنده‌ها و اجراکنندگان، ظاهراً در اینجا آنها روی یک تجزیه و تحلیل تکراری مستقل و انتخابی حساب می‌کنند.

معرفی

زیرساخت فناوری اطلاعات شرکتی یک مکانیسم پیچیده چند جزئی است که برای خودکارسازی فرآیندهای تجاری یک شرکت طراحی شده است. زیرساخت دامنه، خدمات پستی، برنامه های کاربردی وب، سیستم های تجاری - همه اینها اساس هر سیستم اطلاعات شرکتی است. بسته به مقیاس شرکت و تعداد کارکنان آن، اندازه زیرساخت فناوری اطلاعات نیز متفاوت خواهد بود. با این حال، با وجود این، اکثر شرکت ها دارند مشکلات رایجمربوط به ارائه امنیت اطلاعاتسیستم های اطلاعاتی. بنابراین، در طول گسترش ویروس رمزگذاری WannaCry، بیش از 500000 رایانه تحت تأثیر قرار گرفتند که از جمله به سازمان‌های دولتی تعلق داشتند. شرکت های بزرگو سازمان های تجاری کوچک. این حادثه تأیید می کند که مطلقاً هر سازمانی می تواند از حملات مخرب رنج ببرد.

این مطالعه روندهای اصلی در زمینه تجزیه و تحلیل امنیتی سیستم های اطلاعات شرکت را تعریف می کند و به شما امکان می دهد تعیین کنید:

• محتمل ترین بردارهای حمله ای که یک مهاجم می تواند برای دسترسی به منابع از آنها استفاده کند چیست؟ شبکه شرکتی;
• چه آسیب‌پذیری‌هایی در محیط شبکه رایج‌تر هستند.
• اقدامات مهاجمی که به منابع LAN دسترسی دارد چقدر خطرناک است.
• چه نقایص امنیتی به مهاجم اجازه می دهد تا حداکثر امتیازات را در آن کسب کند زیرساخت های شرکتی;
• آیا حملاتی که از روش‌های مهندسی اجتماعی استفاده می‌کنند مرتبط هستند یا خیر.
• نحوه استفاده از حملات به شبکه های بی سیم برای دسترسی به منابع شبکه داخلی

به عنوان پایه ای برای آماده سازی این مطالعهما از داده های آماری برای سال 2017 استفاده کردیم که از تجزیه و تحلیل امنیت سیستم های اطلاعات شرکتی انجام شده توسط متخصصان فناوری های مثبت به دست آمده است. نتایج به دست آمده ممکن است منعکس کننده وضعیت فعلی امنیت سیستم های اطلاعاتی در سایر شرکت ها نباشد. هدف از این مطالعه جلب توجه متخصصان امنیت اطلاعات به مبرم‌ترین مشکلات و کمک به شناسایی و رفع آسیب‌پذیری‌ها به موقع است.

1. خلاصه

تجزیه و تحلیل امنیت محیطی شبکه:

• امکان غلبه بر محیط شبکه و دسترسی به منابع LAN در 68٪ از پروژه ها برای تجزیه و تحلیل امنیت سیستم های اطلاعات شرکت وجود داشت.
• انتخاب حساب‌های فرهنگ لغت برای منابع در محیط شبکه و بهره‌برداری از آسیب‌پذیری‌های برنامه‌های وب، بردارهای اصلی حمله برای نفوذ هستند. شبکه داخلی;
• با توجه به نتایج اسکن ابزاری منابع محیطی شبکه، مشخص شد که 31٪ از شرکت ها در معرض خطر آلودگی با ویروس رمزگذاری WannaCry قرار دارند.

تجزیه و تحلیل امنیت منابع داخلی:

• هنگام تست نفوذ از طرف یک مهاجم داخلی تسلط کاملدر کل زیرساخت موفق به دریافت در همه سیستم ها شد.
• MS17-010 در 60 درصد از سیستم‌های شرکتی که بین 14 آوریل تا 31 دسامبر 2017 آزمایش شده‌اند یافت شد، که نشان می‌دهد به‌روزرسانی‌های امنیتی حیاتی سیستم‌عامل به موقع نصب نشده‌اند.
• محافظت ناکافی در برابر بازیابی حساب ها از حافظه سیستم عامل آسیب پذیری اصلی است که به شما امکان می دهد کنترل کاملی بر سیستم اطلاعات شرکت داشته باشید.

ارزیابی آگاهی کارکنان:

• 26% از کارمندان پیوندی را به یک منبع وب فیشینگ دنبال می‌کنند و تقریباً نیمی از آنها اعتبار خود را در فرم احراز هویت جعلی وارد می‌کنند.
• هر ششم کارمند زیرساخت های شرکت را در معرض خطر عفونت ویروسی قرار می دهد.

تجزیه و تحلیل امنیت شبکه های بی سیم:

• در 75 درصد موارد، یک مهاجم از طریق حملات به شبکه های بی سیم می تواند به منابع شبکه داخلی دسترسی پیدا کند و همچنین اطلاعات حساسی را به دست آورد (به عنوان مثال، حساب های کاربری دامنه).

2. داده های اولیه

آمار سال 2017 بر اساس نتایج تجزیه و تحلیل امنیتی 22 سیستم شرکتی متعلق به شرکت های روسی و خارجی از بخش های مختلف اقتصاد است. هنگام انتخاب پروژه ها برای مطالعه، محتوای اطلاعاتی نتایج به دست آمده در نظر گرفته شد. پروژه هایی که بنا به درخواست مشتریان انجام شد تعداد محدودگره ها در این مطالعه گنجانده نشدند، زیرا آنها وضعیت واقعی امنیت سیستم اطلاعات شرکت را به عنوان یک کل منعکس نمی کنند. همانند سال 2016، بخش عمده ای از کارهای تست نفوذ برای موسسات مالی و شرکت های صنعتی انجام شد. حملات موفقیت آمیز به سیستم های شرکتی در بخش های مالی و صنعتی معمولاً مجرمان سایبری را به همراه دارند حداکثر سود. حمله موفقیت آمیز به زیرساخت های بانک اغلب مستقیماً به سرقت منجر می شود پول. نفوذ یک مزاحم به شبکه داخلی یک شرکت صنعتی نه تنها می تواند منجر به نشت اطلاعات حساس شود که بعداً می تواند به شرکت های رقیب فروخته شود، بلکه باعث اختلال در روند فناوری می شود.

تجزیه و تحلیل امنیت شبکه های شرکتی با استفاده از ابزارهای خارجی، داخلی و تست جامعنفوذ (آخرین شامل خارجی و داخلی می شود). تست نفوذ - روش موثرتجزیه و تحلیل امنیتی، که به شما امکان می دهد آسیب پذیری ها را در زیرساخت شرکت شناسایی کنید و یک ارزیابی عینی و مستقل از سطح امنیتی آن بدست آورید. در طول آزمایش، اقدامات یک مهاجم بالقوه شبیه سازی می شود و حملاتی را هم از طریق اینترنت و هم از بخش هایی از شبکه داخلی شرکت انجام می دهد. این رویکرد به شما امکان می دهد شرایطی را که معمولاً متخلفان در آن کار می کنند دوباره ایجاد کنید و به سرعت نقص های حفاظتی را از بین ببرید.

برای دومین سال متوالی، شاهد علاقه مندی به خدمات یکپارچه هستیم. مشتریان ما نه تنها برای محافظت از محیط شبکه خود در برابر حملات یک مزاحم خارجی، بلکه همچنین برای کاهش خطرات مرتبط با به خطر افتادن LAN توسط یک مهاجم داخلی تلاش می کنند.

علاوه بر تست نفوذ، برای بسیاری از مشتریان، کار برای تجزیه و تحلیل امنیت شبکه های بی سیم و ارزیابی آگاهی کارکنان در مسائل امنیت اطلاعات نیز انجام شد.

در سال جاری، نتایج تجزیه و تحلیل امنیت محیطی شبکه به‌دست‌آمده در طول آزمایش نفوذ خارجی، نه تنها با نتایج مطالعه سال گذشته، بلکه با آمارهای به‌دست‌آمده در طول مطالعه ابزاری، که در دوره توزیع فعال انجام شد، مقایسه می‌شود. ویروس باج افزار WannaCry در سه ماهه دوم سال 2017، Positive Technologies یک اسکن محیطی خارجی رایگان برای شناسایی خدمات آسیب پذیر ارائه کرد. درخواست های 26 شرکت از مناطق مختلفاقتصاد. آمار مربوط به تست نفوذ خارجی در مقایسه با نتایج تحقیقات ابزاری بعداً در بخش مربوطه به تفصیل مورد بحث قرار خواهد گرفت.

