Kako postaviti pametne telefone i računala. Informativni portal

IB. NPA

28.04.2019 vijesti

IDENTIFIKACIJA RANJIVOSTI INFORMACIJSKIH SUSTAVA

Sergej Konovalenko

postdiplomac Krasnodarske više vojne škole,

Rusija, Krasnodar

Igor Koroljev

doktor tehničkih nauka, profesor, profesor katedre za zaštićene informacijske tehnologije Visoke vojne škole u Krasnodaru,

Rusija, Krasnodar

BILJEŠKA

Ocijenjeno postojeća sredstva sigurnosna analiza informacijski sustavi, na temelju kojih se grade modeli za otkrivanje, identifikaciju i procjenu slika ranjivosti informacijskih sustava. Utvrđene su glavne karakteristike (elementi) svojstvene slikama postojećih ranjivosti informacijskih sustava.

SAŽETAK

Provedena je procjena postojećih alata za analizu sigurnosti informacijskih sustava. Na temelju postignutih rezultata izgrađeni su modeli detekcije, identifikacije i evaluacije slika ranjivosti informacijskih sustava. Definirane su glavne karakteristike (elementi) svojstvene slikama ranjivosti postojećih informacijskih sustava.

Ključne riječi: identifikacija; Informacijski sistem; identifikacija; razred; opis slike; ranjivost.

Ključne riječi: otkrivanje; informacijski sistem; identifikacija; evaluacija; opis slike; ranjivost.

Svaki informacijski sustav (u daljnjem tekstu IS) ima određene ranjivosti, čiji je popis prilično opsežan i stalno se ažurira (proširuje). Ranjivosti IS-a uzrokovane su nedostacima (pogreškama) koji nastaju u procesu "životnog ciklusa" ovog sustava. S ovog gledišta, mogućnost implementacije prijetnji sigurnosti IS-a izravno ovisi o akcijama napadača da otkrije i iskoristi svoje inherentne ranjivosti. S druge strane, proces identificiranja IP ranjivosti koji provodi stručnjak je temeljni u suzbijanju napadača u ranim fazama napada.

Svrha ovog članka je izgradnja generaliziranih modela za identifikaciju, identifikaciju i procjenu slika ranjivosti IS-a, kao i određivanje karakteristika (elemenata) svojstvenih slikama postojećih ranjivosti, što će omogućiti stručnjaku da bolje sistematizira svoj rad u područje osiguranja sigurnosti kontroliranog IS-a.

Prema GOST R 56545-2015, "ranjivost" je nedostatak (slabost) softverskog (softverskog i hardverskog) alata ili IS-a u cjelini, koji se (koji) može koristiti za implementaciju prijetnji informacijskoj sigurnosti. "Informacijski sustav" je skup informacija sadržanih u bazama podataka (u daljnjem tekstu - DB) te informacijskim tehnologijama i tehničkim sredstvima koja osiguravaju njihovu obradu.

Svaka ranjivost IS-a može se prikazati kao slika koja uključuje skup određenih karakteristika (elemenata koji opisuju danu ranjivost), formiranih prema određenim pravilima.

Opis ranjivosti IP-a je informacija o identificiranoj (otkrivenoj) ranjivosti. Pravila za opis ranjivosti IP-a skup su odredbi koje reguliraju strukturu i sadržaj opisa ranjivosti.

Prema slikama ranjivosti dijele se na slike poznatih ranjivosti, slike ranjivosti nultog dana i slike novootkrivenih ranjivosti. Poznata ranjivost je javno objavljena ranjivost koja opisuje odgovarajuće mjere sigurnosti informacija, ispravke nedostataka i povezana ažuriranja. Ranjivost nultog dana je ranjivost koja postaje poznata prije nego što programer IC komponente objavi odgovarajuće mjere sigurnosti informacija, ispravke nedostataka ili odgovarajuća ažuriranja. Novootkrivena ranjivost je ranjivost koja nije objavljena u javnoj domeni.

Svaka vrsta slika IP ranjivosti ima opće i specifične karakteristike (elemente) koje se mogu sažeti u tablici. Primjer tablice prikazan je u nastavku.

Stol 1.

Elementi različitih vrsta slika IP ranjivosti

Karakteristike slike ranjivosti

Element inherentan slici poznate ranjivosti

Element svojstven slici ranjivosti nultog dana

Element inherentan u imidžu novo identificirane ranjivosti

Mjesto otkrivanja (identifikacije) ranjivosti u IP-u.

Metoda otkrivanja (otkrivanja) ranjivosti.

Naziv ranjivosti.

Prije nego što prijeđemo na modele za identifikaciju, identifikaciju i procjenu slika ranjivosti, potrebno je pojasniti da se IS sastoji od razina:

  • razina aplikacijskog softvera (u daljnjem tekstu softver), koji je odgovoran za interakciju s korisnikom;
  • razina sustava upravljanja bazom podataka (u daljnjem tekstu DBMS) koji je odgovoran za pohranu i obradu podataka IS-a;
  • razina operacijskog sustava (u daljnjem tekstu OS) koji je odgovoran za održavanje DBMS-a i aplikacijskog softvera;
  • mrežni sloj odgovoran za interakciju IS čvorova.

Različite vrste (klase) ranjivosti povezane su sa svakom od razina IS-a. Za identificiranje ranjivosti potrebno je razviti modele za prepoznavanje, prepoznavanje i procjenu ranjivosti.

Glavni izvori IP ranjivosti su:

  • pogreške u razvoju (dizajniranju) IS-a (na primjer, pogreške u softveru);
  • pogreške u implementaciji IS-a (pogreške administratora IS-a) (na primjer, netočna postavka ili konfiguracija softvera, neučinkovit koncept sigurnosne politike itd.);
  • pogreške pri korištenju IS-a (korisničke pogreške) (na primjer, slabe lozinke, kršenje sigurnosne politike itd.).

Za identificiranje, identificiranje i procjenu ranjivosti IS-a, kao i generiranje izvješća i uklanjanje (neutraliziranje) ranjivosti, koriste se alati za analizu mrežne sigurnosti (u daljnjem tekstu SAS) (sigurnosni skeneri (u daljnjem tekstu SAT)) koji se mogu podijeliti u dvije vrste:

  • mrežni BACS (SB) (provođenje daljinske analize stanja nadziranih hostova na razini mreže);
  • SAS (SB) razine OS (provesti lokalnu analizu stanja nadziranih hostova, ponekad je potrebno instalirati poseban agent na nadzirane hostove).

Relevantnost aplikacije BAS (SB) proizlazi iz činjenice da je stručnjak u stanju unaprijed odrediti dovoljno velik popis vrsta (klasa) ranjivosti svojstvenih kontroliranom IS-u i poduzeti potrebne mjere (u nekim slučajevima , pokušati uzeti) kako bi ih eliminirali ili eliminirali (minimizirali) mogućnost korištenja otkrivenih ranjivosti od strane napadača.

Za sistematizaciju rada stručnjaka iz područja sigurnosti koje kontrolira IS, a na temelju analize izrađuje se generalizirani model za identifikaciju slika ranjivosti IS-a (slika 1.).

Slika 1. Generalizirani model za identifikaciju slika IP ranjivosti

Proces identificiranja ranjivosti IS-a izgrađuje se obavljanjem pasivnih provjera (scanning - scan) i aktivnih provjera (probing - probe) prisutnosti ranjivosti u kontroliranom IS-u.

Tijekom procesa skeniranja, BAC, šaljući odgovarajuće zahtjeve kontroliranom IS-u (u portove kontroliranog hosta), analizira vraćene bannere (zaglavlja paketa podataka) i donosi odgovarajuće zaključke o vrsti IS-a i prisutnosti potencijalnih ( moguće) njegove ranjivosti. Rezultat skeniranja ne ukazuje uvijek na prisutnost mogućih (tipičnih) ranjivosti IS-a stopostotno, budući da je tekstualni sadržaj bannera mogao biti posebno modificiran, ili su poznate ranjivosti svojstvene ovom IS-u eliminirane od strane stručnjaka u procesu njegovu provedbu (uporabu). Drugi način izvođenja radnji skeniranja jesu aktivne provjere sondiranja, koje pružaju priliku za analizu vraćenog digitalnog otiska (otiska prsta) softverskog fragmenta kontroliranog IC-a (tj. za izvođenje postupka usporedbe dobivenog rezultata s digitalnim otiskom poznata ranjivost ovog tipa JE). Ova metoda pruža pouzdaniji i točniji postupak za identificiranje mogućih (tipičnih) kontroliranih ranjivosti IS-a.

U procesu sondiranja, BAC simulira izvođenje napada na kontrolirani IS, koristeći sliku moguće (tipične) ranjivosti dobivenu tijekom skeniranja. Rezultat procesa sondiranja je najtočniji i pouzdane informacije o prisutnosti ranjivosti u kontroliranom IP-u. Ova metoda se ne koristi uvijek, jer postoji mogućnost kvara (onemogućavanja) kontroliranog IC-a. Odluku o primjeni gornje metode donosi administrator mreže u slučaju neučinkovitog izvršenja ili potrebe za potvrdom rezultata skeniranja i aktivnih provjera sondiranja.

