Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ

IB. NPA

28.04.2019 Lajme

IDENTIFIKIMI I VUNERABILITETEVE TË SISTEMEVE TË INFORMACIONIT

Sergei Konovalenko

pasuniversitar i shkollës së lartë ushtarake Krasnodar,

Rusia, Krasnodar

Igor Korolev

Doktor i Inxhinierisë, Profesor, Profesor i Departamentit të Teknologjive të Mbrojtura të Informacionit, Shkolla e Lartë Ushtarake Krasnodar,

Rusia, Krasnodar

SHËNIM

Vlerësimi i përfunduar fondet ekzistuese analiza e sigurisë sistemet e informacionit, mbi bazën e të cilave ndërtohen modele për identifikimin, identifikimin dhe vlerësimin e imazheve të dobësive të sistemit të informacionit. Identifikohen karakteristikat (elementet) kryesore të qenësishme në imazhet e dobësive ekzistuese të sistemit të informacionit.

ABSTRAKT

Është kryer një vlerësim i mjeteve ekzistuese për analizimin e sistemeve të sigurisë së informacionit. Mbi bazën e rezultateve të arritura u ndërtuan modelet e zbulimit, identifikimit dhe vlerësimit të imazheve të dobësive të sistemeve të informacionit. U përcaktuan karakteristikat (elementet) kryesore të qenësishme në imazhet e dobësive ekzistuese të sistemeve të informacionit.

Fjalë kyçe: identifikimi; Sistemi informativ; identifikimi; gradë; përshkrimi i imazhit; cenueshmëria.

Fjalë kyçe: zbulim; sistemi i informacionit; identifikimi; vlerësimi; përshkrimi i imazhit; cenueshmëria

Çdo sistem informacioni (në tekstin e mëtejmë IS) ka dobësi të caktuara, lista e të cilave është mjaft e gjerë dhe vazhdimisht i nënshtrohet përditësimit (zgjerimit). Dobësitë e IS shkaktohen nga mangësitë (gabimet) që lindin gjatë "ciklit jetësor" të këtij sistemi. Në këtë formë, mundësia e zbatimit të kërcënimeve për sigurinë e një sistemi informacioni varet drejtpërdrejt nga veprimet e një sulmuesi për të zbuluar dhe shfrytëzuar dobësitë e tij të qenësishme. Nga ana tjetër, procesi i identifikimit të dobësive të IS, i kryer nga një specialist, është thelbësor për të luftuar një sulmues në fazat e hershme të zbatimit të sulmeve.

Qëllimi i këtij artikulli është të ndërtojë modele të përgjithësuara për identifikimin, identifikimin dhe vlerësimin e imazheve të dobësive të IS, si dhe përcaktimin e karakteristikave (elementeve) të qenësishme në imazhet e dobësive ekzistuese, të cilat do t'i lejojnë një specialisti të sistemojë më mirë punën e tij në fushën e garantimit të sigurisë së IS të kontrolluar.

Sipas GOST R 56545-2015, "vulnerabiliteti" është një e metë (dobësi) e një mjeti softuerësh (softuerësh dhe harduerësh) ose një sistemi informacioni në tërësi, i cili mund të përdoret për të zbatuar kërcënimet ndaj sigurisë së informacionit. "Sistemi informacioni" është një grup informacioni që përmbahet në bazat e të dhënave (në tekstin e mëtejmë DB) dhe teknologjitë e informacionit dhe mjetet teknike që sigurojnë përpunimin e tij.

Çdo cenueshmëri IS mund të përfaqësohet si një imazh që përfshin një grup karakteristikash të caktuara (elemente që përshkruajnë këtë dobësi), të formuara sipas rregullave të caktuara.

Përshkrimi i një cenueshmërie IS është informacion rreth një cenueshmërie të identifikuar (të zbuluar). Rregullat për përshkrimin e një cenueshmërie IS janë një grup dispozitash që rregullojnë strukturën dhe përmbajtjen e një përshkrimi të cenueshmërisë.

Sipas imazheve të cenueshmërisë, ato ndahen në imazhe të dobësive të njohura, imazhe të dobësive të ditës zero dhe imazhe të dobësive të zbuluara rishtazi. Një cenueshmëri e njohur është një cenueshmëri që është zbuluar publikisht me masat e sigurisë, rregullimet dhe përditësimet e disponueshme. Një cenueshmëri e ditës zero është një cenueshmëri që bëhet e njohur përpara se zhvilluesi i komponentit IP të lëshojë masat e duhura të mbrojtjes së informacionit, rregullimet për të metat ose përditësimet e duhura. Një dobësi e zbuluar rishtazi është një cenueshmëri që nuk është zbuluar publikisht.

Çdo lloj imazhi i cenueshmërisë së IS ka karakteristika (elemente) të përgjithshme dhe specifike, të cilat mund të përmblidhen në një tabelë. Një tabelë shembull është paraqitur më poshtë.

Tabela 1.

Elemente të llojeve të ndryshme të imazheve të cenueshmërisë së IS

Karakteristikat e një imazhi të cenueshmërisë

Element i natyrshëm në imazhin e një cenueshmërie të njohur

Element i natyrshëm në imazhin e një cenueshmërie të ditës zero

Një element i natyrshëm në imazhin e një cenueshmërie të sapoidentifikuar

Vendndodhja e zbulimit (identifikimit) të një cenueshmërie në sistemin e informacionit.