3. آمار برای سال 2017

3.1. نتایج کلی تحلیل امنیتی

به عنوان یک قاعده، هنگام تجزیه و تحلیل امنیت در هر سیستم، متخصصان ما آسیب‌پذیری‌ها و ضعف‌های خاصی را در مکانیسم‌های حفاظتی کشف می‌کنند، که، از جمله موارد دیگر، امکان توسعه یک بردار حمله را تا به خطر انداختن کامل زیرساخت‌های شرکت، دسترسی به اطلاعات حساس، انجام حملات انکار سرویس و غیره. ما همه آسیب‌پذیری‌ها را به سه دسته تقسیم می‌کنیم: آسیب‌پذیری‌های مربوط به نقص‌های پیکربندی. مربوط به عدم به روز رسانی امنیتی؛ مربوط به خطا در کد برنامه وب برای هر آسیب‌پذیری شناسایی شده، درجه شدت آن مطابق با سیستم طبقه‌بندی CVSS نسخه 3.0 تعیین می‌شود.

18 سال- سن قدیمی ترین آسیب پذیری CVE-1999-0532 که در طی تجزیه و تحلیل ابزاری منابع محیطی شبکه کشف شد

در مقایسه با سال گذشته، نسبت سیستم‌های شرکتی که در آن‌ها آسیب‌پذیری‌های با شدت بحرانی (CVSS ≥ 9.0) کشف شده‌اند، تقریباً دو برابر شده است. این عمدتا به دلیل انتشار اطلاعات مربوط به آسیب پذیری حیاتی MS17-010 در سرویس SMB میزبان هایی است که تحت کنترل ویندوز. پس از انتشار اکسپلویت‌های در دسترس عموم در بسیاری از پروژه‌های آزمایش نفوذ داخلی، متخصصان ما از این آسیب‌پذیری برای به دست آوردن کنترل کامل بر گره‌های LAN و توسعه حمله تا رسیدن به حداکثر امتیازات در دامنه استفاده کردند.

برای سیستم‌هایی که خطا در کد برنامه وب و کاستی‌های مربوط به عدم به‌روزرسانی امنیتی در آن‌ها شناسایی نشده است، باید در نظر داشت که تست نفوذ با استفاده از روش جعبه سیاه انجام می‌شود و شناسایی تمام موارد موجود غیرممکن است. آسیب پذیری در محدوده کار هدف اصلی از تست نفوذ، به دست آوردن یک ارزیابی عینی از امنیت یک سیستم شرکتی در برابر حملات مزاحم است.

3.2. نتایج تحلیل امنیت محیطی شبکه

نتایج تست نفوذ خارجی

در پایان سال 2017، امنیت محیط شبکه سیستم های اطلاعات شرکت ها در سطح سال 2016 باقی ماند. با این حال، تمایل به کاهش پیچیدگی غلبه بر محیط شبکه وجود دارد. اگر در سال 2016 تنها در 27 درصد از پروژه ها، دشواری دسترسی به منابع LAN به عنوان پیش پا افتاده ارزیابی می شد، در پایان سال 2017 این رقم دو برابر شد و به 56 درصد رسید.

10 — حداکثر تعدادبردارهای نفوذ به شبکه داخلی، شناسایی شده در طی آزمایش یک سیستم اطلاعات شرکت در سال 2017

این توزیع با این واقعیت توضیح داده می شود که برای دستیابی به منابع LAN، یک مهاجم به طور متوسط ​​باید دو مرحله را انجام دهد: به عنوان مثال، اعتبار فرهنگ لغت را برای مجوز در یک برنامه وب دریافت کند و از آسیب پذیری های آن برای به دست آوردن توانایی اجرا استفاده کند. دستورات سیستم عامل بر روی میزبان مورد حمله.

با توجه به نتایج تجزیه و تحلیل امنیتی سیستم های اطلاعات شرکت ها، به طور متوسط ​​در هر شرکت دو بردار نفوذ به شبکه داخلی شناسایی می شود که حداکثر تعداد بردارهای شناسایی شده برای یک شرکت 10 است.

می توانید تمام بردارهای موفق نفوذ در شبکه داخلی را به دسته های زیر تقسیم کنید:

• 44 درصد از بردارهای حمله موفق بر اساس انتخاب اعتبار فرهنگ لغت برای دسترسی به برنامه های کاربردی وب، DBMS و سایر خدمات موجود برای اتصال در محیط شبکه است. سپس مهاجم می تواند دستورات سیستم عامل را بر روی میزبان مورد حمله اجرا کند.
• 28 درصد از بردارهای حمله مبتنی بر بهره برداری از آسیب پذیری های برنامه های وب هستند. بلافاصله در طی چندین آزمایش خارجی، آسیب‌پذیری‌هایی شناسایی شدند که در یک مرحله، بدون نیاز به مجوز، اجازه می‌دهند تا دستورات سیستم‌عامل را از راه دور با امتیازات یک برنامه وب اجرا کنند.
• در 16٪ موارد، مهاجم می تواند با سوء استفاده از آسیب پذیری ها در نسخه های نرم افزار قدیمی (مثلاً در سیستم عامل های CMS) به منابع شبکه داخلی دسترسی پیدا کند.
• در موارد دیگر، مهاجم می‌تواند از نقص‌های پیکربندی مربوط به افشای اعتبار برای دسترسی به سیستم‌های موجود در محیط شبکه در حوزه عمومی، مانند صفحات برنامه وب، برای حمله استفاده کند. علاوه بر این، مواردی شناسایی شد که متخصصان ما یک مترجم وب قبلا دانلود شده را در منبع وب شرکت آزمایش شده پیدا کردند. خط فرمان، که نشان دهنده حملات موفقیت آمیز توسط نفوذگران خارجی است.

پنج آسیب پذیری رایج در محیط شبکه شامل همان آسیب پذیری های سال 2016 است، اما درصد آنها تغییر کرده است. می توان به یک روند نزولی کلی در میانگین تعداد آسیب پذیری های شناسایی شده در طول آزمایش نفوذ خارجی اشاره کرد. به عنوان مثال، در سال 2016، در تمام سیستم های آزمایش شده، آسیب پذیری های مربوط به استفاده از اعتبار فرهنگ لغت شناسایی شد، در سال 2017 این رقم به نصف کاهش یافت. چنین نتایجی به این دلیل است که بسیاری از شرکت ها قبلاً امنیت سیستم های شرکت خود را تجزیه و تحلیل کرده اند. در نتیجه چنین کاری، مشتریان با موفقیت بیشتر آسیب‌پذیری‌ها و نقص‌های پیکربندی شناسایی‌شده را تصحیح کردند و شروع به کنترل دقیق‌تر مطابقت با سیاست‌های رمز عبور داخلی کردند. بر این اساس، زمانی که تست نفوذ خارجی پس از یک سال و نیم تکرار شد، آسیب پذیری های کمتری کشف شد که در نهایت تاثیر مثبتی بر نتایج کلیدر سال 2017

همانطور که در سال 2016، اغلب آسیب‌پذیری‌ها در محیط شبکه در برنامه شناسایی می‌شوند. نرم افزارو وب سرورها

نتایج تحلیل ابزاری امنیت محیطی

همانطور که قبلا ذکر شد، در سه ماهه دوم سال 2017، Positive Technologies تبلیغاتی را در این زمینه برگزار کرد اسکن رایگانمحیط خارجی تعدادی از شرکت ها به منظور شناسایی خدمات آسیب پذیر. هدف اصلی مقابله با گسترش ویروس رمزگذاری WannaCry بود. درخواست‌های اسکن ابزاری منابع محیطی شبکه توسط 26 شرکت از بخش‌های مختلف اقتصاد ارسال شد: شرکت‌های فناوری اطلاعات و مخابرات، خرده‌فروشان بزرگ، شرکت‌هایی از بخش مالی و صنعت نفت و گاز.

