Cum se configurează smartphone-uri și PC-uri. Portal informativ

IB. NPA

28.04.2019 știri

IDENTIFICAREA VULNERABILITĂȚILOR SISTEMELOR INFORMAȚIONALE

Serghei Konovalenko

absolvent al școlii militare superioare din Krasnodar,

Rusia, Krasnodar

Igor Korolev

doctor în inginerie, profesor, profesor al departamentului de tehnologii informaționale protejate, școala militară superioară din Krasnodar,

Rusia, Krasnodar

ADNOTARE

Evaluat fondurilor existente analiza de securitate sisteme de informare, pe baza cărora se construiesc modelele de dezvăluire, identificare și evaluare a imaginilor vulnerabilităților sistemelor informaționale. Au fost determinate principalele caracteristici (elemente) inerente imaginilor vulnerabilităților existente ale sistemelor informaționale.

ABSTRACT

A fost efectuată o evaluare a instrumentelor existente pentru analiza securității sistemelor informaționale. Pe baza rezultatelor obținute au fost construite modele de detectare, identificare și evaluare a imaginilor vulnerabilităților sistemelor informaționale. Au fost definite principalele caracteristici (elemente) inerente imaginilor vulnerabilităților sistemelor informaționale existente.

Cuvinte cheie: Identificare; Sistem informatic; Identificare; nota; descrierea imaginii; vulnerabilitate.

Cuvinte cheie: detectare; Sistem informatic; Identificare; evaluare; descrierea imaginii; vulnerabilitate.

Orice sistem informatic (denumit în continuare IS) are anumite vulnerabilități, a căror listă este destul de extinsă și este supusă în permanență actualizării (extinderii). Vulnerabilitățile IS sunt cauzate de deficiențe (erori) apărute în procesul „ciclului de viață” al acestui sistem. Din această perspectivă, posibilitatea implementării amenințărilor la adresa securității IS depinde direct de acțiunile unui atacator de a detecta și de a utiliza vulnerabilitățile sale inerente. Pe de altă parte, procesul de identificare a vulnerabilităților IP realizat de un specialist este fundamental în contracararea unui atacator în stadiile incipiente ale atacurilor.

Scopul acestui articol este de a construi modele generalizate pentru identificarea, identificarea și evaluarea imaginilor vulnerabilităților IS, precum și determinarea caracteristicilor (elementelor) inerente imaginilor vulnerabilităților existente, care să permită unui specialist să-și sistematizeze mai bine munca în domeniul asigurării securității SI controlate.

Potrivit GOST R 56545-2015, „vulnerabilitatea” este o lipsă (slăbiciune) a unui instrument software (software și hardware) sau IS în ansamblu, care (care) poate fi folosit pentru a implementa amenințări la adresa securității informațiilor. „Sistemul informațional” este un ansamblu de informații conținute în baze de date (denumite în continuare - DB) și tehnologii informaționale și mijloace tehnice care asigură prelucrarea acestuia.

Orice vulnerabilitate IS poate fi reprezentată ca o imagine care include un set de anumite caracteristici (elemente care descriu o anumită vulnerabilitate), format după anumite reguli.

Descrierea vulnerabilității IP este informații despre vulnerabilitatea identificată (descoperită). Regulile de descriere a vulnerabilității IP sunt un set de prevederi care guvernează structura și conținutul descrierii vulnerabilității.

Conform imaginilor cu vulnerabilități, acestea sunt împărțite în imagini cu vulnerabilități cunoscute, imagini cu vulnerabilități zero-day și imagini cu vulnerabilități nou descoperite. O vulnerabilitate cunoscută este o vulnerabilitate dezvăluită public care descrie măsuri adecvate de securitate a informațiilor, remedieri de defecte și actualizări aferente. O vulnerabilitate zero-day este o vulnerabilitate care devine cunoscută înainte ca dezvoltatorul de componente IC să lanseze măsuri adecvate de securitate a informațiilor, remedieri de defecte sau actualizări adecvate. O vulnerabilitate nou identificată este o vulnerabilitate care nu a fost publicată în domeniul public.

Fiecare tip de imagini de vulnerabilitate IP are atât caracteristici generale, cât și specifice (elemente) care pot fi rezumate într-un tabel. Un exemplu de tabel este prezentat mai jos.

Tabelul 1.

Elemente ale diferitelor tipuri de imagini de vulnerabilitate IP

Caracteristicile imaginii de vulnerabilitate

Element inerent imaginii unei vulnerabilități cunoscute

Element inerent unei imagini de vulnerabilitate zero-day

Element inerent imaginii unei vulnerabilități nou identificate

Locul de detectare (identificare) a vulnerabilităților în IP.

Metoda de detectare (dezvăluire) a vulnerabilității.

Numele vulnerabilității.

Înainte de a trece la modelele de identificare, identificare și evaluare a imaginilor vulnerabilităților, este necesar să se clarifice faptul că SI este format din niveluri:

  • nivelul aplicației software (denumit în continuare software), care este responsabil pentru interacțiunea cu utilizatorul;
  • nivelul sistemului de management al bazei de date (denumit în continuare SGBD), care este responsabil pentru stocarea și prelucrarea datelor IS;
  • nivelul sistemului de operare (denumit în continuare OS), care este responsabil pentru întreținerea SGBD și a aplicației software;
  • stratul de rețea responsabil pentru interacțiunea nodurilor IS.

Diferite tipuri (clase) de vulnerabilități sunt asociate cu fiecare dintre nivelurile IS. Pentru identificarea vulnerabilităților este necesară dezvoltarea unor modele de identificare, identificare și evaluare a vulnerabilității.

Principalele surse ale vulnerabilităților IP sunt:

  • erori în dezvoltarea (proiectarea) SI (de exemplu, erori în software);
  • erori în implementarea SI (erori ale administratorului IS) (de exemplu, setarea sau configurarea incorectă a software-ului, conceptul neeficient al politicii de securitate etc.);
  • erori la utilizarea IS (erori ale utilizatorului) (de exemplu, parole slabe, încălcarea politicii de securitate etc.).

Pentru a identifica, identifica și evalua vulnerabilitățile IS, precum și pentru a genera rapoarte și pentru a elimina (neutraliza) vulnerabilitățile, sunt utilizate instrumente de analiză a securității rețelei (denumite în continuare SAS) (scanere de securitate (denumite în continuare SAT)), care pot fi împărțite in doua tipuri:

  • rețea BACS (SB) (efectuează analize de la distanță a stărilor gazdelor monitorizate la nivel de rețea);
  • SAS (SB) la nivelul OS (efectuați o analiză locală a stărilor gazdelor monitorizate, uneori este necesar să instalați un agent special pe gazdele monitorizate).

Relevanța aplicației BAS (SB) se datorează faptului că specialistul este capabil să determine în prealabil o listă suficient de mare de tipuri (clase) de vulnerabilități inerente IS controlat și să ia măsurile necesare (în unele cazuri , încercați să luați) pentru a le elimina sau a elimina (minimiza) posibilitatea utilizării vulnerabilităților detectate de către un atacator.

Pentru sistematizarea muncii unui specialist în domeniul securității controlate de IS, iar pe baza analizei, se construiește un model generalizat de identificare a imaginilor vulnerabilităților IS (Figura 1).

Figura 1. Model generalizat pentru identificarea imaginilor vulnerabilităților IP

Procesul de identificare a vulnerabilităților IS este construit prin efectuarea de verificări pasive (scanare - scanare) și verificări active (probing - sonda) pentru prezența vulnerabilităților în IS-ul controlat.

În timpul procesului de scanare, BAC-ul, trimițând cereri corespunzătoare către IS-ul controlat (la porturile gazdei controlate), analizează bannerele returnate (antetele pachetelor de date) și trage concluzii adecvate despre tipul de IS și prezența potențialului ( posibil) vulnerabilitățile acestuia. Rezultatul scanării nu indică întotdeauna prezența unor posibile vulnerabilități (tipice) IS sută la sută, deoarece conținutul text al bannerului ar fi putut fi modificat special, sau vulnerabilitățile cunoscute inerente acestui IS au fost eliminate de un specialist în procesul de implementarea (utilizarea) acestuia. O altă modalitate de efectuare a acțiunilor de scanare este verificările de sondare activă, care oferă posibilitatea de a analiza amprenta digitală returnată (amprenta digitală) a fragmentului software al CI controlat (adică, pentru a efectua procesul de comparare a rezultatului obținut cu o impresie digitală a unui vulnerabilitate cunoscută de acest tip ESTE). Aceasta metoda oferă o procedură mai fiabilă și mai precisă pentru identificarea posibilelor vulnerabilități (tipice) controlate ale IS.

În procesul de sondare, BAC-ul simulează execuția unui atac asupra unui IS controlat, folosind o imagine a unei posibile vulnerabilități (tipice) obținută în timpul scanării. Rezultatul procesului de sondare este cel mai precis și informaţii de încredere privind prezența vulnerabilităților în IP controlat. Această metodă nu este întotdeauna utilizată, deoarece există posibilitatea de a funcționa defectuos (dezactivarea) CI controlat. Decizia de aplicare a metodei de mai sus este luată de administratorul de rețea în cazurile de execuție ineficientă sau necesitatea confirmării rezultatelor scanării și verificărilor de sondare active.