Rezultati skeniranja i sondiranja šalju se u bazu podataka ranjivosti koja pohranjuje slike ranjivosti kontroliranog IS-a. Na temelju postupka za usporedbu slike otkrivene ranjivosti sa slikama ranjivosti kontroliranog IS-a, CAZ generira izvješće o odsutnosti ili prisutnosti podudaranja na slikama ranjivosti (detekcija ranjivosti), koje se pohranjuje u baza podataka ranjivosti.

Generalizirani model za identifikaciju slika ranjivosti detaljno opisuje generalizirani model za identifikaciju i procjenu slika ranjivosti IS-a (slika 2).

Slika 2. Generalizirani model identifikacije i procjene slika ranjivosti IP-a

Proces identifikacije slike otkrivene ranjivosti IS-a, koja ima specifične karakteristike (elemente), provodi se postupkom za njezinu usporedbu sa slikama poznatih ranjivosti i ranjivosti nultog dana pohranjene u bazi podataka ranjivosti. Formalizirani opis poznatih ranjivosti i ranjivosti nultog dana izrađuje se u obliku putovnica koje sadrže podatke o specifičnim karakteristikama (elementima) određene ranjivosti. Za točnu identifikaciju slike otkrivene ranjivosti, ona mora sadržavati podatke o nazivu i verziji IS softvera u kojem je ranjivost pronađena, o identifikatoru, nazivu i klasi otkrivene ranjivosti. Na temelju gornjih informacija, BAC korelira sliku otkrivene ranjivosti s jednom od vrsta slika ranjivosti. Za kvalitetnu procjenu, identificirana slika ranjivosti, zauzvrat, mora sadržavati podatke o identifikatoru i vrsti IS propusta u kojem je ranjivost otkrivena, o mjestu na kojem je ranjivost otkrivena u IS-u, te o način identificiranja ranjivosti. Proces procjene slike ranjivosti završava izradom preporuka za otklanjanje ranjivosti ili isključenje mogućnosti njezina iskorištavanja. U slučajevima kada je otkrivena slika novootkrivene ranjivosti, SAZ stavlja podatke o njoj u bazu podataka ranjivosti uz formiranje nove putovnice ranjivosti nultog dana. Kada razvijač IS-a donese mjere zaštite informacija, potrebna ažuriranja a nakon popravljanja nedostataka, ranjivost nultog dana postaje poznata ranjivost.

Sumirajući rezultate ovog članka, napominjemo da je stručnjak za sigurnost IS-a dužan stalno raditi na identificiranju ranjivosti u sustavu, jasno razumjeti i razumjeti procese koji se odvijaju u BAS-u, pratiti ažuriranje (proširivanje) baze podataka ranjivosti, pravovremeno eliminirati nedostatke u sustavu, instalirati odgovarajuće mjere zaštite i ažuriranja za kontrolirani IP.

Bibliografija:

  1. Astahov A.S. Sigurnosna analiza korporativnih automatiziranih mreža // Jet Info Bulletin. - 2002. - Broj 7 (110). / - [ Elektronički resurs]. - Način pristupa: URL: http://www.jetinfo.ru
  2. Gorbatov V.S., Meshcheryakov A.A. Komparativna analiza sigurnosne kontrole računalna mreža// Sigurnost informacijskih tehnologija. - 2013. - br. 1. / - [Elektronički izvor]. - Način pristupa: URL: http://www.bit.mephi.ru
  3. GOST R 56545-2015 „Informacijska sigurnost. Ranjivosti informacijskih sustava. Pravila opisa ranjivosti”. - M .: Standardinform, 2015.
  4. GOST R 56546-2015 „Informacijska sigurnost. Ranjivosti informacijskih sustava. Klasifikacija ranjivosti informacijskih sustava". - M .: Standardinform, 2015.
  5. Lukatskiy A.V. Kako radi sigurnosni skener? / - [Elektronski izvor]. - Način pristupa: http://www.citforum.ru/security/internet/scaner.shtml (Datum pristupa: 14.09.2016.).
  6. Lukatskiy A.V. Otkrivanje napada. - SPb. : Izdavačka kuća "BVH", 2001. - 624 str.
  7. Korisnički vodič softverski paket"Scanner-VS alat za sigurnosnu analizu." NPESH.00606-01. CJSC NPO Echelon, 2011.
  8. XSPider sigurnosni skener. Administrator's Guide / - [Elektronski izvor]. - Način pristupa: http://www.ptsecurity.ru (Datum pristupa: 15.09.2016.).
  9. MaxPatrol sigurnosni skener. Sustav sigurnosne kontrole / - [Elektronički izvor]. - Način pristupa: http://www.ptsecurity.ru (Datum pristupa: 16.09.2016.).
  10. Stephen Northcutt, Judy Novak. Otkrivanje proboja sigurnosti u mrežama. 3. izd.: Per. s engleskog - M .: Izdavačka kuća "Williams", 2003. - P. 265–280.

Nastavljamo s razmatranjem nedavnih promjena naredbe FSTEC Rusije br. 17. Ovaj put - analiza ranjivosti GIS-a.

Sada je potrebno provesti analizu GIS ranjivosti u 3 od 6 faza životnog ciklusa GIS sigurnosnog sustava: formiranje zahtjeva, implementacija i certificiranje.

1. U fazi analize prijetnji sigurnosti GIS informacija potrebno je provesti analizu moguće IS ranjivosti, uz korištenje FSTEC-a Rusije BDU, kao i drugih izvora podataka o ranjivosti kao ulaznih podataka. Model prijetnje mora sadržavati opis moguće IP ranjivosti.

Glavna razlika od ostalih faza leži u riječi "moguće". Nije stvarno, ali moguće. A uz dobru maštu sve će nam biti moguće. Koliko sam razumio, mora postojati neka vrsta klasifikacije svih mogućih ranjivosti i isključenja neprikladnih vrsta ranjivosti od strane određenih razloga(odsutnost objekta utjecaja, određene strukturne karakteristike, neiskorišteni IT).

Problem je što ne postoji takva klasifikacija ranjivosti u FSTEC DBU u odjeljku Ranjivosti. Osim toga, odjeljak Ranjivosti navodi samo stvarne softverske ranjivosti. Ali što je s ranjivostima GIS-a općenito? Nedostaci org. mjere?

Zapravo, popis takvih mogućih ranjivosti skriven je u nestrukturiranom obliku u tekstu prijetnji FSTEC NDU: “ Ova prijetnja zbog ranjivosti nekih ploča sustava (matične ploče) - prisutnost mehanizama hard reset lozinke postavljene u BIOS-u / UEFI "ili" Ovu prijetnju uzrokuju slabosti u filtriranju mrežnog prometa i antivirusnoj kontroli na razini organizacije."

2. U fazi implementacije sustava informacijske sigurnosti potrebna je stvarna analiza ranjivosti.

“Kada se analiziraju ranjivosti informacijskog sustava, odsutnost poznate ranjivosti sredstva zaštite informacija, hardvera i softvera, uključujući uzimanje u obzir informacija dostupnih razvojnim programerima i dobivenih iz drugih javno dostupnih izvora, ispravna instalacija i konfiguracija sredstva informacijske sigurnosti, hardver i softver, kao i ispravnost rada sredstva zaštite informacija pri interakciji s hardverom i softverom.

Na temelju rezultata analize ranjivosti, trebalo bi postojati potvrđenošto je u informacijskom sustavu nema ranjivosti sadržanih u banci podataka o prijetnjama informacijska sigurnost FSTEC Rusije, kao i u drugim izvorima, ili je njihovo korištenje (rad) od strane prekršitelja nemoguće."


Ali dobro je da ranjivosti imaju polja kao što su proizvođač, naziv softvera, verzija softvera. Nakon što ste unaprijed sastavili potpuni popis softvera, možete napraviti odabir potrebnih ranjivosti. Ali što je s rezultatima? Na primjer, za Windows 8.1 - 247 ranjivosti u NOS-u. Zatim morate slijediti vezu u svakoj od njih vanjski izvori i provjerite što je tamo predloženo za uklanjanje ranjivosti, provjerite instalirana ažuriranja za ove ranjivosti.

Ručno - teško. Volio bih da skeneri ranjivosti mogu raditi s NOS-om i učiniti sve umjesto nas. Da vidimo…

RedCheck iz Altex-Softa: “RedCheck traži ranjivosti u našoj bazi podataka ovaldb, koja je sinkronizirana s FSTEC-om ruske baze podataka prijetnji informacijskoj sigurnosti! Popis ranjivosti može se pronaći na stranici baze podataka https: // ovaldb .altx -soft .ru / Definitions .aspx? Refsource = FSTEC. "

Čini se ok. Šteta samo zadnja ranjivost na linku - iz 2016. A u BDU ih već ima dosta za 2017. godinu.