همه شرکت ها ابتدا باید مرزهای سیستم های شرکتی خود را مشخص می کردند. قبلاً در این مرحله، برخی از شرکت کنندگان با مشکلاتی روبرو بودند: 23٪ نتوانستند مرزهای محیط شبکه خود را تعیین کنند یا آنها را به اشتباه تعیین کردند. عدم توانایی در تعیین مرزهای محیط شبکه در حال حاضر شاهدی بر امنیت پایین سیستم اطلاعات شرکت در برابر حملات یک مزاحم خارجی است - حتی قبل از دریافت نتایج تجزیه و تحلیل دستی یا ابزاری سیستم شرکت.

اسکن محیط شبکه با استفاده از سیستم تجزیه و تحلیل امنیتی خودکار MaxPatrol و کنترل انطباق و نرم افزار اضافی انجام شد. اسکن‌ها آسیب‌پذیری‌های زیادی را نشان دادند: 15٪ از آنها طبق مقیاس نسخه 2.0 CVSS دارای سطح خطر بالایی هستند و سوء استفاده‌های عمومی برای سوء استفاده از برخی از آسیب‌پذیری‌ها وجود دارد.

به طور جداگانه، ما می توانیم آماری را در مورد محبوب ترین آسیب پذیری های شناسایی شده در حین اسکن ابزاری محیط شبکه در نظر بگیریم. در میان این آسیب پذیری ها، CVE-2016-6515 در سرویس OpenSSH خطرناک ترین است. هنگام وارد کردن رمز عبور برای احراز هویت در برنامه، محدودیتی در تعداد کاراکترهای وارد شده وجود ندارد. این کمبودبه یک مهاجم راه دور اجازه می دهد تا حملات انکار سرویس را انجام دهد. همچنین یک اکسپلویت 1 در دسترس عموم برای بهره برداری از این آسیب پذیری وجود دارد. علاوه بر این، اگر یک مهاجم بتواند اعتبار اتصال SSH را به صورت بی رحمانه اعمال کند و امتیازات کاربر را در یک سیستم یونیکس به دست آورد، وجود آسیب‌پذیری CVE-2016-10010 در OpenSSH به او این امکان را می‌دهد که به صورت محلی امتیازات خود را به حداکثر در میزبان در معرض خطر افزایش دهد. با استفاده از اکسپلویت 2 دیگر، و سپس حمله به منابع LAN را توسعه دهید.

هنگام تجزیه و تحلیل سرویس های موجود در محیط، بیشترین تعداد آسیب پذیری در برنامه های کاربردی وب و خدمات دسترسی از راه دور (SSH) یافت شد. این نتایج تجزیه و تحلیل ابزاری با آمارهای به‌دست‌آمده در طول آزمایش نفوذ خارجی، که در آن آسیب‌پذیری‌ها و نقص‌های پیکربندی در برنامه‌های کاربردی وب در بیشتر موارد نقطه شروع برای دسترسی به منابع LAN بود، مطابقت دارد.

در طول تجزیه و تحلیل ابزاری برنامه های کاربردی وب موجود، آمار به طور جداگانه در مورد وضعیت گواهینامه های SSL جمع آوری شد. بیش از یک چهارم گواهی‌ها در زمان اسکن منقضی شده بودند، 15٪ از الگوریتم‌های رمزنگاری ضعیف (مانند SHA-1) استفاده می‌کردند، و از هر شش گواهی یک مورد برای بیش از 5 سال صادر می‌شد.

استفاده از گواهینامه های SSL منقضی شده خطرات اعتباری را برای شرکت ها به همراه دارد، زیرا کاربر پس از دریافت هشدار در پنجره مرورگر در مورد استفاده از گواهی نامعتبر در برنامه، ممکن است از بازدید از منبع وب خودداری کند.

استفاده از الگوریتم‌های رمزگذاری ضعیف، کل نکته استفاده از گواهی‌های SSL را باطل می‌کند، زیرا مهاجم می‌تواند ترافیک شبکه را رهگیری کند و سپس با موفقیت داده‌های دریافتی را رمزگشایی کند. علاوه بر این، یک مهاجم می تواند گواهی SSL را جعل کند و سایت فیشینگ خود را ایجاد کند تا کاربران را با بدافزار آلوده کند و اعتبار آنها را بدزدد. در عین حال، کاربران ممکن است پس از بازدید از وب سایت شرکت قانونی فکر کنند که رایانه های آنها آلوده شده است.

اگر گواهی SSL برای یک دوره بیش از 5 سال صادر شود، خطرات مرتبط با امکان انتخاب یک کلید رمزگذاری وجود دارد.

بیایید به هدف اصلی اسکن ابزاری منابع محیطی شبکه برگردیم. 8 شرکت از 26 شرکت دارای هاست خارجی بودند پورت باز 445/TCP با سرویس SMB در حال اجرا. بنابراین، زیرساخت تقریباً هر سومین شرکت در معرض خطر آلودگی با ویروس رمزگذاری WannaCry قرار داشت.

31% شرکت‌ها در معرض خطر ابتلا به ویروس باج‌افزار WannaCry قرار گرفتند

3.3. نتایج تجزیه و تحلیل منابع داخلی

در صورت حمله موفقیت آمیز به منابع محیطی شبکه، یک مهاجم خارجی می تواند به شبکه داخلی دسترسی پیدا کند و حمله را تا کنترل کامل بر کل زیرساخت فناوری اطلاعات شرکت توسعه دهد.

همانطور که در سال 2016، هنگام آزمایش نفوذ از طرف یک مهاجم داخلی (به عنوان مثال، یک کارمند معمولی یک شرکت با دسترسی به بخش کاربری شبکه)، امکان کنترل کامل بر کل زیرساخت در تمام سیستم های آزمایش شده وجود داشت. . تنها در 7 درصد از پروژه ها، مشکل دسترسی به منابع حیاتی توسط یک مهاجم داخلی به عنوان "متوسط" رتبه بندی شد. در تمام موارد دیگر، یک متخلف غیر ماهر می تواند کل سیستم شرکت را به خطر بیندازد.

یک بردار حمله معمولی در شبکه داخلی مبتنی بر کسب حداکثر امتیازات در یکی از گره‌های LAN و به دنبال آن راه‌اندازی نرم‌افزار تخصصی برای استخراج اعتبار سایر کاربرانی بود که قبلاً به این گره متصل شده بودند. با تکرار این مراحل در هاست های مختلف، مهاجم در نهایت می تواند میزبانی را که حساب مدیر دامنه را ذخیره می کند پیدا کند و رمز عبور خود را در آن دریافت کند. فرم باز.

در 60 درصدسیستم های شرکتی که از 14 آوریل تا 31 دسامبر 2017 آزمایش شدند، آسیب پذیری MS17-010 کشف شد.

در سال 2017، پس از انتشار اطلاعات مربوط به آسیب‌پذیری MS17-010، کار دستیابی به حداکثر امتیازات در میزبان شبکه داخلی برای یک مهاجم بسیار ساده‌تر شد. در ۱۴ مارس ۲۰۱۷، مایکروسافت به‌روزرسانی‌ای را منتشر کرد که این آسیب‌پذیری را برطرف می‌کرد و دقیقاً یک ماه بعد، در ۱۴ آوریل، گروه هکر Shadow Brokers اکسپلویت EternalBlue 3 را برای بهره‌برداری از آن منتشر کرد. از اواسط آوریل تا پایان سال، متخصصان ما با موفقیت از این اکسپلویت در 60 درصد از آزمایش‌های نفوذ داخلی استفاده کردند که نشان‌دهنده نصب دیرهنگام به‌روزرسانی‌های امنیتی حیاتی سیستم عامل در اکثر سیستم‌های شرکتی است.

در اواخر سال 2017، سیستم‌های شرکتی با به‌روزرسانی‌هایی که آسیب‌پذیری حیاتی MS17-010 را برطرف می‌کنند، رایج‌تر شدند. با این حال، چندین پروژه در میزبان های ویندوز موفق شدند از آسیب پذیری مهم دیگری برای افزایش امتیاز محلی، همانطور که در بولتن امنیتی MS17-018 توضیح داده شده است، سوء استفاده کنند. همچنین یک سوء استفاده برای این آسیب پذیری وجود دارد که به صورت عمومی در دسترس نیست.