Rezultatele scanării și sondajului sunt trimise în baza de date a vulnerabilităților, care stochează imagini ale vulnerabilităților IS-ului controlat. Pe baza procedurii de comparare a imaginii vulnerabilității detectate cu imaginile vulnerabilităților IS controlat, CAZ generează un raport privind absența sau prezența potrivirilor în imaginile vulnerabilităților (detecția vulnerabilităților), care este stocat în baza de date a vulnerabilităților.

Modelul generalizat pentru identificarea imaginilor vulnerabilităților detaliază modelul generalizat pentru identificarea și evaluarea imaginilor vulnerabilităților IS (Figura 2).

Figura 2. Model generalizat de identificare și evaluare a imaginilor vulnerabilităților IP

Procesul de identificare a unei imagini a unei vulnerabilități IS detectate, care are caracteristici (elemente) specifice, se realizează prin intermediul unei proceduri de comparare a acesteia cu imaginile vulnerabilităților cunoscute și vulnerabilităților zero-day stocate în baza de date de vulnerabilități. O descriere oficială a vulnerabilităților cunoscute și a vulnerabilităților zero-day este întocmită sub formă de pașapoarte, care conțin informații despre caracteristicile (elementele) specifice unei anumite vulnerabilități. Pentru a identifica cu acuratețe o imagine a unei vulnerabilități detectate, aceasta trebuie să conțină informații despre numele și versiunea software-ului IS în care a fost găsită vulnerabilitatea, despre identificatorul, numele și clasa vulnerabilității detectate. Pe baza informațiilor de mai sus, BAC-ul corelează imaginea vulnerabilității detectate cu unul dintre tipurile de imagini de vulnerabilitate. Pentru o evaluare de înaltă calitate, imaginea identificată a vulnerabilității, la rândul său, trebuie să conțină informații despre identificatorul și tipul de defect IS în care a fost detectată vulnerabilitatea, despre locul unde a fost descoperită vulnerabilitatea în IS și despre modalitatea de identificare a vulnerabilității. Procesul de evaluare a imaginii vulnerabilității se încheie cu elaborarea de recomandări pentru eliminarea vulnerabilității sau excluderea posibilității exploatării acesteia. În cazurile în care a fost detectată o imagine a unei vulnerabilități nou identificate, SAZ plasează informații despre aceasta în baza de date de vulnerabilități cu formarea unui nou pașaport de vulnerabilitate zero-day. Când un dezvoltator IS emite măsuri de protecție a informațiilor, actualizările necesare iar la remedierea defectelor, vulnerabilitatea zero-day devine o vulnerabilitate cunoscută.

Rezumând rezultatele acestui articol, observăm că un specialist în securitate IS este obligat să lucreze constant pentru a identifica vulnerabilitățile din sistem, să înțeleagă și să înțeleagă clar procesele care au loc în BAS, să monitorizeze actualizarea (extinderea) bazei de date de vulnerabilități, în timp util. eliminați defectele din sistem, instalați măsurile de protecție adecvate și actualizările pentru IP controlat.

Bibliografie:

  1. Astahov A.S. Analiza de securitate a rețelelor automatizate corporative // ​​Jet Info Bulletin. - 2002. - Nr. 7 (110). / - [ Resursa electronica]. - Mod de acces: URL: http://www.jetinfo.ru
  2. Gorbatov V.S., Meshcheryakov A.A. Analiza comparativa controale de securitate rețea de calculatoare// Securitatea tehnologiilor informaționale. - 2013. - Nr. 1. / - [Resursa electronica]. - Mod de acces: URL: http://www.bit.mephi.ru
  3. GOST R 56545-2015 „Securitatea informațiilor. Vulnerabilitatea sistemelor informatice. Reguli de descriere a vulnerabilităților”. - M .: Standartinform, 2015.
  4. GOST R 56546-2015 „Securitatea informațiilor. Vulnerabilitatea sistemelor informatice. Clasificarea vulnerabilităților sistemelor informaționale”. - M .: Standartinform, 2015.
  5. Lukatskiy A.V. Cum funcționează un scanner de securitate? / - [Resursă electronică]. - Mod de acces: http://www.citforum.ru/security/internet/scaner.shtml (Data accesului: 14.09.2016).
  6. Lukatskiy A.V. Detectarea atacurilor. - SPb. : Editura „BVH”, 2001. - 624 p.
  7. Manualul utilizatorului pachete software„Instrument de analiză de securitate Scanner-VS”. NPESH.00606-01. CJSC NPO Echelon, 2011.
  8. Scaner de securitate XSPider. Ghidul administratorului / - [Resursă electronică]. - Mod de acces: http://www.ptsecurity.ru (Data accesului: 15.09.2016).
  9. Scaner de securitate MaxPatrol. Sistem de control al securității / - [Resursă electronică]. - Mod de acces: http://www.ptsecurity.ru (Data accesului: 16.09.2016).
  10. Stephen Northcutt, Judy Novak. Detectarea breșelor de securitate în rețele. Ed. a III-a: Per. din engleza - M .: Editura „Williams”, 2003. - P. 265–280.

Continuăm să luăm în considerare modificările recente ale ordinului FSTEC al Rusiei nr. 17. De data aceasta - o analiză a vulnerabilităților GIS.

Acum este necesar ca analiza vulnerabilităților GIS să fie efectuată în 3 din 6 etape ale ciclului de viață al unui sistem de securitate GIS: formarea cerințelor, implementarea și certificarea.

1. În etapa de analiză a amenințărilor la adresa securității informațiilor GIS, este necesar să se efectueze o analiză posibil Vulnerabilitățile IS, în timp ce se folosește FSTEC din Rusia BDU, precum și alte surse de date despre vulnerabilități ca date de intrare. Modelul de amenințare trebuie să includă o descriere posibil vulnerabilități IP.

Principala diferență față de alte etape constă în cuvântul „posibil”. Nu real, dar posibil. Și cu o bună imaginație, totul va fi posibil pentru noi. Din câte înțeleg, trebuie să existe un fel de clasificare a tuturor vulnerabilităților posibile și excluderea tipurilor necorespunzătoare de vulnerabilități prin anumite motive(absența unui obiect de influență, anumite caracteristici structurale, IT neutilizat).

Problema este că nu există o astfel de clasificare a vulnerabilităților în DBU FSTEC în secțiunea Vulnerabilități. În plus, secțiunea Vulnerabilități listează doar vulnerabilitățile software reale. Dar cum rămâne cu vulnerabilitățile GIS în general? Dezavantajele org. masuri?

De fapt, lista unor astfel de posibile vulnerabilități este ascunsă într-o formă nestructurată în textul amenințărilor la adresa NDU FSTEC: „ Această amenințare din cauza vulnerabilităților unor plăci de sistem (plăci de bază) - prezența mecanismelor hard reset parolele setate în BIOS / UEFI „sau” Această amenințare este cauzată de slăbiciuni în filtrarea traficului de rețea și controlul antivirus la nivel de organizație.”

2. La etapa de implementare a sistemului de securitate informatică se impune o analiză efectivă a vulnerabilităților.

„La analizarea vulnerabilităților sistemului informațional, absența vulnerabilități cunoscute mijloace de protejare a informațiilor, hardware-ului și software-ului, inclusiv luarea în considerare a informațiilor disponibile dezvoltatorilor și obținute din alte surse disponibile publicului; instalare și configurare corectă mijloace de securitate a informațiilor, hardware și software, precum și corectitudinea muncii protecția informațiilor înseamnă atunci când interacționați cu hardware și software.

Pe baza rezultatelor analizei vulnerabilităților, ar trebui să existe confirmat ce este în sistemul informațional nu există vulnerabilități conținute în banca de date pentru amenințări securitatea informațiilor FSTEC din Rusia, precum și în alte surse, sau utilizarea lor (operarea) de către contravenient este imposibilă.”


Dar este bine că vulnerabilitățile au câmpuri precum Producător, Nume software, Versiune software. După ce ați compilat în prealabil o listă completă de software, puteți face o selecție a vulnerabilităților necesare. Dar cum rămâne cu rezultatele? De exemplu, pentru Windows 8.1 - 247 vulnerabilități în NOS. În continuare, trebuie să urmați linkul din fiecare surse externeși verificați ce s-a propus acolo pentru a elimina vulnerabilitățile, verificați actualizări instalate pentru aceste vulnerabilități.

Manual - dificil. Aș dori ca scanerele de vulnerabilitate să poată lucra cu NOS și să facă totul pentru noi. Să aruncăm o privire...

RedCheck de la Altex-Soft: „RedCheck caută vulnerabilități în baza noastră de date ovaldb, care este sincronizată cu baza de date a amenințărilor de securitate a informațiilor FSTEC din Rusia! Lista vulnerabilităților poate fi găsită pe site-ul bazei de date https: // ovaldb .altx -soft .ru / Definiții .aspx? Refsource = FSTEC. "

Pare ok. Păcat doar ultima vulnerabilitate de pe link - din 2016. Și în BDU sunt deja foarte multe pentru 2017.