Mrežni revizor 3.0 iz CBI-a: „Revizor mreže u početku traži ranjivosti uključene u FSTEC Rusije (http://bdu.fstec.ru) operativni sustavi Windows i aplikacije i alati za informacijsku sigurnost koji u njima djeluju, uključujući ruski dizajn. Uz traženje ranjivosti iz baze podataka ranjivosti FSTEC Rusije, Network Auditor Network Scanner verzija 3.0 traži ranjivosti sadržane u izvorima kao što su cve.mitre.org, ovaldb.altx-soft.ru, microsoft.com i drugi izvori. "

XSpider iz Positive Technologies “Svakako će biti takva prilika. U lipnju u okviru XSpider recertifikacije, sklop s takvom funkcionalnošću bit će prebačen u FSTEC ispitni laboratorij”.

Skener-VS iz Echelona "Scanner-VS podržava traženje ranjivosti u FSTEK Russia's NDU". Istina, iskustvo je pokazalo da trenutna, certificirana verzija ne podržava.

Ukupno, u budućnosti je moguće da će skeneri učiniti sve umjesto nas, ali u ovaj trenutak Nisam pronašao gotovo izvješće koje potvrđuje odsutnost ranjivosti FSTEC BDU-a. I pitanja o relevantnosti baza podataka - bit će potrebno pažljivo provjeriti rezultate i, eventualno, ručno pregledati najnovije ranjivosti.

Osim toga, ne zaboravite da analiza ranjivosti uključuje i analizu postavki sustava informacijske sigurnosti, softvera i hardvera te analizu ispravnosti funkcioniranja sustava informacijske sigurnosti.

3. U fazi kvalifikacija potrebni su sljedeći testovi “Analiza ranjivosti informacijskog sustava, uključujući i one uzrokovane pogrešna postavka(konfiguriranje) softverske i informacijske sigurnosti" u ovom slučaju, kao početni podaci se koriste "Rezultati analize ranjivosti informacijskog sustava"... Kako je općenito?

Ponavljamo li samo ono što smo radili u fazi implementacije? Uz razmatranje najnovijim zahtjevima do razdvajanja procjenitelja i izvršitelja, očito postoji oslanjanje na selektivnu neovisnu dupliciranu analizu.

UVOD

Korporativna IT infrastruktura složen je višekomponentni mehanizam dizajniran za automatizaciju poslovnih procesa tvrtke. Infrastruktura domene, mail servisi, web aplikacije, poslovni sustavi - sve je to osnova svakog korporativnog informacijskog sustava. Ovisno o veličini tvrtke i broju zaposlenih, razlikuje se i veličina IT infrastrukture. No, unatoč tome, većina tvrtki ima uobičajeni problemi vezano za osiguranje sigurnost informacija informacijski sustavi. Primjerice, tijekom širenja ransomware virusa WannaCry zahvaćeno je više od 500 tisuća računala koja su pripadala, između ostalog, državnim agencijama. velike tvrtke i male trgovačke organizacije. Ovaj incident potvrđuje da apsolutno svaka organizacija može pretrpjeti zlonamjerne napade.

Ova studija identificira glavne trendove u analizi sigurnosti korporativnih informacijskih sustava i omogućuje vam da odredite:

  • koji su najvjerojatniji vektori napada koje uljez može koristiti za pristup resursima korporativna mreža;
  • koje su ranjivosti najčešće na perimetru mreže;
  • koliko su opasne radnje uljeza koji ima pristup LAN resursima;
  • koje sigurnosne propuste omogućuju napadaču da dobije maksimalne privilegije korporativna infrastruktura;
  • jesu li napadi socijalnog inženjeringa još uvijek relevantni;
  • Kako dobiti pristup internim mrežnim resursima koristeći napade na bežične mreže.

Kao osnova za pripremu ovu studiju koristili smo statističke podatke za 2017. dobivenu analizom sigurnosti korporativnih informacijskih sustava koju su proveli stručnjaci Positive Technologies. Izvedeni zaključci možda ne odražavaju trenutno stanje sigurnosti informacijskih sustava u drugim tvrtkama. Svrha studije je skrenuti pozornost stručnjaka za informacijsku sigurnost na najhitnije probleme i pomoći im da na vrijeme prepoznaju i otklone ranjivosti.

1. SAŽETAK

Sigurnosna analiza perimetra mreže:

  • bilo je moguće uspješno prevladati mrežni perimetar i dobiti pristup LAN resursima u 68% projekata za analizu sigurnosti korporativnih informacijskih sustava;
  • odabir rječničkih računa za resurse na mrežnom perimetru i iskorištavanje ranjivosti u web aplikacijama glavni su vektori napada za prodor interna mreža;
  • Na temelju rezultata instrumentalnog skeniranja resursa mrežnog perimetra utvrđeno je da je 31% tvrtki u opasnosti od zaraze virusom ransomware WannaCry.

Analiza sigurnosti internih resursa:

  • u penetracijskom testiranju u ime internog napadača potpunu kontrolu preko cijele infrastrukture uspio proći kroz sve sustave;
  • ranjivost MS17-010 pronađena je u 60% korporativnih sustava testiranih između 14. travnja i 31. prosinca 2017., što ukazuje na nepravodobnu instalaciju kritičnih sigurnosnih ažuriranja OS-a;
  • nedovoljna zaštita od vraćanja računa iz OS memorije glavna je ranjivost koja omogućuje potpunu kontrolu nad korporativnim informacijskim sustavom.

Procjena svijesti zaposlenika:

  • 26% zaposlenika prati poveznicu na phishing web resurs, a gotovo polovica njih unosi svoje vjerodajnice u lažni obrazac za autentifikaciju;
  • svaki šesti zaposlenik izlaže korporativnu infrastrukturu riziku zaraze virusom.

Analiza sigurnosti bežičnih mreža:

  • U 75% slučajeva napadač može dobiti pristup internim mrežnim resursima putem napada na bežične mreže, kao i dobiti osjetljive informacije (na primjer, korisnički računi domene).

2. POČETNI PODACI

Statistika za 2017. temelji se na rezultatima analize sigurnosti 22 korporativna sustava koji pripadaju i ruskim i stranim tvrtkama iz različitih sektora gospodarstva. Prilikom odabira projekata za istraživanje uzet je u obzir informacijski sadržaj dobivenih rezultata. Projekti koji su, na zahtjev kupaca, izvedeni na ograničena količinačvorovi nisu uključeni u istraživanje, jer ne odražavaju stvarno stanje sigurnosti korporativnog informacijskog sustava u cjelini. Kao i 2016. godine, najveći dio testiranja penetracije obavljen je za financijske institucije i industrijska poduzeća. Uspješni napadi na korporativne sustave u financijskom i industrijskom sektoru imaju tendenciju da dovedu do kibernetičkih kriminalaca maksimalnu korist... Uspješan napad na infrastrukturu banke često vodi izravno do krađe Novac... Prodiranje uljeza u internu mrežu industrijskog poduzeća ne može samo dovesti do curenja osjetljivih informacija, koje se kasnije mogu prodati konkurentskim tvrtkama, već i poremetiti tehnološki proces.

Sigurnosna analiza korporativnih mreža provedena je pomoću eksternih, internih i sveobuhvatno testiranje penetracija (potonje uključuje i vanjske i unutarnje). Ispitivanje penetracije - učinkovita metoda sigurnosnu analizu, koja vam omogućuje da identificirate ranjivosti u korporativnoj infrastrukturi i dobijete objektivnu, neovisnu procjenu njezine razine sigurnosti. Tijekom testiranja simuliraju se radnje potencijalnog uljeza koji vrši napade kako s interneta tako i iz segmenata interne mreže tvrtke. Ovaj vam pristup omogućuje ponovno stvaranje uvjeta u kojima prekršitelji obično rade i brzo uklanjanje sigurnosnih nedostataka.

Već drugu godinu zaredom bilježimo interes za sveobuhvatne usluge. Naši korisnici nastoje ne samo zaštititi svoj mrežni perimetar od napada vanjskog napadača, već i smanjiti rizike povezane s kompromitiranim LAN-om od strane internog napadača.


Osim penetracijskog testiranja, za mnoge klijente radilo se i na analizi sigurnosti bežičnih mreža i procjeni svijesti zaposlenika o pitanjima informacijske sigurnosti.


Ove godine rezultati analize sigurnosti perimetra mreže dobiveni tijekom testiranja eksterne penetracije uspoređuju se ne samo s rezultatima prošlogodišnjeg istraživanja, već i sa statistikom dobivenom tijekom instrumentalnog istraživanja koje je provedeno tijekom razdoblja aktivnog širenja virus ransomwarea WannaCry. U drugom tromjesečju 2017. Positive Technologies ponudio je besplatno vanjsko skeniranje perimetra kako bi se identificirale ranjive usluge. Prijave je podnijelo 26 tvrtki iz različite sfere Ekonomija. Statistike o vanjskom penetracijskom testiranju u usporedbi s rezultatima instrumentalnog istraživanja bit će detaljnije obrađene kasnije u odgovarajućem odjeljku.