آمار رایج ترین آسیب پذیری ها در شبکه داخلی در مقایسه با سال 2016 تقریباً بدون تغییر باقی مانده است. استثنا است دسته بندی جدید"محافظت ناکافی در برابر بازیابی حساب ها از حافظه سیستم عامل." در گره های LAN که دارای ویندوز هستند، می توان رمزهای عبور را به صورت متن ساده (یا مجموع هش آنها) از حافظه سیستم با استفاده از نرم افزار ویژه دریافت کرد - در صورتی که مجرم دارای امتیازات باشد. مدیر محلی. پیش از این، ما این آسیب‌پذیری را به نقص نرم‌افزار آنتی‌ویروس نسبت می‌دادیم، که باید راه‌اندازی هرگونه ابزار مخرب برای استخراج اعتبار را مسدود کند. با این حال، اخیراً تغییراتی در چنین ابزارهایی منتشر شده است که به زبان PowerShell نوشته شده اند، که به طور خاص برای دور زدن مسدود کردن راه اندازی توسط هر نرم افزار آنتی ویروس طراحی شده اند. اکنون، برای محافظت در برابر استخراج اعتبار از حافظه سیستم عامل، لازم است از یک رویکرد یکپارچه استفاده شود، از جمله ممنوعیت ذخیره داده های کش شده، تسریع در پاکسازی حافظه فرآیند lsass.exe از حساب های کاربری که به پایان رسیده است. جلسه، و غیرفعال کردن مکانیسم wdigest. علاوه بر این، مدرن نسخه های ویندوز 10، که سیستم Remote Credential Guard را پیاده سازی کرد، که اجازه می دهد تا فرآیند سیستم lsass.exe را از دسترسی غیرمجاز ایزوله و محافظت کند. بنابراین، در سال 2017، به منظور ارزیابی عینی وضعیت مکانیسم‌های حفاظت از شبکه شرکت، معیار جداگانه‌ای را برای جمع‌آوری آمار در مورد راه‌اندازی ابزارهای طراحی شده برای استخراج اعتبار معرفی کردیم.

در 14 درصد از سیستم‌های شرکتی که آسیب‌پذیری «حفاظت ناکافی در برابر بازیابی حساب‌ها از حافظه سیستم‌عامل» یافت نشد، از سایر بردارهای حمله برای به دست آوردن کنترل کامل بر زیرساخت شرکت استفاده شد.

آمار مربوط به نقص های امنیتی در پروتکل های خدمات بر اساس پروژه هایی ساخته شده است که در آن تجزیه و تحلیل شبکه انجام شده است. ترافیک LAN(71 درصد شرکت ها). در برخی از پروژه‌ها، مشتریان با چنین چک‌هایی مخالف بودند، زیرا می‌توانست منجر به تخلف شود کار مداومشبکه های.

با توجه به نتایج آزمایش داخلی، مشخص شد که مشکلات اصلی سیستم های اطلاعات شرکت نصب نابهنگام به روز رسانی های امنیتی مهم و محافظت ناکافی در برابر بازیابی حساب ها از حافظه سیستم عامل با استفاده از ابزارهای تخصصی است.

4. نتایج ارزیابی آگاهی کارکنان از مسائل امنیت اطلاعات

علاوه بر تست نفوذ سیستم‌های اطلاعات شرکت‌ها، تعدادی از شرکت‌ها میزان آگاهی کارکنان را در مسائل امنیت اطلاعات ارزیابی کردند. چنین کاری بر اساس سناریوهای از قبل توافق شده با مشتری انجام می شود که در آن حملات واقعی توسط متجاوزان با استفاده از روش های مهندسی اجتماعی شبیه سازی شده و واکنش کارکنان به این حملات رصد می شود.

آزمایش کارمندان به دو روش انجام شد - با استفاده از پست ایمیل هاو در تعامل تلفنی برای به دست آوردن یک ارزیابی عینی از سطح آگاهی کارکنان، رویدادهای کنترل شده زیر مورد تجزیه و تحلیل قرار گرفت:

• دنبال کردن پیوندی به منبع وب مهاجم؛
• وارد کردن اعتبار به یک فرم احراز هویت عمداً نادرست؛
• راه اندازی فایل ضمیمه نامه؛
• واقعیت تعامل با مهاجم از طریق تلفن یا ایمیل.

با توجه به نتایج کار، مشخص شد که 26٪ از کارمندان پیوندی را به یک منبع وب فیشینگ دنبال می کنند و تقریباً نیمی از آنها پس از آن اعتبار خود را در یک فرم احراز هویت جعلی وارد می کنند. هر ششم کارمند زیرساخت های شرکت را با اجرای فایل پیوست شده به نامه در معرض خطر آلودگی ویروس قرار می دهد. علاوه بر این، 12 درصد از کارکنان آماده هستند تا با متخلف وارد گفتگو شوند و اطلاعاتی را افشا کنند که بعداً می تواند در حملات به سیستم اطلاعات شرکت مورد استفاده قرار گیرد.

در مجموع، هنگام ارزیابی آگاهی کارکنان در سال 2017، بیش از 1300 نامه ارسال شد که نیمی از آنها حاوی پیوندی به یک منبع فیشینگ بود و دومی حاوی یک فایل با یک اسکریپت خاص بود که اطلاعات متخصصان ما را در مورد زمان باز کردن پرونده ارسال می کرد. و همچنین آدرس ایمیل کارمند. یک مهاجم واقعی می‌تواند مجموعه‌ای از اکسپلویت‌ها را با هدف سوءاستفاده از آسیب‌پذیری‌های مختلف، از جمله CVE-2013-3906، CVE-2014-1761 و CVE-2017-0199، به محتوای فایل اضافه کند. چنین حمله ای می تواند منجر به این شود که مهاجم کنترل ایستگاه کاری کاربر مربوطه را به دست آورد و گسترش یابد کد مخرب، محرومیت از خدمات و سایر پیامدهای منفی.

یک مثال معمولی از حمله با استفاده از روش های مهندسی اجتماعی:

1. یک مهاجم مجموعه ای از اکسپلویت ها را برای نسخه های مختلف نرم افزار بر روی یک منبع کنترل شده قرار می دهد.
2. پیوندی به این منبع به طور گسترده در ایمیل های فیشینگ ارسال می شود.
3. یک کارمند یک سازمان پیوندی را از یک ایمیل دنبال می کند و پس از باز کردن صفحه در مرورگر، از آسیب پذیری ها سوء استفاده می شود.

چنین حمله ای می تواند منجر به عفونت شود ایستگاه کاریکاربر بدافزار علاوه بر این، هنگام استفاده از نسخه قدیمیمرورگر می تواند اجرای کد از راه دور را پیاده سازی کند (به عنوان مثال، CVE-2016-0189). بنابراین، یک مهاجم می تواند به یک گره شبکه داخلی دسترسی پیدا کند و یک حمله را تا حداکثر امتیازات در زیرساخت شرکت توسعه دهد. برای کسب اطلاعات بیشتر در مورد سناریوهای حمله مهندسی اجتماعی، مطالعه ما را ببینید چگونه مهندسی اجتماعی درهای سازمان شما را برای یک هکر باز می کند 4.

5. نتایج ارزیابی امنیتی شبکه های بی سیم شرکتی

40% شرکت ها از کلید فرهنگ لغت برای شبکه بی سیم استفاده می کنند

حمله به شبکه های بی سیم برای یک مزاحم خارجی یک راه جایگزین برای دسترسی به منابع شبکه داخلی است. در صورت شکست در هنگام تلاش برای نفوذ به محیط شبکه، به عنوان مثال، از طریق حملات به برنامه های کاربردی وب، یک مهاجم می تواند از آسیب پذیری های موجود در شبکه های بی سیم شرکت استفاده کند. برای یک حمله موفقیت آمیز، او باید تجهیزات ارزان قیمت را از قبل خریداری کند و وارد منطقه تحت پوشش شبکه بی سیم شود. علاوه بر این، برای انجام حملات، یک مهاجم مجبور نیست وارد منطقه تحت کنترل شرکت شود: با توجه به نتایج کار ما، مشخص شد که 75٪ از شبکه های بی سیم خارج از آن قابل دسترسی هستند. یعنی حملات به شبکه‌های بی‌سیم می‌توانند به‌طور نامحسوس از قلمرو مجاور، به عنوان مثال، از یک پارکینگ در کنار یک ساختمان اداری انجام شوند.