Network Auditor 3.0 de la CBI: „ Auditorul de rețea caută inițial vulnerabilitățile incluse în FSTEC din Rusia (http://bdu.fstec.ru) sisteme de operare Windows și aplicațiile și instrumentele de securitate a informațiilor care funcționează în ele, inclusiv designul rusesc. Pe lângă căutarea vulnerabilităților din baza de date de vulnerabilități FSTEC din Rusia, Network Auditor Network Scanner versiunea 3.0 caută vulnerabilități conținute în surse precum cve.mitre.org, ovaldb.altx-soft.ru, microsoft.com și alte surse. "

XSpider de la Positive Technologies „Cu siguranță va exista o astfel de oportunitate. În iunieîn cadrul recertificării XSpider, un ansamblu cu astfel de funcționalități va fi transferat la laboratorul de testare FSTEC”.

Scanner-VS de la Echelon „Scanner-VS sprijină căutarea vulnerabilităților în NDU-ul FSTEK Rusia”. Adevărat, experiența a arătat că versiunea actuală, certificată, nu acceptă.

În total, în viitor, este posibil ca scanerele să facă totul pentru noi, dar în acest moment Nu am găsit un raport gata făcut care să confirme absența vulnerabilităților din BDU-ul FSTEC. Și întrebări despre relevanța bazelor de date - va fi necesar să verificați cu atenție rezultatele și, eventual, să vizualizați manual cele mai recente vulnerabilități.

În plus, nu uitați că analiza vulnerabilităților include și o analiză a setărilor sistemului de securitate a informațiilor, software și hardware și analiza corectitudinii funcționării sistemului de securitate a informațiilor.

3. La etapa de calificare sunt necesare următoarele probe „Analiza vulnerabilităților sistemului informațional, inclusiv a celor cauzate setare greșită(configurarea) software-ului și securitatea informațiilor "în acest caz, deoarece sunt utilizate datele inițiale „Rezultatele analizei vulnerabilităților sistemului informațional”... Cum este in general?

Repetăm ​​doar ceea ce am făcut în etapa de implementare? Având în vedere ultimele cerințe la separarea evaluatorilor și implementatorilor, se pare că se bazează pe analiza selectivă independentă duplicat.

INTRODUCERE

Infrastructura IT corporativă este un mecanism complex multicomponent conceput pentru a automatiza procesele de afaceri ale unei companii. Infrastructura domeniului, servicii de mail, aplicatii web, sisteme de afaceri - toate acestea stau la baza oricarui sistem informatic corporativ. În funcție de dimensiunea companiei și de numărul de angajați ai acesteia, dimensiunea infrastructurii IT va diferi și ea. Dar, în ciuda acestui fapt, majoritatea companiilor au probleme comune legate de asigurare securitatea informatiei sisteme de informare. De exemplu, în timpul răspândirii virusului ransomware WannaCry, au fost afectate peste 500 de mii de computere aparținând, printre altele, agențiilor guvernamentale. companii mariși mici organizații comerciale. Acest incident confirmă că absolut orice organizație poate suferi de atacuri rău intenționate.

Acest studiu identifică principalele tendințe în analiza securității sistemelor informaționale corporative și vă permite să determinați:

  • care sunt cei mai probabili vectori de atac pe care ii poate folosi un intrus pentru a avea acces la resurse rețeaua corporativă;
  • ce vulnerabilități sunt cele mai frecvente pe perimetrul rețelei;
  • cât de periculoase sunt acțiunile unui intrus care are acces la resursele LAN;
  • ce defecte de securitate permit unui atacator să obțină privilegii maxime infrastructura corporativă;
  • dacă atacurile de inginerie socială sunt încă relevante;
  • Cum să obțineți acces la resursele rețelei interne folosind atacuri asupra rețelelor wireless.

Ca bază de pregătire acest studiu am folosit date statistice pentru anul 2017 obținute din analiza securității sistemelor informaționale corporative efectuată de specialiștii Positive Technologies. Concluziile trase pot să nu reflecte starea actuală de securitate a sistemelor informatice din alte companii. Scopul studiului este de a atrage atenția specialiștilor în securitatea informațiilor asupra celor mai stringente probleme și de a-i ajuta să identifice și să elimine vulnerabilitățile în timp util.

1. REZUMAT

Analiza de securitate a perimetrului rețelei:

  • a fost posibilă depășirea cu succes a perimetrului rețelei și obținerea accesului la resursele LAN în 68% dintre proiectele de analiză a securității sistemelor informaționale corporative;
  • selectarea conturilor de dicționar pentru resursele de pe perimetrul rețelei și exploatarea vulnerabilităților în aplicațiile web sunt principalii vectori de atacuri pentru penetrare. rețeaua internă;
  • Pe baza rezultatelor scanării instrumentale a resurselor perimetrului rețelei, s-a constatat că 31% dintre companii erau expuse riscului de infectare cu virusul ransomware WannaCry.

Analiza securității resurselor interne:

  • în testarea de penetrare în numele unui atacator intern control total peste întreaga infrastructură a reușit să treacă peste toate sistemele;
  • vulnerabilitatea MS17-010 a fost găsită în 60% dintre sistemele corporative testate între 14 aprilie și 31 decembrie 2017, ceea ce indică instalarea prematură a actualizărilor critice de securitate ale sistemului de operare;
  • Protecția insuficientă împotriva restaurării conturilor din memoria sistemului de operare este principala vulnerabilitate care permite obținerea controlului deplin asupra sistemului informațional corporativ.

Evaluarea gradului de conștientizare a angajaților:

  • 26% dintre angajați urmează un link către o resursă web de phishing, iar aproape jumătate dintre aceștia își introduc acreditările într-un formular de autentificare fals;
  • fiecare al șaselea angajat expune infrastructura corporativă la riscul de infectare cu virus.

Analiza securității rețelelor wireless:

  • În 75% din cazuri, un atacator poate obține acces la resursele interne ale rețelei prin atacuri asupra rețelelor wireless, precum și să obțină informații sensibile (de exemplu, conturi de utilizator de domeniu).

2. DATE INIȚIALE

Statisticile pentru 2017 se bazează pe rezultatele unei analize a securității a 22 de sisteme corporative aparținând atât companiilor rusești, cât și străine din diverse sectoare ale economiei. La selectarea proiectelor pentru cercetare s-a ținut cont de conținutul informativ al rezultatelor obținute. Proiecte care, la cererea clienților, au fost realizate la cantitate limitata nodurile nu au fost incluse în studiu, deoarece nu reflectă starea reală de securitate a sistemului informațional corporativ în ansamblu. Ca și în 2016, cea mai mare parte a testelor de penetrare a fost făcută pentru instituții financiare și companii industriale. Atacurile de succes asupra sistemelor corporative din sectoarele financiare și industriale tind să aducă criminali cibernetici beneficiu maxim... Un atac de succes asupra infrastructurii unei bănci duce adesea direct la furt Bani... Pătrunderea unui intrus în rețeaua internă a unei companii industriale poate duce nu numai la scurgerea de informații sensibile, care ulterior pot fi vândute companiilor concurente, ci și la perturbarea procesului tehnologic.

Analiza de securitate a rețelelor corporative a fost efectuată prin intermediul unor instrumente externe, interne și testare cuprinzătoare penetrare (aceasta din urmă include atât externă cât și internă). Testarea de penetrare - metoda eficienta analiza de securitate, care vă permite să identificați vulnerabilitățile din infrastructura corporativă și să obțineți o evaluare obiectivă, independentă a nivelului de securitate al acesteia. În timpul testării, se simulează acțiunile unui potențial intrus, efectuând atacuri atât de pe Internet, cât și din segmente ale rețelei interne a companiei. Această abordare vă permite să recreați condițiile în care operează de obicei infractorii și să eliminați rapid defectele de securitate.

Pentru al doilea an consecutiv, am observat interes pentru serviciile complete. Clienții noștri se străduiesc nu numai să își protejeze perimetrul rețelei de atacurile unui atacator extern, ci și să reducă riscurile asociate cu o LAN compromisă de către un atacator intern.


Pe lângă testarea de penetrare, pentru mulți clienți s-a lucrat și pentru a analiza securitatea rețelelor wireless și a evalua gradul de conștientizare a angajaților în problemele de securitate a informațiilor.


În acest an, rezultatele analizei de securitate perimetrală a rețelei obținute în timpul testelor de penetrare externă sunt comparate nu numai cu rezultatele cercetării de anul trecut, ci și cu statisticile obținute în cadrul cercetării instrumentale, care a fost efectuată în perioada de răspândire activă a virusul ransomware WannaCry. În T2 2017, Positive Technologies a oferit scanarea perimetrului extern gratuit pentru a identifica serviciile vulnerabile. Cererile au fost depuse de 26 de companii din diferite sfere economie. Statisticile privind testarea de penetrare externă în comparație cu rezultatele cercetării instrumentale vor fi discutate în detaliu mai târziu în secțiunea corespunzătoare.