3. STATISTIKA ZA 2017. GODINU

3.1. Opći rezultati sigurnosne analize

U pravilu, prilikom analize sigurnosti u svakom sustavu, naši stručnjaci otkrivaju određene ranjivosti i nedostatke zaštitnih mehanizama, koji, između ostalog, omogućuju razvoj vektora napada do potpune kompromitacije infrastrukture tvrtke, dobivaju pristup osjetljivim informacije, provođenje napada uskraćivanjem usluge i sl. Sve ranjivosti dijelimo u tri kategorije: povezane s konfiguracijskim nedostacima; vezano uz nedostatak sigurnosnih ažuriranja; vezano uz greške u kodu web aplikacija. Za svaku identificiranu ranjivost utvrđuje se razina ozbiljnosti u skladu s klasifikacijskim sustavom CVSS verzije 3.0.


18 godina- starost najstarije ranjivosti CVE-1999-0532, otkrivena tijekom instrumentalne analize resursa mrežnog perimetra




U usporedbi s prošlom godinom, gotovo se udvostručio udio korporativnih sustava u kojima su otkrivene ranjivosti kritične ozbiljnosti (CVSS ≥ 9,0). To je uglavnom zbog objave informacija o kritičnoj ranjivosti MS17-010 u SMB servisu čvorova koji rade pod Kontrola sustava Windows... Nakon objavljivanja javno dostupnih eksploatacija u mnogim projektima internog testiranja penetracije, naši su stručnjaci iskoristili ovu ranjivost kako bi dobili potpunu kontrolu nad LAN čvorovima i eskalirali napad do stjecanja maksimalnih privilegija u domeni.

Za sustave u kojima nisu utvrđene greške u kodu web aplikacija i nedostaci povezani s nedostatkom sigurnosnih ažuriranja, treba imati na umu da se testiranje penetracije provodi metodom crne kutije te je nemoguće identificirati sve postojeće ranjivosti unutar granica rada. Glavni cilj penetracijskog testiranja je dobiti objektivnu procjenu sigurnosti korporativnog sustava od napada uljeza.

3.2. Rezultati analize sigurnosti perimetra mreže

Rezultati testa vanjske penetracije

Krajem 2017. godine sigurnost mrežnog perimetra korporativnih informacijskih sustava ostala je na razini 2016. godine. Međutim, istodobno postoji tendencija smanjenja složenosti prevladavanja perimetra mreže. Ako je u 2016. u samo 27% projekata teškoća pristupa LAN resursima ocijenjena kao trivijalna, do kraja 2017. ta se brojka udvostručila, na 56%.


10 maksimalan broj vektori prodora u internu mrežu, identificirani tijekom testiranja jednog korporativnog informacijskog sustava 2017.

Ova se distribucija objašnjava činjenicom da napadač u prosjeku treba izvršiti dva koraka kako bi dobio pristup LAN resursima: na primjer, pronaći vjerodajnice rječnika za autorizaciju u web aplikaciji i iskoristiti njegove ranjivosti kako bi mogao izvršiti naredbe OS-a na napadnuti domaćin.

Na temelju rezultata analize sigurnosti korporativnih informacijskih sustava, u prosjeku svaka tvrtka identificira dva vektora prodora u internu mrežu, maksimalni broj detektiranih vektora za jednu tvrtku je 10.

Sve uspješne vektore prodora u internu mrežu možete podijeliti u kategorije:

  • 44% uspješnih vektora napada temelji se na pogađanju vjerodajnica rječnika za pristup web aplikacijama, DBMS-u i drugim uslugama dostupnim za povezivanje na perimetru mreže. Tada napadač može dobiti priliku izvršiti naredbe OS-a na napadnutom čvoru;
  • 28% vektora napada temelji se na iskorištavanju ranjivosti web aplikacija. Neposredno tijekom nekoliko vanjskih testova identificirane su ranjivosti koje omogućuju u jednom koraku, bez potrebe za autorizacijom, daljinsko izvršavanje OS naredbi s privilegijama web aplikacije;
  • U 16% slučajeva napadač može dobiti pristup internim mrežnim resursima kada iskorištava ranjivosti u zastarjelim verzijama softvera (na primjer, na CMS platformama);
  • u drugim slučajevima, za napad, napadač može iskoristiti konfiguracijske nedostatke povezane s identifikacijom vjerodajnica za pristup sustavima na perimetru mreže u javnoj domeni, na primjer, na stranicama web aplikacije. Osim toga, identificirani su slučajevi kada su naši stručnjaci pronašli prethodno učitani web tumač na web-resursu tvrtke koja se testira naredbeni redak, što ukazuje na uspješne napade koje provode vanjski napadači.

Prvih pet najčešćih ranjivosti na perimetru mreže uključuju iste ranjivosti kao i 2016. godine, ali se njihov postotak promijenio. Možemo primijetiti opći trend pada prosječnog broja ranjivosti otkrivenih tijekom testiranja eksterne penetracije. Primjerice, 2016. godine u svim testiranim sustavima utvrđene su ranjivosti vezane uz korištenje rječničkih vjerodajnica, a u 2017. taj se pokazatelj prepolovio. Ovi rezultati su posljedica činjenice da su mnoge tvrtke prethodno radile na analizi sigurnosti svojih korporativnih sustava. Kao rezultat takvog rada, korisnici su uspješno ispravili većinu identificiranih ranjivosti i nedostataka u konfiguraciji te su počeli strože pratiti usklađenost s internim pravilima za zaporke. Sukladno tome, kada je testiranje eksterne penetracije ponovljeno nakon godinu i pol dana, otkriveno je manje ranjivosti, što je u konačnici imalo pozitivan učinak na ukupni rezultati u 2017. godini.


Kao i 2016. godine, najčešće se ranjivosti na perimetru mreže otkrivaju u primijenjenom softver i na web poslužiteljima.



Rezultati instrumentalne analize sigurnosti perimetra

Kao što je već spomenuto, u drugom tromjesečju 2017. Positive Technologies održale su kampanju o besplatno skeniranje vanjski perimetar brojnih tvrtki kako bi se identificirale ranjive usluge. Glavni cilj je bio suzbijanje širenja virusa ransomware WannaCry. Prijave za instrumentalno skeniranje mrežnih perimetarskih resursa podnijelo je 26 tvrtki iz različitih sektora gospodarstva: IT i telekomunikacijske tvrtke, veliki trgovci na malo, tvrtke iz financijskog sektora te naftne i plinske industrije.

Sve tvrtke prvo su morale definirati granice svojih korporativnih sustava. Već u ovoj fazi neki od sudionika imali su poteškoća: 23% nije moglo odrediti granice svog mrežnog perimetra ili ih je pogrešno odredilo. Nemogućnost određivanja granica mrežnog perimetra već je dokaz niske sigurnosti korporativnog informacijskog sustava od napada vanjskog uljeza - čak i prije nego što se dobiju rezultati ručne ili instrumentalne analize korporativnog sustava.

Skeniranje perimetra mreže provedeno je pomoću automatizirane analize sigurnosti i sustava kontrole usklađenosti MaxPatrol i dodatnog softvera. Skeniranje je otkrilo mnoge ranjivosti: 15% njih ima visoku razinu rizika prema skali CVSS verzije 2.0, a postoje i javno dostupni exploitovi za iskorištavanje nekih od ranjivosti.


Zasebno, možete razmotriti statistiku o najpopularnijim ranjivostima identificiranim tijekom instrumentalnog skeniranja perimetra mreže. Među tim ranjivostima, najopasniji je CVE-2016-6515 u OpenSSH servisu. Prilikom unosa lozinke za autentifikaciju u aplikaciji, nema ograničenja u broju unesenih znakova. Ovaj nedostatak Omogućuje udaljenom napadaču provođenje napada uskraćivanjem usluge. Također postoji javno dostupan exploit 1 za iskorištavanje ove ranjivosti. Osim toga, ako napadač može pogoditi vjerodajnice za povezivanje putem SSH-a i dobiti korisničke privilegije na UNIX sustavu, tada će mu prisutnost CVE-2016-10010 ranjivosti u OpenSSH-u omogućiti da lokalno poveća svoje privilegije na maksimum na kompromitiranom hostu koristeći drugi exploat 2, a zatim razviti napad na LAN resurse.


Prilikom analize dostupnih servisa na perimetru, najveći broj ranjivosti identificiran je u web aplikacijama i uslugama udaljenog pristupa (SSH). Ovi rezultati instrumentalne analize podudaraju se sa statistikom dobivenom tijekom eksternog penetracijskog testiranja, gdje su ranjivosti i nedostaci u konfiguraciji web aplikacija u većini slučajeva bili polazna točka za pristup LAN resursima.


Tijekom instrumentalne analize dostupnih web aplikacija zasebno se prikupljala statistika o stanju SSL certifikata. Više od četvrtine certifikata isteklo je u trenutku skeniranja, 15% koristilo je nepouzdane kriptografske algoritme (primjerice, SHA-1), a svaki šesti certifikat izdan je dulje od 5 godina.




Korištenje isteklih SSL certifikata nosi reputacijske rizike za tvrtke, budući da korisnik, nakon što u prozoru preglednika dobije upozorenje o korištenju nevažećeg certifikata u aplikaciji, može odbiti posjetiti web resurs.