در سال 2017، تقریباً تمام شبکه های بی سیم آزمایش شده از پروتکل WPA2 استفاده کردند روش های مختلفاحراز هویت، که رایج ترین آن PSK (کلید از پیش مشترک) بود.

بسته به روش احراز هویت مورد استفاده، می توان از سناریوهای مختلفی برای حمله به شبکه های بی سیم استفاده کرد. در سال 2017، دو سناریو زیر بیشتر برای دسترسی به منابع شبکه داخلی مورد استفاده قرار گرفت:

• رهگیری یک دست دادن بین نقطه دسترسی و یک کلاینت قانونی (فقط برای روش PSK مناسب است).
• حملات به مشتریان شبکه های بی سیم با استفاده از یک نقطه دسترسی جعلی (مناسب برای همه روش های احراز هویت).

در سناریوی اول، رمز عبور به مقدار دست دادن رهگیری شده حدس زده می شود. موفقیت به پیچیدگی رمز عبور استفاده شده بستگی دارد. در عین حال، مهم است که در نظر بگیرید که یک مهاجم می تواند آن را خارج از منطقه تحت پوشش نقطه دسترسی مورد مطالعه قرار دهد. اگر در محدوده کار، متخصصان ما همیشه نتوانند رمز عبور را با استفاده از مقدار دست دادن حدس بزنند، مهاجم زمان بیشتری دارد که شانس او ​​را بسیار افزایش می دهد.

پس از حدس زدن رمز عبور و اتصال به اکسس پوینت، مشخص شد که در 75 درصد شبکه های بی سیم هیچ انزوا بین کاربران وجود ندارد. بنابراین، یک مهاجم می‌تواند به دستگاه‌های کاربران حمله کند، برای مثال، از آسیب‌پذیری MS17-010 در لپ‌تاپ‌های شخصی و شرکتی آنها سوء استفاده کند.

اگر حدس زدن رمز ورود به نقطه دسترسی امکان پذیر نبود، می توانید از سناریوی دوم با نصب یک اکسس پوینت جعلی استفاده کنید.

ابتدا، یک مهاجم، همراه با یک نقطه دسترسی جعلی، می‌تواند از یک صفحه احراز هویت فیشینگ برای به دست آوردن اعتبار و رهگیری اطلاعات حساس ارسال شده از طریق پروتکل‌های انتقال داده باز (مثلا HTTP، FTP) استفاده کند.

در سال 2017، به عنوان بخشی از یکی از پروژه های تجزیه و تحلیل امنیت یک شبکه بی سیم که در مسکو برگزار شد، متخصصان Positive Technologies از یک نقطه دسترسی جعلی با ESSID (شناسایی مجموعه خدمات گسترده) MT_FREE استفاده کردند که در بین شهروندان محبوب است. برای دسترسی به شبکه Wi-Fi مستقر در حمل و نقل عمومی استفاده می شود. سپس یک فرم احراز هویت جعلی تهیه شد که در آن از لوگو و طرح شرکتی شرکت مورد آزمایش استفاده شده بود. پس از اتصال به یک اکسس پوینت جعلی، هنگام تلاش برای باز کردن هر وب‌سایتی، همه کاربران به صفحه‌ای با فرمی جعلی از احراز هویت در شبکه شرکت هدایت شدند. در نتیجه این حمله، امکان دریافت اعتبار دامنه کارمندان شرکت و استفاده از آنها برای توسعه بیشتر حمله وجود داشت.

فقط 1 از 8در شرکت های آزمایش شده، کارمندان اعتبار خود را در فرم احراز هویت جعلی وارد نکرده اند

ثانیاً، مهاجمی که از یک نقطه دسترسی جعلی استفاده می‌کند، می‌تواند اطلاعات کاربری ذخیره شده در دستگاه را رهگیری کند. برای انجام این کار، باید یک اکسس پوینت با همان ESSID و پارامترهای مشابه نقطه دسترسی قانونی ایجاد کنید. اگر دستگاه کاربر پیکربندی شده باشد اتصال خودکاربه یک شبکه بی سیم ذخیره شده، اگر سیگنال قوی تری در محل این دستگاه داشته باشد، سعی می کند به طور خودکار به یک نقطه دسترسی جعلی متصل شود. در نتیجه چنین حملاتی، یک مهاجم می تواند مبالغ هش رمز عبور کارکنان شرکت را به دست آورد و از آنها برای توسعه بیشتر حمله به زیرساخت های شرکتی استفاده کند.

مشخص شده است که در 75٪ موارد، یک مهاجم از طریق حملات به شبکه های بی سیم می تواند به منابع شبکه داخلی و همچنین اطلاعات حساس (به عنوان مثال، حساب های کاربری دامنه) دسترسی پیدا کند. این روش نفوذ به شبکه داخلی جایگزین موثری برای حملات کلاسیک به گره های محیطی شبکه است.

هر سال، بر اساس نتایج تست‌های نفوذ، سرویس‌هایی را مشخص می‌کنیم که اغلب با استفاده از رمزهای عبور فرهنگ لغت به آن‌ها دسترسی داشته‌اند. این آمار در درجه اول برای مدیران سیستمبه آنها یادآوری شود که پس از نصب و راه اندازی سرویس جدید، از رمزهای عبور قوی استفاده کنند و حساب های استاندارد را به موقع جایگزین کنند.

در پایان سال 2017 مشخص شد که کاربران عادیو مدیران اغلب از ترکیب کلیدهای نزدیک روی صفحه کلید به عنوان رمز عبور خود استفاده می کنند و معتقدند که هیچ چیز طولانی نیست رمز عبور معنی دار(به عنوان مثال، zaq12wsxcde3 یا poiuytrewq) قادر خواهد بود از آنها در برابر دسترسی غیرمجاز محافظت کند. با این حال، این یک نظر اشتباه است: با وجود پیچیدگی ظاهری رمز عبور، همه این ترکیبات کلیدی مدت‌هاست که در فرهنگ لغت‌های ویژه گنجانده شده‌اند و حمله brute force چند دقیقه طول می‌کشد.

Qwerty، Zaq1xsw2و سایر ترکیبات کلیدهای بسته روی صفحه کلید محبوب ترین رمز عبور هستند، از جمله در میان کاربران ممتاز

نتیجه

سیستم های اطلاعاتی شرکت ها هنوز در برابر حملات مزاحمان خارجی و داخلی آسیب پذیر هستند. اگر هنگام انجام آزمایش نفوذ خارجی، شرکت‌های بیشتری وجود داشته باشند که نگران امنیت محیط شبکه خود هستند، پس هنگام آزمایش امنیت یک سیستم شرکتی از طرف یک مهاجم داخلی، وضعیت بسیار بدتر است. در سال 2017، از طرف یک مهاجم خارجی که از جمله روش‌های مهندسی اجتماعی و حملات به شبکه‌های بی‌سیم استفاده می‌کرد، در 68 درصد کارها می‌توان بر محیط شبکه غلبه کرد. در همان زمان، از طرف خودی، کنترل کامل بر منابع LANدر تمام پروژه ها بدون استثنا به دست آمد - با وجود ابزارهای فنی و اقدامات سازمانی مورد استفاده در شرکت ها برای محافظت از اطلاعات.