3. STATISTICA PENTRU ANUL 2017

3.1. Rezultatele generale ale analizei de securitate

De regulă, la analiza securității din fiecare sistem, specialiștii noștri descoperă anumite vulnerabilități și neajunsuri ale mecanismelor de protecție, care, printre altele, permit dezvoltarea unui vector de atac până la compromiterea completă a infrastructurii companiei, obținerea accesului la informații sensibile. informații, efectuează atacuri de tip denial of service etc. Împărțim toate vulnerabilitățile în trei categorii: legate de defecte de configurare; legate de lipsa actualizărilor de securitate; legate de erori în codul aplicațiilor web. Pentru fiecare vulnerabilitate identificată, nivelul de severitate este determinat în conformitate cu sistemul de clasificare CVSS versiunea 3.0.


18 ani- vârsta celei mai vechi vulnerabilități CVE-1999-0532, descoperită în timpul analizei instrumentale a resurselor perimetrului rețelei




Comparativ cu anul trecut, ponderea sistemelor corporative în care au fost descoperite vulnerabilități de gravitate critică (CVSS ≥ 9.0) aproape sa dublat. Acest lucru se datorează în principal publicării informațiilor despre vulnerabilitatea critică MS17-010 în serviciul SMB al nodurilor care operează sub Control Windows... După publicarea exploit-urilor disponibile public în multe proiecte interne de testare a pătrunderii, experții noștri au folosit această vulnerabilitate pentru a obține controlul deplin asupra nodurilor LAN și pentru a escalada atacul până la obținerea de privilegii maxime în domeniu.

Pentru sistemele în care nu au fost identificate erori în codul aplicațiilor web și deficiențe asociate cu lipsa actualizărilor de securitate, trebuie avut în vedere că testarea de penetrare este efectuată prin metoda cutiei negre și este imposibil să se identifice toate vulnerabilități existente în limitele lucrării. Scopul principal al testării de penetrare este de a obține o evaluare obiectivă a securității unui sistem corporativ împotriva atacurilor intrușilor.

3.2. Rezultatele analizei securității perimetrului rețelei

Rezultatele testului de penetrare externă

La sfârșitul anului 2017, securitatea perimetrului rețelei sistemelor informaționale corporative a rămas la nivelul anului 2016. Totuși, în același timp, există tendința de a reduce complexitatea depășirii perimetrului rețelei. Dacă în 2016 doar 27% dintre proiecte dificultatea de a obține acces la resursele LAN a fost evaluată ca fiind banală, atunci până la sfârșitul anului 2017 această cifră se dublase, la 56%.


10 număr maxim vectori de pătrundere în rețeaua internă, identificați în timpul testării unui sistem informațional corporativ în 2017

Această distribuție se explică prin faptul că un atacator trebuie, în medie, să parcurgă doi pași pentru a obține acces la resursele LAN: de exemplu, să găsească acreditările de dicționar pentru autorizare într-o aplicație web și să folosească vulnerabilitățile acesteia pentru a putea executa comenzile OS pe gazda atacată.

Pe baza rezultatelor analizei securității sistemelor informaționale corporative, în medie, fiecare companie identifică doi vectori de pătrundere în rețeaua internă, numărul maxim de vectori detectați pentru o companie este de 10.

Puteți împărți toți vectorii de succes de penetrare în rețeaua internă în categorii:

  • 44% dintre vectorii de atac de succes se bazează pe ghicirea acreditărilor dicționarului pentru accesarea aplicațiilor web, DBMS și alte servicii disponibile pentru conectare pe perimetrul rețelei. Apoi atacatorul poate avea ocazia de a executa comenzi OS pe nodul atacat;
  • 28% dintre vectorii de atac se bazează pe exploatarea vulnerabilităților aplicațiilor web. Imediat în timpul mai multor teste externe au fost identificate vulnerabilități care permit într-un singur pas, fără a fi nevoie de autorizare, executarea de la distanță a comenzilor OS cu privilegiile unei aplicații web;
  • În 16% din cazuri, un atacator poate obține acces la resursele rețelei interne atunci când exploatează vulnerabilități în versiuni software învechite (de exemplu, în platformele CMS);
  • în alte cazuri, pentru un atac, un atacator poate exploata defectele de configurare asociate cu identificarea acreditărilor pentru a accesa sistemele din perimetrul rețelei din domeniul public, de exemplu, pe paginile unei aplicații web. În plus, au fost identificate cazuri când specialiștii noștri au găsit un interpret web încărcat anterior pe resursa web a companiei testate. Linie de comanda, care indică atacuri cu succes efectuate de atacatori externi.

Primele cinci vulnerabilități cele mai comune de pe perimetrul rețelei includ aceleași vulnerabilități ca în 2016, dar procentul acestora s-a schimbat. Putem observa o tendință generală descendentă a numărului mediu de vulnerabilități detectate în timpul testării externe de penetrare. De exemplu, în 2016, vulnerabilități legate de utilizarea acreditărilor de dicționar au fost identificate în toate sistemele testate; în 2017, acest indicator s-a înjumătățit. Aceste rezultate se datorează faptului că multe companii au efectuat anterior lucrări de analiză a securității sistemelor lor corporative. Ca urmare a unei astfel de lucrări, clienții au corectat cu succes majoritatea vulnerabilităților și erorilor de configurare identificate și au început să monitorizeze mai strict respectarea politicilor interne privind parolele. În consecință, atunci când testarea de penetrare externă a fost repetă după un an și jumătate, au fost descoperite mai puține vulnerabilități, ceea ce a avut în cele din urmă un efect pozitiv asupra rezultate generaleîn 2017.


Ca și în 2016, cel mai adesea vulnerabilitățile de pe perimetrul rețelei sunt detectate în aplicația softwareși în serverele web.



Rezultatele analizei instrumentale a securității perimetrului

După cum am menționat mai devreme, în al doilea trimestru al anului 2017, Positive Technologies a organizat o campanie pe scanare gratuită perimetrul extern al unui număr de companii în vederea identificării serviciilor vulnerabile. Scopul principal a fost de a contracara răspândirea virusului ransomware WannaCry. Au fost depuse cereri de scanare instrumentală a resurselor perimetrului rețelei de către 26 de companii din diverse sectoare ale economiei: companii IT și telecom, mari retaileri, companii din sectorul financiar și din industria petrolului și gazelor.

Toate companiile au trebuit mai întâi să definească limitele sistemelor lor corporative. Deja în această etapă, unii dintre participanți au avut dificultăți: 23% nu au putut să determine limitele perimetrului rețelei lor sau le-au determinat incorect. Incapacitatea de a determina limitele perimetrului rețelei este deja o dovadă a securității scăzute a sistemului informațional corporativ de la atacurile unui intrus extern - chiar înainte de a obține rezultatele unei analize manuale sau instrumentale a sistemului corporativ.

Scanarea perimetrelor rețelei a fost efectuată folosind un sistem automat de analiză a securității și control al conformității MaxPatrol și software suplimentar. Scanarea a scos la iveală multe vulnerabilități: 15% dintre ele au un nivel ridicat de risc conform scalei CVSS versiunea 2.0 și există exploit-uri disponibile public pentru a exploata unele dintre vulnerabilități.


Separat, puteți lua în considerare statistici privind cele mai populare vulnerabilități identificate în timpul scanării instrumentale a perimetrului rețelei. Dintre aceste vulnerabilități, cea mai periculoasă este CVE-2016-6515 în serviciul OpenSSH. Când introduceți o parolă pentru autentificare în aplicație, nu există limită pentru numărul de caractere introduse. Acest dezavantaj Permite unui atacator de la distanță să efectueze atacuri de tip denial of service. Există, de asemenea, un exploit 1 disponibil public pentru a exploata această vulnerabilitate. În plus, dacă un atacator poate ghici acreditările pentru conectarea prin SSH și obține privilegii de utilizator pe un sistem UNIX, atunci prezența vulnerabilității CVE-2016-10010 în OpenSSH îi va permite să-și mărească local privilegiile la maximum pe gazda compromisă folosind un alt exploit 2, apoi dezvolta un atac asupra resurselor LAN.


La analizarea serviciilor disponibile la perimetru, cel mai mare număr de vulnerabilități a fost identificat în aplicațiile web și serviciile de acces la distanță (SSH). Aceste rezultate ale analizei instrumentale coincid cu statisticile obținute în timpul testării externe de penetrare, unde vulnerabilitățile și defectele de configurare a aplicațiilor web au fost în majoritatea cazurilor punctul de plecare pentru obținerea accesului la resursele LAN.


În timpul analizei instrumentale a aplicațiilor web disponibile, statisticile privind starea certificatelor SSL au fost colectate separat. Mai mult de un sfert din certificate au expirat în momentul scanării, 15% au folosit algoritmi criptografici nesiguri (de exemplu, SHA-1) și fiecare al șaselea certificat a fost eliberat timp de mai mult de 5 ani.




Utilizarea certificatelor SSL expirate implică riscuri reputaționale pentru companii, deoarece utilizatorul, după ce primește un avertisment în fereastra browserului despre utilizarea unui certificat invalid în aplicație, poate refuza să viziteze resursa web.