Korištenje slabih algoritama enkripcije poništava cijeli smisao korištenja SSL certifikata, budući da napadač može presresti mrežni promet i potom uspješno dešifrirati primljene podatke. Osim toga, napadač može lažirati SSL certifikat i stvoriti vlastitu phishing stranicu, s kojom može zaraziti korisnike zlonamjernim softverom i ukrasti njihove vjerodajnice. Istodobno, korisnici mogu misliti da su njihova računala zaražena nakon posjete legitimnoj web stranici tvrtke.

Ako se SSL certifikat izdaje na razdoblje dulje od 5 godina, postoje rizici povezani s mogućnošću odabira ključa za šifriranje.

Vratimo se glavnom cilju instrumentalnog skeniranja resursa mrežnog perimetra. U 8 poduzeća od 26, vanjski čvorovi s otvorena luka 445 / TCP koji pokreće SMB uslugu. Tako je infrastruktura gotovo svake treće tvrtke bila u opasnosti od zaraze virusom ransomware WannaCry.

31% tvrtki je bio u opasnosti od zaraze virusom ransomware WannaCry

3.3. Rezultati analize internih resursa

U slučaju uspješnog napada na resurse mrežnog perimetra, vanjski napadač može dobiti pristup internoj mreži i dalje razvijati napad do potpune kontrole nad cjelokupnom IT infrastrukturom tvrtke.

Kao i 2016. godine, tijekom penetracijskog testiranja u ime internog napadača (primjerice, običnog zaposlenika tvrtke s pristupom korisničkom segmentu mreže), u svim testiranim sustavima dobivena je potpuna kontrola nad cjelokupnom infrastrukturom. Samo 7% projekata ocijenilo je poteškoću u dobivanju pristupa kritičnim resursima od strane internog napadača kao "srednju". U svim ostalim slučajevima, nekvalificirani prekršitelj mogao bi kompromitirati cijeli korporativni sustav.

Tipični vektor napada na internu mrežu temeljio se na dobivanju maksimalnih privilegija na jednom od LAN čvorova s ​​naknadnim pokretanjem specijaliziranog softvera za izdvajanje vjerodajnica drugih korisnika koji su se prethodno povezali na ovaj čvor. Ponavljanjem ovih koraka na različitim hostovima, napadač bi u konačnici mogao pronaći host koji pohranjuje račun administratora domene i dohvatiti njegovu lozinku u otvoreni oblik.

60% korporativni sustavi testirani između 14. travnja i 31. prosinca 2017. otkrivena je ranjivost MS17-010

U 2017. godini, zadatak dobivanja maksimalnih privilegija na hostu na internoj mreži za napadača je uvelike pojednostavljen nakon objave informacija o ranjivosti MS17-010. Microsoft je 14. ožujka 2017. objavio ažuriranje koje popravlja ovu ranjivost, a točno mjesec dana kasnije, 14. travnja, hakerska grupa Shadow Brokers objavila je EternalBlue 3 exploit kako bi ga iskoristila. Tijekom razdoblja od sredine travnja do kraja godine, naši stručnjaci uspješno su iskoristili exploit u 60% internog testiranja penetracije, što ukazuje na nepravodobnu instalaciju kritičnih sigurnosnih ažuriranja OS-a u većini korporativnih sustava.

Potkraj 2017. postalo je češće vidjeti korporativne sustave koji imaju instalirana ažuriranja koja uklanjaju kritičnu ranjivost MS17-010. Međutim, nekoliko projekata na Windows hostovima uspješno je iskoristilo još jednu kritičnu ranjivost opisanu u MS17-018 za lokalnu eskalaciju privilegija. Tu je i eksploatacija za ovu ranjivost koja nije javno dostupna.

Statistika najčešćih ranjivosti interne mreže ostala je praktički nepromijenjena u odnosu na 2016. godinu. Iznimka je nova kategorija"Nedovoljna zaštita od oporavka računa iz OS memorije." Na LAN čvorovima sa sustavom Windows moguće je dobiti lozinke u čistom tekstu (ili njihovim hash zbrojima) iz memorije sustava pomoću posebnog softvera - ako uljez ima privilegije lokalni administrator... Prije smo ovu ranjivost pripisivali nedostacima antivirusnog softvera, koji bi trebao blokirati pokretanje bilo kakvih zlonamjernih uslužnih programa za ekstrahiranje vjerodajnica. Međutim, nedavno je došlo do modifikacija takvih uslužnih programa napisanih na jeziku PowerShell, koji su posebno dizajnirani da zaobiđu blokiranje pokretanja bilo kojim antivirusnim softverom. Sada, kako bi se zaštitili od ekstrahiranja vjerodajnica iz memorije OS-a, potrebno je koristiti sveobuhvatan pristup, uključujući onemogućavanje spremanja podataka iz predmemorije, ubrzavanje čišćenja memorije procesa lsass.exe od odjavljenih korisničkih računa i onemogućavanje mehanizma wdigest. Alternativno, moderno Windows verzije 10, koji implementira sustav Remote Credential Guard, koji vam omogućuje da izolirate i zaštitite proces sustava lsass.exe od neovlaštenog pristupa. Tako smo 2017. godine, kako bismo objektivno procijenili stanje zaštitnih mehanizama korporativne mreže, uveli zasebnu metriku za prikupljanje statistike o pokretanju uslužnih programa namijenjenih izdvajanju vjerodajnica.

U 14% korporativnih sustava, gdje ranjivost "Nedovoljna zaštita od oporavka računa iz OS memorije" nije pronađena, korišteni su drugi vektori napada za stjecanje potpune kontrole nad korporativnom infrastrukturom.


Statistika o nedostacima u zaštiti uslužnih protokola izgrađena je na temelju onih projekata gdje je analiza mreže LAN promet(71% tvrtki). U nekim projektima kupci su bili protiv takvih provjera, jer bi mogle dovesti do prekršaja kontinuirani rad mreže.



Na temelju rezultata internog testiranja utvrđeno je da su glavni problemi korporativnih informacijskih sustava nepravodobna instalacija kritičnih sigurnosnih ažuriranja i nedovoljna zaštita od vraćanja računa iz memorije OS-a pomoću specijaliziranih uslužnih programa.

4. REZULTATI PROCJENE SVIJESTI ZAPOSLENIKA U PITANJIMA INFORMACIJSKE SIGURNOSTI

Uz rad na testiranju penetracije korporativnih informacijskih sustava, za niz tvrtki provedena je i procjena svijesti zaposlenika o informacijskoj sigurnosti. Takav se rad odvija prema prethodno dogovorenim scenarijima s naručiteljem, u kojima se metodama socijalnog inženjeringa simuliraju stvarni napadi kibernetičkih kriminalaca i prati se odgovor zaposlenika na te napade.

Testiranje zaposlenika provedeno je na dva načina - putem pošte e-poruke i u telefonskim interakcijama. Kako bi se dobila objektivna procjena razine svijesti zaposlenika, analizirani su sljedeći kontrolirani događaji:

  • praćenje veze na web-resurs napadača;
  • unošenje vjerodajnica u svjesno lažni obrazac za provjeru autentičnosti;
  • pokretanje datoteke priložene pismu;
  • činjenica interakcije s napadačem putem telefona ili e-pošte.

Na temelju rezultata rada utvrđeno je da 26% zaposlenika klikne na poveznicu na phishing web resurs, a gotovo polovica njih naknadno unese svoje vjerodajnice u lažni obrazac za autentifikaciju. Svaki šesti zaposlenik izlaže korporativnu infrastrukturu riziku zaraze virusom pokretanjem datoteke priložene pismu. Uz to, 12% zaposlenika spremno je ući u dijalog s uljezom i otkriti informacije koje se kasnije mogu iskoristiti u napadima na korporativni informacijski sustav.


Ukupno, prilikom procjene svijesti zaposlenika u 2017., poslano je više od 1300 e-poruka, od kojih je polovica sadržavala vezu na phishing resurs, a druga je sadržavala datoteku s posebnom skriptom koja je našim stručnjacima poslala podatke o vremenu otvaranja datoteke , kao i e-mail adresu zaposlenika. Pravi napadač bi mogao dodati skup exploit-a sadržaju datoteke kako bi iskoristio različite ranjivosti, uključujući CVE-2013-3906, CVE-2014-1761 i CVE-2017-0199. Takav napad može dovesti do toga da napadač dobije kontrolu nad radnom stanicom odgovarajućeg korisnika, šireći se zlonamjernog koda, uskraćivanje usluge i druge negativne posljedice.

Tipičan primjer napada socijalnog inženjeringa:

  1. napadač postavlja skup exploit-a za različite verzije softvera na kontrolirani resurs;
  2. veza na ovaj resurs šalje se masovno u phishing e-porukama;
  3. zaposlenik organizacije slijedi poveznicu iz pisma, a nakon otvaranja stranice u pregledniku, ranjivosti se iskorištavaju.

Ovakav napad može dovesti do infekcije. radna stanica korisnik sa zlonamjernim softverom. Također, prilikom korištenja zastarjela verzija preglednik može implementirati daljinsko izvršavanje koda (npr. CVE-2016-0189). Dakle, napadač može dobiti pristup hostu na internoj mreži i eskalirati napad na maksimalne privilegije u korporativnoj infrastrukturi. Za više informacija o scenarijima napada pomoću metoda društvenog inženjeringa, pogledajte našu studiju "Kako društveni inženjering otvara vrata hakeru da uđe u vašu organizaciju" 4.