• استفاده از رمزهای عبور ساده و فرهنگ لغت را متوقف کنید، قوانین سختگیرانه ای را برای خط مشی رمز عبور شرکتی ایجاد کنید و بر اجرای آنها نظارت کنید.
• حفاظت اضافی برای حساب های دارای امتیاز (به عنوان مثال، مدیران دامنه) ارائه دهید. استفاده از احراز هویت دو مرحله ای تمرین خوبی است.
• از حفاظت زیرساخت در برابر حملاتی که با هدف بازیابی حساب‌ها از حافظه سیستم‌عامل انجام می‌شود، اطمینان حاصل کنید. برای انجام این کار، در تمام ایستگاه‌های کاری کاربران ممتاز، و همچنین در تمام گره‌هایی که با استفاده از حساب‌های دارای امتیاز با آنها ارتباط برقرار می‌شود، نسخه‌های ویندوز بالاتر از 8.1 را نصب کنید و کاربران دامنه ممتاز را در گروه کاربران محافظت شده قرار دهید. علاوه بر این، می‌توانید از نسخه‌های مدرن ویندوز 10 استفاده کنید که سیستم Remote Credential Guard را پیاده‌سازی می‌کنند، که به شما امکان می‌دهد فرآیند سیستم lsass.exe را از دسترسی غیرمجاز ایزوله و محافظت کنید.
• اطمینان حاصل کنید که اطلاعات حساس مورد علاقه یک مهاجم به صورت باز (مثلاً در صفحات یک برنامه وب) ذخیره نمی شود. چنین اطلاعاتی ممکن است شامل اعتبار برای دسترسی به منابع مختلف، دفترچه آدرس شرکت باشد آدرس ایمیلو شناسه دامنه کارمندان و غیره
• تعداد سرویس ها را در محیط شبکه محدود کنید، مطمئن شوید که رابط های باز برای اتصال باید واقعاً برای همه کاربران اینترنت در دسترس باشد.
• به روز رسانی های امنیتی سیستم عامل و آخرین نسخه های نرم افزار کاربردی را به موقع نصب کنید.
• تجزیه و تحلیل امنیتی شبکه های بی سیم را انجام دهید. توجه ویژهارزش توجه به قابلیت اطمینان روش های احراز هویت مورد استفاده و همچنین تنظیم جداسازی کاربران نقطه دسترسی را دارد.
• به طور منظم، آموزش کارکنان را با هدف بهبود شایستگی آنها در مسائل امنیت اطلاعات با نظارت بر نتایج انجام دهید.
• از سیستم SIEM برای شناسایی به موقع حملات استفاده کنید. فقط شناسایی به موقع یک حمله به شرکت اجازه می دهد تا قبل از اینکه مهاجم آسیب قابل توجهی به شرکت وارد کند، از آن جلوگیری شود.
• برای محافظت از برنامه های وب - نصب کنید دیواره آتشلایه برنامه وب (فایروال برنامه وب).
• انجام منظم تست نفوذ به منظور شناسایی به موقع بردارهای حمله در سیستم شرکت و ارزیابی اثربخشی در عمل اقدامات انجام شدهحفاظت.

این فهرست جامع نیست، اما عدم رعایت حتی یک مورد می تواند منجر به سازش کامل سیستم شرکتی شود و تمام هزینه ها برای وسایل مختلف گران قیمت و سیستم های حفاظتی غیر قابل توجیه خواهد بود. یک رویکرد یکپارچه برای امنیت اطلاعات بهترین محافظت از یک سیستم اطلاعاتی شرکتی در برابر هر متجاوز است.

هنگامی که سیستم عامل شما آماده راه اندازی شد، زمان آن است که دقیقاً نوع تحقیقی را که قرار است انجام دهید، تعریف کنید. به طور کلی، چهار نوع از این مطالعات را می توان متمایز کرد:

• ارزیابی آسیب پذیری سیستم؛
• ارزیابی سیستم ها برای انطباق با استانداردهای ایمنی؛
• تست نفوذ سیستم سنتی؛
• تحقیقات کاربردی.

یک کار خاص برای مطالعه سیستم ممکن است شامل شود عناصر مختلفاز هر نوع ما معتقدیم که ارزش دارد در مورد آنها با جزئیات بیشتر صحبت کنیم و رابطه آنها را با کالی لینوکس و با محیط کار آشکار کنیم.

قبل از اینکه به شرح انواع خاصی از اقدامات برای ارزیابی امنیت سیستم ها بپردازیم، بیایید در مورد تفاوت آسیب پذیری ها با اکسپلویت ها صحبت کنیم.

آسیب پذیری را می توان به عنوان نقصی در یک سیستم اطلاعاتی تعریف کرد که می تواند برای به خطر انداختن محرمانه بودن، یکپارچگی یا در دسترس بودن آن مورد سوء استفاده قرار گیرد. انواع مختلفی از آسیب پذیری ها وجود دارد که ممکن است با آنها مواجه شوید. در اینجا به برخی از آنها اشاره می کنیم:

11.2.2. ارزیابی سیستم ها برای انطباق با استانداردهای ایمنی

پیچیده ترین نوع تحقیق بعدی، ارزیابی سیستم ها برای انطباق با استانداردهای امنیتی است. این تست های سیستمی رایج ترین هستند، زیرا بر اساس تأیید الزامات تجویز شده توسط استانداردهای دولتی و صنعتی است که برای سازمان ها اعمال می شود.

استانداردهای امنیتی تخصصی زیادی وجود دارد، با این حال، رایج ترین استاندارد امنیت داده صنعت کارت پرداخت (PCI DSS) است. این استاندارد توسط شرکت هایی که کارت های پرداخت را صادر می کنند، ایجاد شده است. باید با سازمان هایی که پرداخت های کارتی را پردازش می کنند مطابقت داشته باشد. اگر در مورد استانداردهای رایج دیگر صحبت کنیم، می‌توان به راهنمای پیاده‌سازی فنی امنیتی آژانس سیستم‌های اطلاعات دفاعی (DISA STIG)، برنامه مدیریت ریسک و مجوز فدرال (FedRAMP)، قانون مدیریت امنیت اطلاعات فدرال (FISMA) و غیره اشاره کرد.

یک مشتری شرکتی می تواند یک مطالعه مشابه را سفارش دهد یا برای نتایج یک مطالعه قبلی در مورد آن درخواست دهد دلایل مختلف. به ویژه، ممکن است ابتکار عمل از طرف خود مشتری باشد، یا ممکن است مجبور به انجام یک بررسی اجباری شود. در هر صورت، چنین مطالعاتی به عنوان «ارزیابی ایمنی سیستم» یا «مطالعات انطباق امنیتی» یا «ممیزی های امنیتی» نامیده می شود.

ارزیابی یک سیستم برای انطباق با استانداردها معمولاً با تجزیه و تحلیل آسیب پذیری آغاز می شود. در مورد روش حسابرسی PCI، ارزیابی آسیب‌پذیری، در صورت انجام مناسب، می‌تواند چندین مورد از الزامات اصلی استاندارد را برآورده کند. از جمله آنها شرط 2 است: "از رمزهای عبور و سایر پیش فرض های سیستم که توسط سازنده تنظیم شده است استفاده نکنید." تجزیه و تحلیل سیستم در برابر این نیاز را می توان با استفاده از ابزارهایی از دسته منو حمله رمز عبور (شک کردن رمزهای عبور) انجام داد. بعد شرط 11 است: "آزمایش منظم سیستم ها و فرآیندهای امنیتی را انجام دهید." بررسی مربوطه را می توان با استفاده از ابزارهای دسته ارزیابی پایگاه داده انجام داد. برخی الزامات را نمی توان با استفاده از ابزارهای اسکن آسیب پذیری معمولی تأیید کرد. از جمله آنها الزام 9 است: «محدود کردن دسترسی فیزیکیبه داده های دارنده کارت» و 12: «توسعه و حفظ خط مشی امنیت اطلاعات برای همه پرسنل سازمان». تلاش های بیشتری برای تأیید چنین الزاماتی مورد نیاز است.

در نگاه اول، ممکن است کاملاً واضح به نظر نرسد که چگونه از Kali Linux برای انجام برخی بررسی ها استفاده کنید. با این حال، کالی برای حل چنین مشکلاتی عالی است و نه تنها به دلیل مجموعه غنی ابزار استاندارد، بلکه به این دلیل که مبتنی بر Debian است که امکان نصب بسیاری را باز می کند برنامه های کاربردی اضافی. می‌توانید با استفاده از برنامه‌هایی که عملکردهای مورد نیاز را در مدیریت بسته‌ها پیاده‌سازی می‌کنند، جستجو کنید کلید واژه ها، برگرفته از استاندارد امنیت اطلاعات استفاده شده است. چنین جستجویی تقریباً به طور قطع به نتایج قابل توجهی ختم خواهد شد. در حال حاضر، بسیاری از سازمان‌ها از کالی لینوکس به‌عنوان یک پلتفرم مخصوص ارزیابی سیستم‌ها از نظر انطباق با استانداردهای امنیتی استفاده می‌کنند.

11.2.3. تست نفوذ سنتی

اخیراً یافتن تعریف مناسب برای «آزمون نفوذ سنتی» مشکل شده است. واقعیت این است که چنین تست هایی در زمینه های مختلف فعالیت مورد استفاده قرار می گیرند، در نتیجه هرکسی آنها را به روش خود توصیف می کند. این واقعیت که "تست نفوذ" به طور فزاینده ای به عنوان ارزیابی سیستم هایی که در بالا توضیح داده شد برای انطباق با استانداردهای امنیتی یا حتی ارزیابی معمول آسیب پذیری ها نامیده می شود، به سردرگمی اضافه می شود. در چنین مواردی، مطالعه فراتر از حداقل الزامات خاص نمی رود.