Folosirea algoritmilor slabi de criptare anulează întregul scop al utilizării certificatelor SSL, deoarece un atacator poate intercepta traficul de rețea și apoi poate decripta cu succes datele primite. În plus, un atacator poate falsifica certificatul SSL și își poate crea propriul site de phishing, cu ajutorul căruia poate infecta utilizatorii cu malware și le poate fura acreditările. În același timp, utilizatorii pot crede că computerele lor au fost infectate după ce au vizitat site-ul web legitim al companiei.

Dacă un certificat SSL este emis pentru o perioadă mai mare de 5 ani, există riscuri asociate cu posibilitatea de a alege o cheie de criptare.

Să revenim la scopul principal al scanării instrumentale a resurselor perimetrului rețelei. În 8 companii din 26, noduri externe cu port deschis 445 / TCP care rulează serviciul SMB. Astfel, infrastructura aproape a fiecărei a treia companii era expusă riscului de infectare cu virusul ransomware WannaCry.

31% dintre companii riscă să fie infectate cu virusul ransomware WannaCry

3.3. Rezultatele analizei resurselor interne

În cazul unui atac de succes asupra resurselor perimetrului rețelei, un atacator extern poate obține acces la rețeaua internă și poate dezvolta în continuare atacul până la controlul deplin asupra întregii infrastructuri IT a companiei.

Ca și în 2016, în timpul testării de penetrare în numele unui atacator intern (de exemplu, un angajat obișnuit al companiei cu acces la un segment de utilizator al rețelei), a fost obținut controlul deplin asupra întregii infrastructuri în toate sistemele testate. Doar 7% dintre proiecte au evaluat dificultatea de a obține acces la resurse critice de către un atacator intern drept „Mediu”. În toate celelalte cazuri, un contravenient necalificat ar putea compromite întregul sistem corporativ.

Un vector tipic de atac pe o rețea internă se baza pe obținerea de privilegii maxime pe unul dintre nodurile LAN cu lansarea ulterioară a unui software specializat pentru extragerea acreditărilor altor utilizatori care se conectaseră anterior la acest nod. Repetând acești pași pe diferite gazde, un atacator ar putea găsi în cele din urmă gazda care stochează contul de administrator de domeniu și să-și recupereze parola în formă deschisă.

60% sisteme corporative testate între 14 aprilie și 31 decembrie 2017, vulnerabilitatea MS17-010 a fost descoperită

În 2017, sarcina de a obține privilegii maxime pe o gazdă din rețeaua internă pentru un atacator a fost mult simplificată după publicarea informațiilor despre vulnerabilitatea MS17-010. Pe 14 martie 2017, Microsoft a publicat o actualizare care remediază această vulnerabilitate, iar exact o lună mai târziu, pe 14 aprilie, grupul de hackeri Shadow Brokers a publicat exploit-ul EternalBlue 3 pentru a o exploata. În perioada de la jumătatea lunii aprilie până la sfârșitul anului, specialiștii noștri au folosit cu succes exploit-ul în 60% din testele interne de penetrare, ceea ce indică instalarea prematură a actualizărilor critice de securitate a sistemului de operare în majoritatea sistemelor corporative.

Spre sfârșitul anului 2017, a devenit mai comun să vezi sisteme corporative care au instalate actualizări care elimină vulnerabilitatea critică MS17-010. Cu toate acestea, mai multe proiecte pe gazde Windows au exploatat cu succes o altă vulnerabilitate critică descrisă în MS17-018 pentru escaladarea privilegiilor locale. Există, de asemenea, un exploit pentru această vulnerabilitate care nu este disponibil public.

Statisticile celor mai frecvente vulnerabilități din rețeaua internă au rămas practic neschimbate față de 2016. Excepția este categorie noua„Protecție insuficientă împotriva recuperării conturilor din memoria sistemului de operare.” Pe nodurile LAN care rulează Windows, este posibil să obțineți parole în text clar (sau sumele hash ale acestora) din memoria sistemului utilizând un software special - dacă intrusul are privilegii administrator local... Anterior, am pus această vulnerabilitate pe seama defectelor software-ului antivirus, care ar trebui să blocheze lansarea oricăror utilitare rău intenționate pentru extragerea acreditărilor. Cu toate acestea, recent au existat modificări ale unor astfel de utilități scrise în limbajul PowerShell, care sunt concepute special pentru a ocoli blocarea lansării de către orice software antivirus. Acum, pentru a vă proteja împotriva extragerii acreditărilor din memoria sistemului de operare, este necesar să folosiți o abordare cuprinzătoare, inclusiv dezactivarea salvării datelor din cache, accelerarea curățării memoriei procesului lsass.exe din conturile de utilizator deconectate și dezactivarea mecanismului wdigest. Alternativ, modern versiuni Windows 10, care implementează sistemul Remote Credential Guard, care vă permite să izolați și să protejați procesul de sistem lsass.exe de accesul neautorizat. Astfel, în 2017, pentru a evalua în mod obiectiv starea mecanismelor de protecție a rețelei corporative, am introdus o metrică separată pentru colectarea statisticilor privind lansarea de utilități menite să extragă acreditări.

În 14% dintre sistemele corporative, unde nu a fost găsită vulnerabilitatea „Protecție insuficientă împotriva recuperării conturilor din memoria sistemului de operare”, alți vectori de atac au fost utilizați pentru a obține controlul deplin asupra infrastructurii corporative.


Statisticile privind defectele în protecția protocoalelor de servicii au fost construite pe baza acelor proiecte în care analiza rețelei Trafic LAN(71% din companii). În unele proiecte, clienții au fost împotriva unor astfel de verificări, deoarece acestea ar putea duce la o încălcare muncă continuă retelelor.



Pe baza rezultatelor testelor interne, s-a stabilit că principalele probleme ale sistemelor informaționale corporative sunt instalarea prematură a actualizărilor critice de securitate și protecția insuficientă împotriva restaurării conturilor din memoria sistemului de operare cu ajutorul utilităților specializate.

4. REZULTATELE EVALUĂRII CONȘTIENTĂRII ANGAJAȚILOR ÎN PROBLEME DE SECURITATE A INFORMAȚIILOR

Pe lângă lucrările de testare de penetrare a sistemelor informaționale corporative, a fost efectuată o evaluare a gradului de conștientizare a angajaților în materie de securitate a informațiilor pentru o serie de companii. O astfel de muncă se desfășoară conform scenariilor convenite anterior cu clientul, în care atacurile reale ale infractorilor cibernetici sunt simulate folosind metode de inginerie socială și este monitorizat răspunsul angajaților la aceste atacuri.

Testarea angajaților a fost efectuată în două moduri - prin corespondență e-mailuriși în interacțiunile telefonice. Pentru a obține o evaluare obiectivă a nivelului de conștientizare a angajaților, au fost analizate următoarele evenimente controlate:

  • urmărirea unui link către o resursă web a atacatorului;
  • introducerea acreditărilor într-un formular de autentificare cu bună știință fals;
  • lansarea fisierului atasat scrisorii;
  • faptul interacțiunii cu atacatorul prin telefon sau e-mail.

Pe baza rezultatelor muncii, s-a constatat că 26% dintre angajați dau clic pe un link către o resursă web de phishing, iar aproape jumătate dintre aceștia își introduc ulterior acreditările într-un formular de autentificare fals. Fiecare al șaselea angajat expune infrastructura corporativă la riscul de infectare cu virus prin lansarea unui fișier atașat scrisorii. În plus, 12% dintre angajați sunt pregătiți să intre într-un dialog cu un intrus și să dezvăluie informații care pot fi folosite ulterior în atacuri asupra unui sistem de informații corporative.


În total, la evaluarea gradului de conștientizare a angajaților în 2017, au fost trimise peste 1.300 de e-mailuri, dintre care jumătate conțineau un link către o resursă de phishing, iar celălalt conținea un fișier cu un script special care trimitea specialiștilor noștri informații despre momentul deschiderii fișierului. , precum și adresa de e-mail a angajatului. Un atacator adevărat ar putea adăuga un set de exploit-uri la conținutul fișierului pentru a exploata diverse vulnerabilități, inclusiv CVE-2013-3906, CVE-2014-1761 și CVE-2017-0199. Un astfel de atac poate duce la ca un atacator să câștige controlul asupra stației de lucru a utilizatorului corespunzător, răspândindu-se cod rău intenționat, refuzul serviciului și alte consecințe negative.

Exemplu tipic de atac de inginerie socială:

  1. un atacator plasează un set de exploit-uri pentru diferite versiuni de software pe o resursă controlată;
  2. un link către această resursă este trimis în bloc în e-mailurile de phishing;
  3. un angajat al organizației urmează linkul din scrisoare, iar după deschiderea paginii în browser, vulnerabilitățile sunt exploatate.

Un astfel de atac poate duce la infecție. stație de lucru utilizatorul cu malware. De asemenea, la utilizare versiune învechită browserul poate implementa execuția codului de la distanță (de exemplu, CVE-2016-0189). Astfel, un atacator poate obține acces la o gazdă din rețeaua internă și poate escalada atacul la privilegii maxime în infrastructura corporativă. Pentru mai multe informații despre scenariile de atacuri care utilizează metode de inginerie socială, consultați studiul nostru „Cum ingineria socială deschide ușa pentru ca un hacker să intre în organizația dvs.” 4.