5. REZULTATI SIGURNOSNE PROCJENE KORPORATIVNIH BEŽIČNIH MREŽA

40% tvrtke koriste ključ rječnika za bežičnu mrežu

Napadi na bežične mreže alternativni su način da vanjski uljez dobije pristup resursima unutarnje mreže. Ako pokušaj prevladavanja mrežnog perimetra ne uspije, na primjer, putem napada na web aplikacije, napadač može iskoristiti ranjivosti u bežičnim mrežama tvrtke. Za uspješan napad morat će unaprijed kupiti jeftinu opremu i ući u područje pokrivenosti bežične mreže. Štoviše, napadač ne mora ući u kontrolirano područje tvrtke da bi izvršio napade: prema rezultatima našeg rada, utvrđeno je da je 75% bežičnih mreža dostupno izvan njega. Odnosno, napadi na bežične mreže mogu se provoditi diskretno iz obližnjeg područja, na primjer, s parkirališta pored poslovne zgrade.

U 2017. gotovo sve testirane bežične mreže koristile su WPA2 s različite metode autentifikaciju, od kojih je najčešći PSK (pre-shared key).


Za napad na bežične mreže mogu se koristiti različiti scenariji, ovisno o korištenoj metodi provjere autentičnosti. U 2017. za pristup internim mrežnim resursima najčešće su korištena sljedeća dva scenarija:

  • presretanje rukovanja između pristupne točke i legitimnog klijenta (prikladno samo za PSK metodu);
  • napadi na bežične klijente pomoću lažne pristupne točke (prikladno za sve metode provjere autentičnosti).

U prvom scenariju, lozinka za presretnutu vrijednost rukovanja je gruba sila. Uspjeh ovisi o složenosti korištene lozinke. Istodobno, važno je uzeti u obzir da ga napadač može pokupiti već izvan dometa istraživane pristupne točke. Ako u granicama posla naši stručnjaci ne uspiju uvijek pronaći lozinku na temelju vrijednosti rukovanja, tada napadač ima više vremena, što značajno povećava njegove šanse.

Nakon pogađanja lozinke i spajanja na pristupnu točku, ustanovljeno je da u 75% bežičnih mreža ne postoji izolacija između korisnika. Dakle, napadač može napasti uređaje korisnika, na primjer, iskoristiti ranjivost MS17-010 na njihovim osobnim i korporativnim prijenosnim računalima.


Ako nije bilo moguće pronaći lozinku za pristupnu točku, možete koristiti drugi scenarij s instalacijom lažne pristupne točke.

Prvo, napadač, zajedno s lažnom pristupnom točkom, može koristiti stranicu za autentifikaciju za krađu identiteta kako bi dobio vjerodajnice i presretnuo osjetljive informacije koje se prenose putem otvorenih protokola za prijenos podataka (na primjer, HTTP, FTP).

U 2017. godini, u sklopu jednog od projekata analize sigurnosti bežične mreže u Moskvi, stručnjaci Positive Technologies koristili su lažnu pristupnu točku s ESSID-om (Extended Service Set Identification) MT_FREE, koja je popularna među građanima, jer se koristi za pristup Wi-Fi mreži.razmješteno u javnom prijevozu. Zatim je pripremljen lažni obrazac za autentifikaciju koji je koristio logo i korporativni identitet tvrtke koja se testira. Nakon povezivanja na lažnu pristupnu točku, prilikom pokušaja otvaranja bilo koje web stranice, svi su korisnici preusmjereni na stranicu s lažnim obrascem za autentifikaciju na korporativnoj mreži. Kao rezultat ovog napada, bilo je moguće dobiti vjerodajnice za domenu zaposlenika tvrtke i koristiti ih za daljnji razvoj napada.


Samo u 1 od 8 od testiranih tvrtki, zaposlenici nisu unijeli svoje vjerodajnice u lažni obrazac za autentifikaciju

Drugo, napadač može koristiti lažnu pristupnu točku za presretanje korisničkih vjerodajnica pohranjenih na uređaju. Da biste to učinili, morate stvoriti pristupnu točku s istim ESSID-om i istim parametrima kao legitimna pristupna točka. Ako je korisnikov uređaj konfiguriran automatsko povezivanje na spremljenu bežičnu mrežu, pokušat će se automatski spojiti na lažnu pristupnu točku ako ima jači signal na lokaciji ovog uređaja. Kao rezultat takvih napada, napadač može dobiti hashove lozinki zaposlenika tvrtke i koristiti ih za daljnji razvoj napada na korporativnu infrastrukturu.

Utvrđeno je da u 75% slučajeva napadač napadima na bežične mreže može dobiti pristup internim mrežnim resursima, kao i osjetljivim informacijama (primjerice, korisničkim računima domene). Ova metoda prodora u internu mrežu učinkovita je alternativa klasičnim napadima na čvorove perimetra mreže.

Svake godine na temelju rezultata penetracijskih testova utvrđujemo usluge za pristup kojima su se najčešće koristile lozinke rječnika. Ove statistike prvenstveno su namijenjene administratori sustava podsjetiti ih da koriste jake lozinke i pravovremeno zamjene standardne račune nakon instaliranja i pokretanja nove usluge.



Krajem 2017. godine ustanovljeno je da obični korisnici a administratori često koriste prečace na tipkovnici kao svoje lozinke, vjerujući da dugo, ništa smislena lozinka(poput zaq12wsxcde3 ili poiuytrewq) moći će ih zaštititi od neovlaštenog pristupa. Međutim, ovo je pogrešno mišljenje: unatoč naizgled složenosti lozinke, svi takvi tipkovnički prečaci već su dugo uključeni u posebne rječnike, a napad grubom silom napadaču traje nekoliko minuta.

Qwerty, Zaq1xsw2 i drugi prečaci tipki za zatvaranje na tipkovnici - najpopularnije lozinke, uključujući i među privilegiranim korisnicima

ZAKLJUČAK

Korporativni informacijski sustavi i dalje su osjetljivi na napade vanjskih i unutarnjih uljeza. Dok se kod provođenja eksternog penetracijskog testiranja susreće sve više tvrtki koje brinu o sigurnosti svog mrežnog perimetra, onda je kod testiranja sigurnosti korporativnog sustava u ime internog napadača situacija puno gora. U 2017. godini, za račun vanjskog napadača korištenjem, između ostalog, metoda društvenog inženjeringa i napada na bežične mreže, bilo je moguće prevladati perimetar mreže u 68% radova. Istovremeno, u ime insajdera, potpuna kontrola nad LAN resursi dobiven je u svim projektima bez iznimke - unatoč tehničkim sredstvima i organizacijskim mjerama koje se koriste u tvrtkama za zaštitu informacija.

  • Odbijte koristiti jednostavne i rječničke lozinke, razviti stroga pravila za korporativnu politiku lozinki i pratiti njihovu provedbu.
  • Osigurajte dodatnu zaštitu za privilegirane račune (na primjer, administratore domene). Dobra je praksa koristiti dvofaktorsku autentifikaciju.
  • Zaštitite infrastrukturu od napada usmjerenih na vraćanje računa iz memorije OS-a. Da biste to učinili, na svim radnim stanicama privilegiranih korisnika, kao i na svim čvorovima na koje je RANJIVOST KORPORATIVNIH INFORMACIJSKIH SUSTAVA povezana preko privilegiranih računa, instalirajte verzije sustava Windows više od 8.1 i uključite korisnike privilegiranih domena u grupu Zaštićeni korisnici. Osim toga, možete koristiti moderne verzije sustava Windows 10, koje implementiraju sustav Remote Credential Guard, koji vam omogućuje da izolirate i zaštitite proces sustava lsass.exe od neovlaštenog pristupa.
  • Pazite da osjetljive informacije od interesa za napadača ne budu pohranjene u čistom tekstu (na primjer, na stranicama web aplikacije). Takve informacije mogu uključivati ​​vjerodajnice za pristup raznim resursima, koji sadrži adresar tvrtke email adrese i identifikatori domene zaposlenika itd.
  • Ograničite broj usluga na mrežnom perimetru, pobrinite se da sučelja otvorena za povezivanje zaista budu dostupna svim korisnicima interneta.
  • Pravovremeno instalirajte sigurnosna ažuriranja za OS i najnovije verzije aplikacijskog softvera.
  • Analizirajte sigurnost bežičnih mreža. Posebna pažnja vrijedi obratiti pažnju na pouzdanost korištenih metoda provjere autentičnosti, kao i na konfiguriranje izolacije korisnika pristupne točke.
  • Redovito provoditi edukacije zaposlenika u cilju povećanja njihove kompetencije u pitanjima informacijske sigurnosti, uz praćenje rezultata.
  • Koristite SIEM sustav za pravovremeno otkrivanje napada. Samo pravodobno otkrivanje pokušaja napada spriječit će ga prije nego što napadač nanese značajnu štetu tvrtki.
  • Za zaštitu web aplikacija - instalirajte vatrozida vatrozida web aplikacije.
  • Redovito provodite penetracijsko testiranje kako biste na vrijeme identificirali vektore napada na korporativni sustav i u praksi ocijenili učinkovitost poduzete mjere zaštita.