در این بخش به اختلافات در مورد ویژگی های انواع تست های سیستمی نمی پردازیم. در اینجا ما در مورد تحقیقاتی صحبت خواهیم کرد که با برخی از "حداقل الزامات" محدود نمی شوند. اینها مطالعاتی هستند که به گونه ای طراحی شده اند که پس از انجام آنها واقعاً می توان پیشرفت کرد امنیت عمومیسازمان های.

برخلاف انواع تحقیقاتی که قبلاً مورد بحث قرار گرفتیم، آزمون‌های نفوذ سنتی اغلب با تعریف محدوده شروع نمی‌شوند. در عوض، آنها اهداف خاصی را تعیین می کنند. به عنوان مثال: "عواقب در معرض خطر قرار گرفتن یک کاربر داخلی" را شبیه سازی کنید، یا: "پیدا کنید که اگر سازمانی توسط یک مهاجم خارجی هدف قرار گیرد چه اتفاقی می افتد". وجه تمایز کلیدی چنین مطالعاتی این است که در جریان اجرای آنها، نه تنها آسیب پذیری ها پیدا و ارزیابی می شوند، بلکه از مشکلات یافت شده نیز برای کشف بدترین سناریوها استفاده می شود.

تست نفوذ تنها به ابزارهای اسکن آسیب پذیری متکی نیست. کار با بررسی یافته‌ها، استفاده از اکسپلویت یا آزمایش برای از بین بردن موارد مثبت کاذب، انجام هر کاری که ممکن است برای کشف آسیب‌پذیری‌های پنهان یا آنچه ما منفی‌های کاذب می‌نامیم، ادامه می‌یابد.

چنین تحقیقاتی اغلب شامل بهره‌برداری از آسیب‌پذیری‌های کشف‌شده، ارزیابی سطح دسترسی که اکسپلویت‌ها فراهم می‌کنند و بهره‌برداری از آن است. سطح پیشرفتهدسترسی به عنوان نقطه شروع برای حملات اضافی به سیستم هدف.

این نیاز به تجزیه و تحلیل انتقادی از محیط هدف، جستجوی دستی برای آسیب پذیری ها، خلاقیت و توانایی تفکر خارج از چارچوب دارد. اینها همه رویکردهایی برای کشف آسیب‌پذیری‌های اضافی هستند که به ابزارهای دیگری نیاز دارند که می‌توانند آسیب‌پذیری‌ها را در جایی پیدا کنند که توانایی‌های قدرتمندترین آنها به پایان می‌رسد. اسکنرهای خودکار. اغلب، پس از اتمام این مرحله، کل فرآیند بارها و بارها شروع می شود تا از تکمیل و کیفیت بالا اطمینان حاصل شود.

با وجود پیچیدگی و تطبیق پذیری تست نفوذ سنتی، دوره چنین مطالعه ای را می توان در چند مرحله ساده کرد. شایان ذکر است که کالی انتخاب نرم افزار را برای هر یک از این مراحل ساده می کند. بنابراین، اینجا طرح گام به گامتست نفوذ با نظرات در مورد ابزارهای مورد استفاده:

• مجموعه اطلاعات. در این مرحله، تلاش پنتستر این است که تا حد امکان در مورد محیط هدف بیاموزد. معمولا این فعالیت غیر تهاجمی است و مانند فعالیت عادی کاربر به نظر می رسد. این فعالیت‌ها پایه و اساس بقیه مراحل تحقیق را تشکیل می‌دهند و بنابراین باید به جمع‌آوری تا حد امکان داده‌ها در مورد سیستم منجر شوند. بخش جمع‌آوری اطلاعات در منوی برنامه‌های کاربردی کالی لینوکس حاوی ده‌ها ابزار با هدف افشای هرچه بیشتر اطلاعات در مورد سیستم مورد مطالعه است.
• تشخیص آسیب پذیری این مرحله اغلب به عنوان "جمع آوری اطلاعات فعال" نامیده می شود. متخصص، در تلاش برای شناسایی آسیب‌پذیری‌های بالقوه در محیط هدف، هنوز به سیستم حمله نکرده است، اما قبلاً متفاوت از آن رفتار می‌کند. کاربر معمولی. این جایی است که اسکن آسیب پذیری که در بالا توضیح داده شد اغلب انجام می شود. در این مرحله از مطالعه، برنامه هایی از بخش های تجزیه و تحلیل آسیب پذیری (تحلیل آسیب پذیری)، تجزیه و تحلیل برنامه های کاربردی وب (تحلیل برنامه های کاربردی وب)، ارزیابی پایگاه داده (پژوهش پایگاه داده)، و مهندسی معکوس مفید خواهد بود.
• بهره برداری از آسیب پذیری ها متخصص با داشتن فهرستی از آسیب‌پذیری‌های احتمالی کشف‌شده، در این مرحله از تحقیق، سعی می‌کند از آن‌ها برای یافتن جای پایی در محیط هدف استفاده کند. در این مورد، ابزارهایی که در دسته بندی های Web Application Analysis (Analysis of web applications)، Database Assessment (تحقیق پایگاه های داده)، Password Attacks (Cracking Password) و Exploitation Tools (Vulnerability Exploitation tools) یافت می شوند، مفید هستند.
• نفوذ به سیستم ها و استخراج بی صدا داده ها. پس از اینکه محقق توانست در سیستم جای پایی به دست آورد، باید ادامه دهید. به عنوان یک قاعده، در این مرحله، فرد به دنبال راهی برای افزایش امتیازات به سطحی است که برای رسیدن به سیستم‌های هدفی که قبلاً غیرقابل دسترس بودند و به طور مخفیانه اطلاعات مخفی را از آنها استخراج می‌کند، ضروری است. در این مرحله می‌توانید به بخش‌هایی از منوی برنامه مانند حملات رمز عبور (شک کردن رمزهای عبور)، ابزارهای بهره‌برداری (ابزارهای بهره‌برداری آسیب‌پذیری)، Sniffing & Spoofing (Sniffing و جعل) و Post Exploitation (اقدامات پس از بهره‌برداری از یک آسیب‌پذیری) دسترسی داشته باشید.
• تهیه گزارشات. پس از اتمام فاز فعال مطالعه، مستندسازی اقدامات انجام شده و تهیه گزارش ضروری است. معمولاً این مرحله از نظر فنی مانند مراحل قبلی پیچیده نیست. با این حال، به لطف گزارش های با کیفیت، مشتری می تواند بازده کامل کار انجام شده را دریافت کند، بنابراین اهمیت این مرحله از مطالعه را دست کم نگیرید. ابزارهای مناسب را می‌توانید در بخش گزارش ابزارهای منوی برنامه‌ها پیدا کنید.

در بیشتر موارد، تست‌های نفوذ کاملاً متفاوت طراحی می‌شوند، زیرا هر سازمانی در معرض تهدیدات مختلفی قرار می‌گیرد و منابع مختلفی برای محافظت دارد. کالی لینوکس می دهد پایه جهانیبرای حل چنین مشکلاتی، اینجاست که می توانید از گزینه های زیادی برای پیکربندی کالی استفاده کنید. بسیاری از سازمان‌هایی که این نوع تحقیقات را انجام می‌دهند، نسخه‌های سفارشی‌سازی شده Kali LInux را برای آن‌ها نگهداری می‌کنند استفاده خانگی. این به آنها اجازه می دهد تا قبل از یک مطالعه جدید، استقرار سیستم ها را سرعت بخشند.