5. REZULTATELE EVALUĂRII DE SECURITATE A REȚELELOR CORPORATE FĂRĂ FĂRĂ

40% companiile folosesc cheia de dicționar pentru rețeaua fără fir

Atacurile asupra rețelelor fără fir reprezintă o modalitate alternativă pentru un intrus extern de a obține acces la resursele din rețeaua internă. Dacă încercarea de a depăși perimetrul rețelei eșuează, de exemplu, prin atacuri asupra aplicațiilor web, un atacator poate profita de vulnerabilitățile din rețelele wireless ale companiei. Pentru un atac de succes, va trebui să achiziționeze echipamente ieftine în avans și să intre în zona de acoperire a rețelei wireless. Mai mult, un atacator nu trebuie să intre în zona controlată a companiei pentru a efectua atacuri: conform rezultatelor muncii noastre, s-a stabilit că 75% dintre rețelele wireless sunt disponibile în afara acesteia. Adică, atacurile asupra rețelelor wireless pot fi efectuate discret dintr-o zonă din apropiere, de exemplu, dintr-o parcare de lângă o clădire de birouri.

În 2017, aproape toate rețelele wireless testate au folosit WPA2 cu metode diferite autentificare, dintre care cea mai comună a fost PSK (cheie pre-partajată).


Pot fi folosite diferite scenarii pentru a ataca rețelele wireless, în funcție de metoda de autentificare utilizată. În 2017, următoarele două scenarii au fost cel mai frecvent utilizate pentru a obține acces la resursele rețelei interne:

  • interceptarea strângerii de mână între punctul de acces și clientul legitim (potrivit doar pentru metoda PSK);
  • atacuri asupra clienților fără fir folosind un punct de acces fals (potrivit pentru toate metodele de autentificare).

În primul scenariu, parola pentru valoarea de strângere de mână interceptată este forța brută. Succesul depinde de complexitatea parolei utilizate. În același timp, este important să ținem cont de faptul că un atacator îl poate ridica deja în afara razei punctului de acces investigat. Dacă, în limitele muncii, specialiștii noștri nu reușesc întotdeauna să găsească o parolă pe baza valorii de strângere de mână, atunci atacatorul are mai mult timp, ceea ce îi crește semnificativ șansele.

După ghicirea parolei și conectarea la punctul de acces, s-a constatat că în 75% dintre rețelele wireless nu există izolare între utilizatori. Astfel, un atacator poate ataca dispozitivele utilizatorilor, de exemplu, exploatând vulnerabilitatea MS17-010 pe laptopurile lor personale și corporative.


Dacă nu a fost posibil să găsiți parola pentru punctul de acces, puteți utiliza al doilea scenariu cu instalarea unui punct de acces fals.

În primul rând, un atacator, împreună cu un punct de acces fals, poate folosi o pagină de autentificare pentru phishing pentru a obține acreditări și a intercepta informațiile sensibile transmise prin protocoale deschise de transfer de date (de exemplu, HTTP, FTP).

În 2017, ca parte a unuia dintre proiectele de analiză a securității unei rețele wireless din Moscova, specialiștii Positive Technologies au folosit un punct de acces fals cu un ESSID (Extended Service Set Identification) MT_FREE, care este popular în rândul cetățenilor, deoarece este utilizat. pentru a accesa o rețea Wi-Fi.desfăşurat în transportul public. În continuare, a fost pregătit un formular de autentificare fals care a folosit sigla și identitatea corporativă a companiei testate. După conectarea la un punct de acces fals, când încercau să deschidă orice site web, toți utilizatorii au fost redirecționați către o pagină cu un formular de autentificare fals în rețeaua corporativă. Ca urmare a acestui atac, a fost posibil să se obțină acreditările de domeniu ale angajaților companiei și să le folosească pentru a dezvolta în continuare atacul.


Doar în 1 din 8 dintre companiile testate, angajații nu și-au introdus acreditările într-un formular de autentificare fals

În al doilea rând, un atacator poate folosi un punct de acces fals pentru a intercepta acreditările utilizatorului stocate pe dispozitiv. Pentru a face acest lucru, trebuie să creați un punct de acces cu același ESSID și aceiași parametri ca și punctul de acces legitim. Dacă dispozitivul utilizatorului este configurat conexiune automată la rețeaua wireless salvată, va încerca să se conecteze automat la punctul de acces fals dacă are un semnal mai puternic la locația acestui dispozitiv. Ca urmare a unor astfel de atacuri, un atacator poate obține hash-uri de parole ale angajaților companiei și le poate folosi pentru a dezvolta în continuare un atac asupra infrastructurii corporative.

S-a constatat că în 75% din cazuri, un atacator, prin atacuri asupra rețelelor wireless, poate obține acces la resursele interne ale rețelei, precum și la informații sensibile (de exemplu, conturi de utilizator de domeniu). Această metodă de pătrundere în rețeaua internă este o alternativă eficientă la atacurile clasice asupra nodurilor din perimetrul rețelei.

În fiecare an, pe baza rezultatelor testelor de penetrare, determinăm serviciile de acces la care parolele de dicționar au fost folosite cel mai des. Aceste statistici sunt destinate în primul rând administratorii de sistem pentru a le reaminti să folosească parole puternice și să înlocuiască conturile standard în timp util după instalarea și lansarea unui nou serviciu.



La sfârșitul anului 2017 s-a constatat că utilizatori obișnuiți iar administratorii folosesc adesea comenzile rapide de pe tastatură ca parole, crezând că mult, nimic parolă semnificativă(cum ar fi zaq12wsxcde3 sau poiuytrewq) le va putea proteja de accesul neautorizat. Cu toate acestea, aceasta este o opinie eronată: în ciuda complexității aparente a parolei, toate aceste comenzi rapide de la tastatură au fost de mult incluse în dicționare speciale, iar un atac cu forță brută durează câteva minute pentru atacator.

Qwerty, Zaq1xsw2și alte comenzi rapide ale tastelor de închidere de pe tastatură - cele mai populare parole, inclusiv printre utilizatorii privilegiați

CONCLUZIE

Sistemele de informații corporative sunt încă vulnerabile la atacurile din partea intrușilor externi și interni. În timp ce atunci când se efectuează teste de penetrare externă, se întâlnesc tot mai multe companii care sunt preocupate de securitatea perimetrului rețelei lor, atunci când testează securitatea unui sistem corporativ în numele unui atacator intern, situația este mult mai gravă. În 2017, în numele unui atacator extern folosind, printre altele, metode de inginerie socială și atacuri asupra rețelelor wireless, a fost posibilă depășirea perimetrului rețelei în 68% din lucrări. În același timp, în numele persoanei din interior, control complet asupra Resurse LAN a fost obținut în toate proiectele fără excepție – în ciuda mijloacelor tehnice și a măsurilor organizatorice utilizate în companii pentru protejarea informațiilor.

  • Refuzați să utilizați parole simple și de dicționar, dezvoltați reguli stricte pentru politica corporativă privind parolele și monitorizați implementarea acestora.
  • Oferiți protecție suplimentară pentru conturile privilegiate (de exemplu, administratorii de domenii). Este o practică bună să utilizați autentificarea cu doi factori.
  • Protejați infrastructura de atacuri care vizează restaurarea conturilor din memoria sistemului de operare. Pentru a face acest lucru, pe toate stațiile de lucru ale utilizatorilor privilegiați, precum și pe toate nodurile la care este conectată CORPORATE INFORMATION SYSTEMS VULNERABILITY folosind conturi privilegiate, instalați versiuni Windows mai mari decât 8.1 și includeți utilizatorii de domenii privilegiate în grupul Utilizatori protejați. În plus, puteți folosi versiuni moderne de Windows 10, care implementează sistemul Remote Credential Guard, care vă permite să izolați și să protejați procesul de sistem lsass.exe de accesul neautorizat.
  • Asigurați-vă că informațiile sensibile de interes pentru un atacator nu sunt stocate în text clar (de exemplu, pe paginile unei aplicații web). Astfel de informații pot include acreditări pentru accesarea diferitelor resurse, care conține agenda unei companii adrese de emailși identificatorii de domenii ale angajaților etc.
  • Limitați numărul de servicii pe perimetrul rețelei, asigurați-vă că interfețele deschise pentru conectare ar trebui să fie într-adevăr disponibile pentru toți utilizatorii de Internet.
  • Instalați în timp util actualizările de securitate pentru sistemul de operare și cele mai recente versiuni ale software-ului aplicației.
  • Analizați securitatea rețelelor wireless. Atentie speciala merită să fiți atenți la fiabilitatea metodelor de autentificare utilizate, precum și la configurarea izolării utilizatorilor punctelor de acces.
  • În mod regulat, desfășurați cursuri de formare pentru angajați în scopul creșterii competenței acestora în probleme de securitate a informațiilor, cu monitorizarea rezultatelor.
  • Utilizați un sistem SIEM pentru a detecta atacurile în timp util. Numai detectarea în timp util a unei tentative de atac o va preveni înainte ca un atacator să provoace daune semnificative companiei.
  • Pentru a proteja aplicațiile web - instalați firewall firewall-ul aplicației web.
  • Efectuați în mod regulat teste de penetrare pentru a identifica în timp util vectorii de atac asupra sistemului corporativ și, în practică, pentru a evalua eficacitatea măsurile luate protecţie.