Ovaj popis nije konačan, ali nepoštivanje čak i jedne točke može dovesti do potpune kompromitacije korporativnog sustava, a svi troškovi za razna skupa sredstva i sustave zaštite će se pokazati neopravdanima. Integrirani pristup informacijskoj sigurnosti najbolja je zaštita korporativnog informacijskog sustava od bilo kakvog uljeza.

Kada je vaš OS spreman za rad, vrijeme je da shvatite kakvo ćete točno istraživanje provesti. Općenito, mogu se razlikovati četiri vrste takvih studija:
  • Procjena ranjivosti sustava;
  • Procjena usklađenosti sustava sa sigurnosnim standardima;
  • Tradicionalno ispitivanje penetracije u sustav;
  • Istraživanje primjene.
Specifičan zadatak za istraživanje sustava može uključivati raznih elemenata svake vrste. Mislimo da je vrijedno detaljnije o njima i otkriti njihov odnos s Kali Linuxom i desktopom.

Prije nego što prijeđemo na opis određenih vrsta mjera za procjenu sigurnosti sustava, razgovarajmo o tome kako se ranjivosti razlikuju od eksploatacije.

Ranjivost se može definirati kao nedostatak u informacijskom sustavu koji se može koristiti za kršenje njegove povjerljivosti, integriteta ili dostupnosti. Postoje različite vrste ranjivosti s kojima se može suočiti. Ovo su neki od njih:

11.2.2. Procjena usklađenosti sustava sa sigurnosnim standardima

Sljedeća najteža vrsta istraživanja je procjena usklađenosti sustava sa sigurnosnim standardima. Ovakvo testiranje sustava je najčešće jer se temelji na testiranju zahtjeva državnih i industrijskih standarda koji se primjenjuju na organizacije.

Postoje mnogi specijalizirani sigurnosni standardi, međutim, najčešći je Standard za sigurnost podataka industrije platnih kartica (PCI DSS). Ovaj standard razvile su tvrtke koje izdaju platne kartice. Moraju ga uskladiti organizacije koje obrađuju kartična plaćanja. Ako govorimo o drugim uobičajenim standardima, možemo spomenuti kao što su Vodiči o tehničkoj implementaciji sigurnosti Agencije za informacijske sustave obrane (DISA STIG), Federal Risk and Authorization Management Program (FedRAMP), Federal Information Security Management Act (FISMA) i drugi.

Korporativni klijent može naručiti sličnu studiju ili prijaviti rezultate prethodno provedene studije na različitih razloga... Konkretno, inicijativa može doći od samog klijenta ili on može biti prisiljen izvršiti obveznu provjeru. U svakom slučaju, takve studije nazivaju se "procjenom sustava u odnosu na sigurnosne standarde" ili "studije u odnosu na sigurnosne standarde" ili "provjere u odnosu na sigurnosne standarde".

Procjena usklađenosti sustava sa standardima obično počinje analizom ranjivosti. U slučaju revizije usklađenosti s PCI-jem, procjena ranjivosti, ako se pravilno izvede, može zadovoljiti nekoliko osnovnih zahtjeva standarda. Među njima - zahtjev 2: "Nemojte koristiti lozinke i druge parametre sustava koje je proizvođač postavio prema zadanim postavkama." Možete analizirati usklađenost vašeg sustava s ovim zahtjevom pomoću alata u kategoriji izbornika Password Attack. Nadalje, ovo je zahtjev 11: "Redovito testirajte sigurnosne sustave i procese." To se može provjeriti pomoću alata u kategoriji Procjena baze podataka. Neki se zahtjevi ne mogu provjeriti konvencionalnim alatima za skeniranje ranjivosti. Među njima - zahtjev 9: „Ograničenje fizički pristup na podatke o korisniku kartice “, i 12: “Razviti i održavati politiku informacijske sigurnosti za svo osoblje u organizaciji”. Potrebni su dodatni napori za provjeru takvih zahtjeva.

Na prvi pogled može izgledati zbunjujuće kako koristiti Kali Linux za obavljanje nekih provjera. No, Kali je odlična za rješavanje ovakvih problema, i to ne samo zbog bogate garniture standardni alati, ali i zato što se temelji na Debianu, što otvara mogućnost instaliranja mnogih dodatne aplikacije... Možete tražiti programe koji implementiraju potrebnu funkcionalnost u upravitelju paketa pomoću ključne riječi preuzeto iz korištenog standarda informacijske sigurnosti. Ovakva pretraga gotovo će sigurno završiti s nekoliko vrijednih rezultata. Trenutno mnoge organizacije koriste Kali Linux kao platformu posebno za procjenu usklađenosti sustava sa sigurnosnim standardima.

11.2.3. Tradicionalno ispitivanje penetracije u sustav

Nedavno je postalo teško pronaći prikladnu definiciju za "tradicionalni test penetracije". Činjenica je da se takvi testovi koriste u različitim područjima djelovanja, stoga ih svatko opisuje na svoj način. Dodatnu zbrku unosi činjenica da se "testiranjem penetracije" sve više naziva procjena usklađenosti gore opisanih sustava sa sigurnosnim standardima ili čak uobičajena procjena ranjivosti. U takvim slučajevima istraživanje ne ide dalje od određenih minimalnih zahtjeva.

U ovom odjeljku nećemo se doticati sporova o značajkama različitih vrsta sustava za testiranje. Ovdje ćemo govoriti o istraživanjima koja nisu ograničena nekim „minimalnim zahtjevima“. Ovo su studije koje su osmišljene da se istinski poboljšaju. opća sigurnost organizacijama.

Suprotno vrstama istraživanja o kojima smo ranije govorili, tradicionalno testiranje penetracije često ne počinje s definicijom područja istraživanja. Umjesto toga, postavljaju im se konkretni ciljevi. Na primjer: "simulirati posljedice kompromitiranja internog korisnika", ili: "saznati što bi se dogodilo da je organizacija meta napada vanjskog napadača." Ključna odlika ovakvih studija je da tijekom njihove provedbe ne samo da pronalaze i procjenjuju ranjivosti, već i koriste pronađene probleme za otkrivanje najgorih scenarija.

Testiranje penetracije ne oslanja se samo na alate za skeniranje ranjivosti. Rad se nastavlja istraživanjem nalaza, korištenjem iskorištavanja ili testiranja kako bi se isključili lažni pozitivni rezultati i poduzimajući sve što je moguće da se otkriju skrivene ranjivosti ili ono što nazivamo lažno negativnim.

Takva istraživanja često uključuju iskorištavanje otkrivenih ranjivosti, procjenu razine pristupa koju eksploatacije pružaju i iskorištavanje toga. povećana razina pristup kao polazna točka za dodatne napade na ciljni sustav.

To zahtijeva kritičku analizu ciljnog okruženja, ručno traženje ranjivosti, kreativnost, sposobnost razmišljanja izvan okvira. Sve su to pristupi otkrivanju dodatnih ranjivosti koji zahtijevaju druge alate koji mogu pronaći ranjivosti gdje su mogućnosti najmoćnijih automatski skeneri... Često, nakon dovršetka ovog koraka, cijeli proces počinje iznova i iznova kako bi se osiguralo da je posao gotov i dobro obavljen.

Unatoč složenosti i svestranosti tradicionalnog penetracijskog testiranja, napredak takvog istraživanja može se pojednostaviti rastavljanjem u nekoliko koraka. Vrijedi napomenuti da Kali olakšava odabir softvera za svaki od ovih koraka. Dakle ovdje plan korak po korak penetracijsko testiranje s komentarima o korištenim alatima:

  • Prikupljanje informacija. U ovoj fazi pentesterovi napori su usmjereni na učenje što je više moguće o ciljnom okruženju. Ova aktivnost je obično neinvazivna i izgleda kao normalna aktivnost korisnika. Ove radnje čine osnovu za ostale korake istraživanja i stoga bi trebale dovesti do prikupljanja što potpunijih podataka o sustavu. Odjeljak Prikupljanje informacija u izborniku Kali Linux Applications sadrži desetke alata dizajniranih da otkriju što je više moguće informacija o sustavu koji se istražuje.
  • Otkrivanje ranjivosti. Ovaj korak se često naziva "proaktivno prikupljanje informacija". Stručnjak, pokušavajući identificirati potencijalne ranjivosti u ciljnom okruženju, još ne napada sustav, već se ponaša drugačije od redoviti korisnik... Ovdje se često događa gore opisano skeniranje sustava za ranjivosti. U ovom koraku studija bit će korisni programi iz odjeljaka Analiza ranjivosti, Analiza web aplikacija, Procjena baze podataka i Obrnuti inženjering.
  • Iskorištavanje ranjivosti. Posjedujući popis otkrivenih potencijalnih ranjivosti, u ovoj fazi istrage, stručnjak ih pokušava upotrijebiti kako bi pronašao uporište u ciljnom okruženju. Alati koji se mogu pronaći u kategorijama Analiza web aplikacija, Procjena baze podataka, Napadi lozinkom i Alati za iskorištavanje korisni su u ovom nastojanju.
  • Infiltracija u sustav i stealth dohvaćanje podataka. Nakon što se istraživač uspio učvrstiti u sustavu, morate krenuti dalje. U pravilu, u ovoj fazi traže način da povećaju privilegije na razinu koja odgovara onoj potrebnoj za dostizanje ciljanih sustava koji su prethodno bili nedostupni, te iz njih potajno izvući tajne podatke. U ovom koraku možete pristupiti odjeljcima izbornika aplikacije Napadi lozinkom, Alati za iskorištavanje, Njuškanje i lažiranje i Post iskorištavanje.
  • Priprema izvještaja. Nakon završetka aktivne faze studije potrebno je dokumentirati poduzete radnje i pripremiti izvješće. Obično ovaj korak nema istu tehničku složenost kao prethodni. Međutim, uz kvalitetna izvješća klijent može dobiti punu nagradu za novac, stoga nemojte podcjenjivati ​​važnost ove faze istraživanja. Odgovarajuće alate možete pronaći u odjeljku Alati za izvješćivanje u izborniku Aplikacije.
U većini slučajeva, testiranje penetracije bit će osmišljeno vrlo različito, jer će svaka organizacija biti izložena različitim prijetnjama i imat će različite resurse za zaštitu. Kali Linux daje univerzalna baza da biste riješili takve probleme, ovdje možete iskoristiti brojne mogućnosti za konfiguriranje Kalija. Mnoge organizacije koje provode ovo istraživanje podržavaju prilagođene verzije Kali LInuxa za unutarnja upotreba... To im omogućuje da ubrzaju implementaciju sustava prije novih istraživanja.

Među često susrećenim dodatne postavke Kali Linux može se primijetiti po sljedećem:

  • Predinstalacija licenciranih komercijalnih paketa. Na primjer, postoji paket poput plaćenog skenera ranjivosti koji se planira koristiti tijekom mnogih sesija testiranja penetracije. Kako biste izbjegli potrebu za instaliranjem ovog paketa na svaku implementiranu kopiju Kalija, možete ga integrirati u sustav. Kao rezultat toga, ovaj će se paket instalirati svaki put kada se Kali implementira.
  • Unaprijed konfigurirani VPN s obrnutom vezom. Ovo je vrlo zgodna značajka za uređaje koji su namjerno ostavljeni povezani unutar mreže koja se istražuje. Takvi uređaji omogućuju "daljinsko unutarnje" istraživanje. Uređaj za obrnutu vezu povezuje se s računalom pentestera, stvarajući tunel koji se može koristiti za spajanje na unutarnjim sustavima... Kali Linux ISO distribucije Dooma primjer je upravo takve posebne postavke sustava.
  • Unaprijed instalirani alati i vlasnički programi. Mnoge organizacije imaju interne alate koji su potrebni tijekom sesija testiranja penetracije, tako da njihova predinstalacija tijekom prilagođenog snimanja može uštedjeti vrijeme.
  • Prethodno konfiguriranje konfiguracije OS-a, uključujući konfiguriranje mapiranja imena hosta na IP adrese, pozadine radne površine, postavke proxy poslužitelja i tako dalje. Mnogi korisnici Kalija preferiraju određene postavke sustava. Ako ćete redovito ponovno instalirati sustav, možda bi imalo smisla zadržati ove postavke.

11.2.4. Istraživanje primjene

Većina mjera za procjenu sigurnosti sustava prilično je velikih razmjera. Značajka aplikacijskog istraživanja je činjenica da se proučava određeni program. Ova vrsta istraživanja postaje sve češća zbog složenosti vitalnih aplikacija koje koriste tvrtke. Mnoge od ovih aplikacija su stvorene sami od sebe ove tvrtke. Ako je potrebno, istraživanje primjene može pratiti druge vrste istraživanja. Među vrstama aplikacija koje se mogu istražiti radi sigurnosti, može se primijetiti sljedeće:
  • Web aplikacije. Te su aplikacije često na meti kibernetičkih kriminalaca jer obično imaju značajnu površinu napada i dostupne su s interneta. Standardni testovičesto može otkriti temeljne probleme u web aplikacijama. Međutim, detaljnija studija, iako može potrajati, omogućuje vam da pronađete skrivene nedostatke u aplikacijama. Za izvođenje ovih testova možete koristiti metapaket kali-linux-web koji sadrži mnoge korisne alate.
  • Desktop aplikacije distribuirane kao izvršne datoteke. Poslužiteljske aplikacije nisu jedine mete napadača. Desktop aplikacije su također podložne napadima. U prošlim godinama, mnogi desktop programi, kao što su PDF čitači ili video aplikacije koje koriste internet, napadnute su višestrukim napadima, što je dovelo do njihovog poboljšanja. Međutim, još uvijek postoje mnoge desktop aplikacije u kojima, kada pravi pristup, možete pronaći mnogo ranjivosti.
  • Mobilne aplikacije. Sa sve većom popularnošću Mobilni uredaji, mobilne aplikacije postaju stalni predmeti sigurnosnih istraživanja. Te se primjene vrlo brzo razvijaju i mijenjaju, pa metodologija istraživanja u ovom području još nije dovoljno zrela, što dovodi do redovitog, gotovo tjednog, pojavljivanja novih metoda. Alati povezani s učenjem mobilnih aplikacija mogu se pronaći u odjeljku izbornika aplikacije Kali Linux Reverse Engineering.
Istraživanje primjene može učiniti većina različiti putevi... Na primjer, možete koristiti automatizirani alat dizajniran za testiranje određene aplikacije kako biste identificirali potencijalne probleme. Sličan automatska sredstva pokušava pronaći nepoznate slabosti na temelju načina na koji aplikacije rade, umjesto da se oslanjaju na skup unaprijed definiranih potpisa. Alati za analizu programa moraju uzeti u obzir osobitosti njihovog ponašanja. Na primjer, popularni skener ranjivosti web aplikacije Burp Suite. Dok istražuje aplikaciju, pronalazi polja za unos, a zatim izvodi razne SQL injection napade, dok promatra aplikaciju kako bi identificirao napade koji su bili uspješni.

Postoje i složeniji scenariji istraživanja aplikacija. Takve se studije mogu izvesti online. Koriste modele crno-bijelih kutija.

  • Istraživanje metodom crne kutije. Alat (ili istraživač) stupa u interakciju s aplikacijom bez posebnih znanja o njoj ili posebnog pristupa njoj koji premašuje mogućnosti prosječnog korisnika. Na primjer, u slučaju web aplikacije, istraživač može imati pristup samo funkcijama i mogućnostima, otvoren korisniku koji nije ovlašten u sustavu. Svaki korišteni račun bit će isti koji se obični korisnik može sam registrirati. To će spriječiti napadača da analizira funkcionalnost koja je dostupna samo privilegiranim korisnicima, čije račune mora kreirati administrator.
  • Istraživanje bijele kutije. Alat (ili istraživač) često ima potpuni pristup izvornom kodu aplikacije, administrativni pristup platformi na kojoj radi i tako dalje. To osigurava da se izvrši potpuna i temeljita analiza svih mogućnosti aplikacije, bez obzira na to gdje se nalazi funkcionalnost koja se proučava. Nedostatak takve studije je što nije imitacija stvarnih postupaka uljeza.
Naravno, tu su i nijanse sive između bijele i crne. Obično je način na koji će aplikacija funkcionirati određen ciljevima istraživanja. Ako je cilj saznati što bi se moglo dogoditi s aplikacijom koja je ciljana vanjskim napadom, tada je testiranje crne kutije vjerojatno najbolje. Ako je cilj identificirati i eliminirati što je više moguće više sigurnosnih problema u relativno kratkom vremenu, studija bijele kutije može biti učinkovitija.

U drugim slučajevima može se primijeniti hibridni pristup kada istraživač nema puni pristup na izvorni kod aplikacije za platformu na kojoj se izvodi, ali račun koji joj je izdao pripremio je administrator i daje pristup što većem broju značajki aplikacije.

Kali je idealna platforma za sve pristupe istraživanju aplikacija. Nakon instaliranja standardne distribucije, ovdje se može pronaći mnogo skenera specifičnih za aplikaciju. Postoje i alati za naprednija istraživanja. To uključuje izvorne urednike i okruženja za skriptiranje. U slučaju istraživanja primjene, možda ćete pronaći korisnih materijala iz odjeljaka Dodaj oznake

Vrhunski povezani članci

Najbolji programi za stvaranje osnovne i elektronske glazbe
Najbolji programi za stvaranje osnovne i elektronske glazbe
Opća struktura datoteka tema
Opća struktura datoteka tema
Osnovna načela korištenja boja u web dizajnu
Osnovna načela korištenja boja u web dizajnu
Kategorije:
© 2021 bumotors.ru. Kako postaviti pametne telefone i računala. Informativni portal.