از جمله مواردی که اغلب با آن مواجه می شوند تنظیمات پیشرفتهکالی لینوکس را می توان به موارد زیر اشاره کرد:

• پیش نصب بسته های تجاری دارای مجوز. به عنوان مثال، بسته ای مانند یک اسکنر آسیب پذیری پولی وجود دارد که قرار است در بسیاری از جلسات تست نفوذ استفاده شود. به منظور اجتناب از نصب این بسته بر روی هر کپی مستقر شده از Kali، می توانید آن را در سیستم ادغام کنید. در نتیجه، این بسته بر روی هر استقرار کالی نصب خواهد شد.
• VPN از پیش پیکربندی شده با اتصال معکوس. این یک ویژگی بسیار مفید برای دستگاه هایی است که عمداً در شبکه تحت بررسی وصل شده اند. چنین دستگاه هایی امکان تحقیقات "درونی از راه دور" را فراهم می کنند. دستگاه اتصال پشتی به کامپیوتر پنتستر متصل می شود و یک تونل ایجاد می کند که می توان از آن برای اتصال به سیستم های داخلی. ISO توزیع Doom کالی لینوکس نمونه ای از چنین راه اندازی سیستم خاصی است.
• ابزارها و برنامه های از پیش نصب شده طراحی خودمان. بسیاری از سازمان‌ها جعبه‌های ابزار اختصاصی مورد نیاز برای جلسات تست نفوذ دارند، بنابراین نصب از قبل آن‌ها هنگام ساخت یک تصویر سیستم سفارشی باعث صرفه‌جویی در زمان می‌شود.
• پیکربندی اولیه سیستم عامل، از جمله - تنظیم نمایش نام میزبان به آدرس های IP، تصویر زمینه دسکتاپ، تنظیمات سرور پروکسی و غیره. بسیاری از کاربران کالی تنظیمات خاص سیستم را ترجیح می دهند. اگر می خواهید سیستم خود را به طور منظم مجدداً نصب کنید، ذخیره این تنظیمات ممکن است منطقی باشد.

11.2.4. تحقیقات کاربردی

بیشتر فعالیت‌ها برای ارزیابی امنیت سیستم‌ها دامنه وسیعی دارند. یکی از ویژگی های تحقیقات کاربردی این واقعیت است که یک برنامه خاص در حال مطالعه است. چنین مطالعاتی به دلیل پیچیدگی کاربردهای حیاتی مورد استفاده شرکت ها رایج تر می شوند. بسیاری از این برنامه ها ساخته شده اند به تنهاییاین شرکت ها در صورت لزوم، تحقیقات کاربردی می تواند مکمل سایر انواع تحقیقات باشد. از جمله انواع برنامه های کاربردی که می توان از نظر امنیت بررسی کرد موارد زیر است:

• برنامه های کاربردی وب این برنامه‌ها اغلب توسط مهاجمان هدف قرار می‌گیرند، زیرا از طریق اینترنت در دسترس هستند، معمولاً سطح حمله قابل توجهی دارند. تست های استاندارداغلب مشکلات اساسی برنامه وب را آشکار می کند. با این حال، یک مطالعه دقیق تر، اگرچه ممکن است زمان زیادی طول بکشد، به شما امکان می دهد نقص های برنامه پنهان را پیدا کنید. برای انجام چنین تست هایی می توانید از متاپکیج kali-linux-web استفاده کنید که حاوی ابزارهای مفید زیادی است.
• برنامه های دسکتاپ به صورت فایل های اجرایی توزیع می شوند. برنامه های سرور تنها هدف مهاجمان نیستند. برنامه های دسکتاپ نیز مستعد حملات هستند. در سال های گذشته بسیاری از برنامه های دسکتاپمانند پی‌دی‌اف‌خوان‌ها یا برنامه‌های ویدیویی که از منابع اینترنتی استفاده می‌کنند، مورد حملات بسیاری قرار گرفته‌اند که منجر به بهبود آنها شده است. با این حال، هنوز بسیاری از برنامه های دسکتاپ وجود دارد که در آنها، با رویکرد درست، می توانید آسیب پذیری های زیادی پیدا کنید.
• برنامه های موبایل. با افزایش محبوبیت دستگاه های تلفن همراه، برنامه های تلفن همراه در حال تبدیل شدن به موضوعات ثابت تحقیقات امنیتی هستند. این کاربردها بسیار سریع در حال توسعه و تغییر هستند، بنابراین روش تحقیق در این زمینه هنوز به بلوغ کافی نرسیده است که منجر به ظهور منظم، تقریباً هفتگی، روش‌های جدید می‌شود. ابزارهای مربوط به مطالعه اپلیکیشن های موبایل را می توانید در قسمت منوی اپلیکیشن مهندسی معکوس لینوکس کالی (مهندسی معکوس) مشاهده کنید.

تحقیقات کاربردی می تواند توسط راه های مختلف. به عنوان مثال، می توانید از یک ابزار خودکار طراحی شده برای آزمایش یک برنامه خاص برای شناسایی مشکلات احتمالی استفاده کنید. مشابه به معنای خودکار، بر اساس ویژگی های نحوه عملکرد برنامه ها، به جای تکیه بر مجموعه ای از امضاهای از پیش تعریف شده، سعی می کنند نقاط ضعف ناشناخته را در آنها بیابند. ابزارهای تجزیه و تحلیل برنامه باید ویژگی های رفتار خود را در نظر بگیرند. برای مثال Burp Suite، یک اسکنر آسیب پذیری برنامه های وب محبوب را در نظر بگیرید. همانطور که برنامه را بررسی می کند، فیلدهای ورودی داده را پیدا می کند و سپس حملات مختلف تزریق SQL را انجام می دهد و در عین حال برنامه را نظارت می کند تا حملات موفقیت آمیز را شناسایی کند.

سناریوهای تحقیق کاربردی پیشرفته تری وجود دارد. چنین مطالعاتی را می توان به صورت تعاملی انجام داد. از مدل های جعبه سیاه و سفید استفاده می کنند.

• تحقیق جعبه سیاه ابزار (یا کاوشگر) بدون داشتن دانش خاصی در مورد آن، یا دسترسی ویژه به آن، فراتر از توانایی های یک کاربر معمولی، با برنامه تعامل می کند. به عنوان مثال، در مورد یک برنامه وب، محقق ممکن است فقط به ویژگی ها و عملکرد دسترسی داشته باشد برای کاربر باز شود، که در سیستم مجاز نیست. هر حساب کاربری استفاده شده همان حسابی خواهد بود که یک کاربر معمولی می تواند به تنهایی ثبت نام کند. با این کار مهاجم از تجزیه و تحلیل عملکردی که فقط برای کاربران ممتاز در دسترس است، جلوگیری می‌کند که حساب‌های آنها باید توسط یک سرپرست ایجاد شود.
• تحقیق جعبه سفید این ابزار (یا کاوشگر) اغلب به کد منبع برنامه، دسترسی مدیریتی به پلتفرمی که روی آن در حال اجراست و غیره دسترسی کامل دارد. این تضمین می کند که یک تجزیه و تحلیل کامل و کامل از تمام ویژگی های برنامه، صرف نظر از اینکه عملکرد مورد مطالعه در کجا قرار دارد، انجام می شود. عیب چنین مطالعه ای این است که تقلیدی از اقدامات واقعی یک مهاجم نیست.

البته بین سفید و مشکی سایه های خاکستری نیز وجود دارد. معمولاً نحوه دقیق انجام کار با برنامه توسط اهداف مطالعه تعیین می شود. اگر هدف این است که بفهمیم چه اتفاقی ممکن است برای برنامه‌ای بیفتد که موضوع یک حمله خارجی هدفمند است، تست جعبه سیاه احتمالا بهترین گزینه است. در صورتی که هدف شناسایی و حذف هر چه بیشتر باشد بیشترمشکلات امنیتی در یک زمان نسبتا کوتاه، تحقیقات جعبه سفید ممکن است موثرتر باشد.

در موارد دیگر، در جایی که محقق ندارد، ممکن است از رویکرد ترکیبی استفاده شود دسترسی کاملبه کد منبع برنامه برای پلتفرمی که روی آن اجرا می شود، اما حسابی که به آن داده شده توسط مدیر تهیه شده است و امکان دسترسی به بسیاری از ویژگی های برنامه را می دهد.

کالی پلتفرم ایده آل برای همه رویکردهای تحقیق کاربردی است. پس از نصب توزیع استاندارد، در اینجا می توانید بسیاری از اسکنرهای طراحی شده برای برنامه های خاص را پیدا کنید. همچنین ابزارهایی برای تحقیقات پیشرفته تر وجود دارد. از جمله ویرایشگرهای کد منبع و محیط های اسکریپت نویسی هستند. در تحقیقات کاربردی، ممکن است خودتان را پیدا کنید مواد مفیداز بخش اضافه کردن برچسب