Această listă nu este exhaustivă, dar nerespectarea chiar și a unui punct poate duce la un compromis complet al sistemului corporativ, iar toate costurile pentru diverse mijloace scumpe și sisteme de protecție se vor dovedi a fi nejustificate. O abordare integrată a securității informațiilor este cea mai bună protecție a unui sistem de informații corporative împotriva oricărui intrus.

Odată ce sistemul de operare este gata de funcționare, este timpul să vă dați seama exact ce fel de cercetare veți face. În general, se pot distinge patru tipuri de astfel de studii:
  • Evaluarea vulnerabilității sistemului;
  • Evaluarea sistemelor pentru conformitatea cu standardele de securitate;
  • Testarea de penetrare a sistemului tradițional;
  • Cercetare aplicativă.
O sarcină specifică pentru cercetarea unui sistem poate include diverse elemente de fiecare fel. Credem că merită să intrăm în mai multe detalii despre ei și să dezvăluim relația lor cu Kali Linux și desktop.

Înainte de a trece la descrierea unor tipuri specifice de măsuri pentru evaluarea securității sistemelor, să vorbim despre modul în care vulnerabilitățile diferă de exploit-uri.

Vulnerabilitatea poate fi definită ca un defect al sistemului informațional care poate fi folosit pentru a încălca confidențialitatea, integritatea sau disponibilitatea acestuia. Există diferite tipuri de vulnerabilități cu care se pot confrunta. Aici sunt câțiva dintre ei:

11.2.2. Evaluarea sistemelor pentru conformitatea cu standardele de securitate

Următorul tip de cercetare cel mai dificil este evaluarea sistemelor pentru conformitatea cu standardele de siguranță. Testarea sistemului ca aceasta este cea mai comună, deoarece se bazează pe testarea cerințelor standardelor guvernamentale și ale industriei care se aplică organizațiilor.

Există multe standarde de securitate specializate, totuși, cel mai comun este Standardul de securitate a datelor din industria cardurilor de plată (PCI DSS). Acest standard a fost dezvoltat de companii care emit carduri de plată. Acesta trebuie să fie egalat de organizațiile care procesează plățile cu cardul. Dacă vorbim despre alte standarde comune, putem aminti precum Ghidurile de implementare tehnică a securității Agenției pentru Sisteme Informaționale de Apărare (DISA STIG), Programul Federal de Management al Riscurilor și Autorizării (FedRAMP), Actul Federal de Management al Securității Informației (FISMA) și altele.

Un client corporativ poate comanda un studiu similar sau poate aplica pentru rezultatele unui studiu efectuat anterior motive diferite... În special, inițiativa poate veni de la client însuși, sau acesta poate fi obligat să efectueze verificarea obligatorie. În orice caz, astfel de studii se numesc „evaluarea sistemelor în raport cu standardele de siguranță” sau „studii împotriva standardelor de siguranță” sau „verificări față de standardele de siguranță”.

Evaluarea unui sistem pentru conformitatea cu standardele începe de obicei cu o analiză a vulnerabilității. În cazul auditului de conformitate PCI, o evaluare a vulnerabilității, dacă este efectuată corespunzător, poate satisface mai multe dintre cerințele de bază ale standardului. Printre acestea - cerința 2: „Nu utilizați parole și alți parametri de sistem setați implicit de producător”. Vă puteți analiza sistemul pentru conformitatea cu această cerință utilizând instrumentele din categoria de meniu Password Attack. În plus, aceasta este cerința 11: „Testează în mod regulat sistemele și procesele de securitate”. Acest lucru poate fi verificat folosind instrumentele din categoria Evaluare baze de date. Unele cerințe nu pot fi verificate cu instrumentele convenționale de scanare a vulnerabilităților. Printre acestea - cerința 9: „Limita acces fizic la datele deținătorului cardului ”, și 12: “ Elaborarea și menținerea unei politici de securitate a informațiilor pentru tot personalul din organizație ”. Sunt necesare eforturi suplimentare pentru a verifica astfel de cerințe.

La prima vedere, poate părea confuz cum să utilizați Kali Linux pentru a efectua unele verificări. Cu toate acestea, Kali este excelentă pentru a rezolva astfel de probleme și nu numai din cauza setului bogat unelte standard, dar și pentru că se bazează pe Debian, ceea ce deschide posibilitatea instalării multora aplicații suplimentare... Puteți căuta programe care implementează funcționalitatea necesară în managerul de pachete folosind Cuvinte cheie preluat din standardul de securitate a informațiilor utilizat. O căutare ca aceasta va sfârși aproape sigur cu câteva rezultate demne de remarcat. În prezent, multe organizații folosesc Kali Linux ca platformă special pentru evaluarea sistemelor pentru conformitatea cu standardele de securitate.

11.2.3. Testarea tradițională de penetrare a sistemului

Recent, a devenit dificil să găsești o definiție potrivită pentru „testul de penetrare tradițional”. Cert este că astfel de teste sunt folosite în diverse domenii de activitate, drept urmare, fiecare le descrie în felul său. La confuzie se adaugă și faptul că „testarea de penetrare” se numește din ce în ce mai mult evaluarea sistemelor descrise mai sus pentru conformitatea cu standardele de securitate, sau chiar evaluarea obișnuită a vulnerabilităților. În astfel de cazuri, cercetarea nu depășește anumite cerințe minime.

În această secțiune, nu vom aborda disputele cu privire la caracteristicile diferitelor tipuri de sisteme de testare. Aici vom vorbi despre cercetare care nu este limitată de niște „cerințe minime”. Acestea sunt studii care sunt concepute pentru a fi cu adevărat îmbunătățite. siguranta generala organizatii.

Spre deosebire de tipurile de cercetare pe care le-am discutat mai devreme, testarea tradițională de penetrare nu începe adesea cu o definiție a zonei de cercetare. În schimb, li se stabilesc obiective specifice. De exemplu: „simulați consecințele compromiterii unui utilizator intern”, sau: „aflați ce s-ar întâmpla dacă organizația ar fi vizată de un atac al unui atacator extern”. Trăsătura-cheie distinctivă a unor astfel de studii este că, în cursul implementării lor, ele nu numai că găsesc și evaluează vulnerabilități, ci și folosesc problemele găsite pentru a dezvălui scenariile cele mai defavorabile.

Testarea de penetrare nu se bazează numai pe instrumentele de scanare a vulnerabilităților. Lucrările continuă prin cercetarea constatărilor, folosind exploit-uri sau testarea pentru a exclude fals pozitive și făcând tot posibilul pentru a descoperi vulnerabilități ascunse sau ceea ce numim fals negative.

O astfel de cercetare include adesea exploatarea vulnerabilităților descoperite, evaluarea nivelului de acces pe care îl oferă exploit-urile și exploatarea acestuia. nivel crescut accesul ca punct de plecare pentru atacuri suplimentare asupra sistemului țintă.

Acest lucru necesită o analiză critică a mediului țintă, căutare manuală a vulnerabilităților, creativitate, capacitatea de a gândi în afara cutiei. Toate acestea sunt abordări pentru a descoperi vulnerabilități suplimentare care necesită alte instrumente care pot găsi vulnerabilități în care capacitățile celor mai puternici scanere automate... Adesea, după finalizarea acestui pas, întregul proces este pornit din nou și din nou pentru a se asigura că munca este completă și bine făcută.

În ciuda complexității și versatilității testării tradiționale de penetrare, progresul unei astfel de cercetări poate fi simplificat prin împărțirea acesteia în mai multe etape. Este demn de remarcat faptul că Kali facilitează selectarea software-ului pentru fiecare dintre acești pași. Deci aici plan pas cu pas testare de penetrare cu comentarii despre instrumentele utilizate:

  • Colectarea de informații. În această fază, eforturile pentesterului sunt îndreptate spre a învăța cât mai multe despre mediul țintă. Această activitate este de obicei non-invazivă și arată ca activitatea normală a utilizatorului. Aceste acțiuni stau la baza celorlalți pași de cercetare și astfel ar trebui să conducă la colectarea de date cât mai complete despre sistem. Secțiunea Colectare informații din meniul Aplicații Kali Linux conține zeci de instrumente concepute pentru a dezvălui cât mai multe informații despre sistemul investigat.
  • Detectarea vulnerabilităților. Acest pas este adesea denumit „colectare proactivă de informații”. Specialistul, încercând să identifice potențialele vulnerabilități în mediul țintă, nu atacă încă sistemul, dar se comportă deja diferit de utilizator obișnuit... Aici are loc adesea scanarea descrisă mai sus a sistemelor pentru vulnerabilități. În această etapă a studiului, programele din secțiunile Analiza vulnerabilităților, Analiza aplicațiilor web, Evaluarea bazelor de date și Inginerie inversă vor fi utile.
  • Exploatarea vulnerabilităților. Avand o lista cu potentialele vulnerabilitati detectate, in aceasta etapa a investigatiei, specialistul incearca sa le foloseasca pentru a gasi un punct de sprijin in mediul tinta. Instrumentele care pot fi găsite în categoriile Analiza aplicațiilor web, Evaluarea bazelor de date, Atacurile cu parole și Instrumentele de exploatare sunt utile în acest demers.
  • Infiltrare în sistem și recuperare de date ascunse. După ce cercetătorul a reușit să câștige un punct de sprijin în sistem, trebuie să mergeți mai departe. De regulă, în această etapă, ei caută o modalitate de a crește privilegiile la un nivel corespunzător celui necesar pentru a ajunge la sistemele țintă care erau anterior inaccesibile și pentru a extrage în secret informații secrete din ele. La acest pas, puteți accesa secțiunile din meniul aplicației Atac cu parole, Instrumente de exploatare, Sniffing & Spoofing și Post-exploatare.
  • Intocmirea rapoartelor. După finalizarea fazei active a studiului, trebuie să documentați acțiunile întreprinse și să pregătiți un raport. De obicei, acest pas nu are aceeași complexitate tehnică ca și cele precedente. Cu toate acestea, cu rapoarte de calitate, clientul poate obține profitul maxim pentru bani, așa că nu subestimați importanța acestei faze a cercetării. Instrumentele corespunzătoare pot fi găsite în secțiunea Instrumente de raportare din meniul Aplicații.
În cele mai multe cazuri, testarea de penetrare va fi proiectată foarte diferit, deoarece fiecare organizație va fi expusă la diferite amenințări și va avea resurse diferite de protejat. Kali Linux oferă bază universală pentru a rezolva astfel de probleme, aici puteți profita de numeroasele opțiuni pentru configurarea Kali. Multe organizații care fac această cercetare acceptă versiuni personalizate ale Kali LInux pentru uz intern... Acest lucru le permite să accelereze implementarea sistemelor înainte de noi cercetări.

Printre cele întâlnite frecvent setari aditionale Kali Linux poate fi remarcat pentru următoarele:

  • Preinstalarea pachetelor comerciale licențiate. De exemplu, există un pachet precum un scanner de vulnerabilități plătit care este planificat să fie utilizat în timpul multor sesiuni de testare a penetrației. Pentru a evita necesitatea de a instala acest pachet pe fiecare copie implementată de Kali, îl puteți integra în sistem. Ca rezultat, acest pachet va fi instalat de fiecare dată când Kali este implementat.
  • VPN preconfigurat cu conexiune inversă. Aceasta este o caracteristică foarte utilă pentru dispozitivele care sunt lăsate în mod deliberat conectate în rețeaua investigată. Astfel de dispozitive permit cercetarea „internă la distanță”. Un dispozitiv de conectare inversă se conectează la computerul pentesterului, creând un tunel la care poate fi folosit pentru a se conecta sisteme interne... Distribuția Kali Linux ISO of Doom este un exemplu de configurare specială a sistemului.
  • Instrumente preinstalate și programe proprietare. Multe organizații au seturi de instrumente interne care sunt necesare în timpul sesiunilor de testare de penetrare, astfel încât preinstalarea lor în timpul imaginilor personalizate poate economisi timp.
  • Preconfigurarea configurației sistemului de operare, inclusiv configurarea mapării numelor de gazdă la adrese IP, imagini de fundal pentru desktop, setări server proxy și așa mai departe. Mulți utilizatori Kali preferă setări specifice de sistem. Dacă aveți de gând să vă reinstalați sistemul în mod regulat, ar putea fi logic să păstrați aceste setări.

11.2.4. Cercetare aplicativă

Majoritatea măsurilor de evaluare a securității sistemelor sunt destul de mari la scară. O caracteristică a cercetării aplicațiilor este faptul că un anumit program este studiat. Acest tip de cercetare devine din ce în ce mai frecventă datorită complexității aplicațiilor vitale utilizate de companii. Multe dintre aceste aplicații sunt create pe cont propriu aceste companii. Dacă este necesar, cercetarea aplicativă poate însoți alte tipuri de cercetare. Dintre tipurile de aplicații care pot fi investigate pentru securitate, se pot remarca următoarele:
  • aplicații web. Aceste aplicații sunt adesea vizate de infractorii cibernetici, deoarece de obicei au o suprafață de atac semnificativă și sunt accesibile de pe Internet. Teste standard poate detecta adesea probleme de bază în aplicațiile web. Cu toate acestea, un studiu mai detaliat, deși poate dura mult timp, vă permite să găsiți defecte ascunse în aplicații. Pentru a efectua aceste teste, puteți folosi metapachetul kali-linux-web, care conține multe instrumente utile.
  • Aplicații desktop distribuite ca fișiere executabile. Aplicațiile server nu sunt singurele ținte pentru atacatori. Aplicațiile desktop sunt, de asemenea, susceptibile la atacuri. În anii trecuți, mulți programe desktop, precum cititoarele PDF sau aplicațiile video care folosesc internetul, au fost atacate de mai multe atacuri, ceea ce a dus la îmbunătățirea lor. Cu toate acestea, există încă multe aplicații desktop în care, când abordarea corectă, puteți găsi o mulțime de vulnerabilități.
  • Aplicatii mobile. Cu o popularitate tot mai mare dispozitive mobile, aplicațiile mobile devin subiecte constante ale cercetării în materie de securitate. Aceste aplicații se dezvoltă și se schimbă foarte rapid, astfel încât metodologia de cercetare în acest domeniu nu a atins încă o maturitate suficientă, ceea ce duce la apariția regulată, aproape săptămânală, a unor noi metode. Instrumentele legate de învățarea aplicațiilor mobile pot fi găsite în secțiunea meniului aplicației Kali Linux Reverse Engineering.
Cercetarea aplicațiilor poate fi făcută cel mai mult căi diferite... De exemplu, puteți utiliza un instrument automat conceput pentru a testa o anumită aplicație pentru a identifica potențiale probleme. Similar mijloace automateîncercând să găsească punctele slabe necunoscute pe baza modului în care funcționează aplicațiile, în loc să se bazeze pe un set de semnături predefinite. Instrumentele de analiză a programelor trebuie să țină cont de particularitățile comportamentului lor. De exemplu, popularul scaner de vulnerabilități a aplicației web Burp Suite. Pe măsură ce investighează aplicația, găsește câmpuri de intrare și apoi efectuează diverse atacuri de injecție SQL, în timp ce observă aplicația pentru a identifica atacurile care au avut succes.

Există, de asemenea, scenarii de cercetare a aplicațiilor mai complexe. Astfel de studii pot fi efectuate online. Ei folosesc modele de cutii alb-negru.

  • Cercetare prin metoda cutiei negre. Instrumentul (sau cercetătorul) interacționează cu aplicația fără a avea cunoștințe speciale despre ea sau acces special la ea care depășește capacitățile utilizatorului mediu. De exemplu, în cazul unei aplicații web, cercetătorul poate avea acces doar la funcții și capabilități, deschis utilizatorului care nu este autorizat în sistem. Orice cont utilizat va fi același pe care un utilizator obișnuit îl poate înregistra pe cont propriu. Acest lucru va împiedica atacatorul să analizeze funcționalitatea care este disponibilă numai pentru utilizatorii privilegiați, ale căror conturi trebuie create de administrator.
  • Cercetare cutie albă. Instrumentul (sau cercetătorul) are adesea acces complet la codul sursă al aplicației, acces administrativ la platforma pe care rulează și așa mai departe. Acest lucru asigură că este efectuată o analiză completă și amănunțită a tuturor capabilităților aplicației, indiferent de locul în care se află funcționalitatea studiată. Dezavantajul unui astfel de studiu este că nu este o imitație a acțiunilor reale ale unui intrus.
Desigur, există și nuanțe de gri între alb și negru. De obicei, modul în care va fi operată aplicația este determinat de obiectivele cercetării. Dacă scopul este de a afla ce s-ar putea întâmpla cu o aplicație care este vizată de un atac extern vizat, atunci testarea cutiei negre este probabil cea mai bună. Dacă scopul este de a identifica și elimina cât mai mult posibil Mai mult probleme de securitate într-un timp relativ scurt, un studiu cutie albă poate fi mai eficient.

În alte cazuri, o abordare hibridă poate fi aplicată atunci când cercetătorul nu are acces complet la codul sursă al aplicației pentru platforma pe care rulează, dar contul care i-a fost eliberat a fost pregătit de administrator și oferă acces la cât mai multe funcții ale aplicației.

Kali este platforma ideală pentru toate abordările de cercetare aplicativă. După instalarea distribuției standard, există multe scanere specifice aplicației care pot fi găsite aici. Există, de asemenea, instrumente pentru cercetări mai avansate. Acestea includ editori sursă și medii de scripting. În cazul cercetării aplicației, puteți găsi materiale utile din secțiunile Adăugați etichete

Top articole similare

Cele mai bune programe pentru crearea muzicii de bază și electronice
Cele mai bune programe pentru crearea muzicii de bază și electronice
Structura generală a fișierelor teme
Structura generală a fișierelor teme
Principii de bază ale utilizării culorii în design web
Principii de bază ale utilizării culorii în design web
Categorii:
© 2021 bumotors.ru. Cum se configurează smartphone-uri și PC-uri. Portal informativ.