Metoda për zbulimin (identifikimin) e dobësive.

Emri i cenueshmërisë.

Përpara se të kalojmë në modele për identifikimin, identifikimin dhe vlerësimin e imazheve të cenueshmërisë, është e nevojshme të sqarohet se IS përbëhet nga nivele:

  • niveli i softuerit aplikativ (në tekstin e mëtejmë i referuar si softuer), përgjegjës për ndërveprimin me përdoruesin;
  • niveli i sistemit të menaxhimit të bazës së të dhënave (në tekstin e mëtejmë DBMS), përgjegjës për ruajtjen dhe përpunimin e të dhënave IS;
  • niveli i sistemit operativ (në tekstin e mëtejmë OS), përgjegjës për mirëmbajtjen e DBMS dhe softuerit aplikativ;
  • shtresa e rrjetit përgjegjëse për ndërveprimin e nyjeve IS.

Çdo nivel IS është i lidhur me lloje (klasa) të ndryshme dobësish. Për të identifikuar dobësitë, është e nevojshme të zhvillohen modele për identifikimin, identifikimin dhe vlerësimin e cenueshmërisë.

Burimet kryesore të dobësive të IS janë:

  • gabime në zhvillimin (projektimin) e IS (për shembull, gabimet në softuer);
  • gabime gjatë zbatimit të IS (gabimet e administratorit të IS) (për shembull, konfigurimi ose konfigurimi i gabuar i softuerit, koncepti joefektiv i politikës së sigurisë, etj.);
  • gabime gjatë përdorimit të sistemit të informacionit (gabimet e përdoruesit) (për shembull, fjalëkalime të dobëta, shkelje e politikës së sigurisë, etj.).

Për të identifikuar, identifikuar dhe vlerësuar dobësitë e IS, si dhe për të gjeneruar raporte dhe për të eliminuar (neutralizuar) dobësitë, përdoren mjetet e analizës së sigurisë së rrjetit (në tekstin e mëtejmë NAS) (skanerët e sigurisë (në tekstin e mëtejmë: SB)), të cilat mund të ndahen ne dy lloje:

  • rrjeti SAS (SB) (kryer analiza në distancë të gjendjeve të hosteve të kontrolluar në nivel rrjeti);
  • SAZ (SB) në nivelin e OS (kryer analiza lokale të gjendjeve të hosteve të kontrolluar, ndonjëherë është e nevojshme të instaloni një agjent special në hostet e kontrolluar).

Rëndësia e përdorimit të SAZ (SS) është për faktin se një specialist është në gjendje të identifikojë paraprakisht një listë mjaft të madhe të llojeve (klasave) të dobësive të qenësishme në sistemin e informacionit të kontrolluar dhe të marrë masat e nevojshme (në disa rastet, përpiquni t'i merrni) për t'i eliminuar ato ose për të përjashtuar (minimizuar) mundësinë e përdorimit të dobësive të zbuluara nga një sulmues.

Për të sistemuar punën e një specialisti në fushën e sigurisë së kontrolluar nga IS dhe bazuar në analizën e kryer, është ndërtuar një model i përgjithësuar për identifikimin e imazheve të dobësive të IS (Figura 1).

Figura 1. Modeli i përgjithësuar për identifikimin e imazheve të dobësive të IS

Procesi i identifikimit të dobësive të IS ndërtohet duke kryer kontrolle pasive (skanim) dhe kontrolle aktive (sondë) për praninë e dobësive të IS të kontrolluar.

Gjatë procesit të skanimit, SAZ, duke dërguar kërkesat e duhura në IS të kontrolluar (në portet e hostit të kontrolluar), analizon banderolat e kthyera (titujt e paketave të të dhënave) dhe nxjerr përfundimet e duhura në lidhje me llojin e IS dhe praninë e potencialit të tij ( të mundshme) dobësitë. Rezultati i skanimit nuk tregon gjithmonë njëqind për qind praninë e dobësive të mundshme (tipike) të IS, pasi përmbajtja e tekstit të banderolës mund të ishte modifikuar posaçërisht, ose dobësitë e njohura të natyrshme në këtë SI u eliminuan nga një specialist gjatë procesit të tij. zbatimi (përdorimi). Një mënyrë tjetër për të kryer veprimet e skanimit janë kontrollet aktive të provës, të cilat ofrojnë mundësinë për të analizuar përshtypjen e kthyer dixhitale (gjurmën e gishtit) të një pjese të softuerit të IP-së së kontrolluar (d.m.th., të kryeni procesin e krahasimit të rezultatit të marrë me një përshtypje dixhitale të një cenueshmëria e njohur të këtij lloji IS). Kjo metodë ofron një procedurë më të besueshme dhe të saktë për identifikimin e dobësive të mundshme (tipike) të sistemit të informacionit të kontrolluar.

Gjatë procesit të hetimit, SAZ simulon një sulm në IS të kontrolluar, duke përdorur imazhin e një cenueshmërie të mundshme (tipike) të marrë gjatë skanimit. Rezultati i procesit të sondës është më i sakti dhe informacion të besueshëm në lidhje me praninë e dobësive të IP-së së kontrolluar. Kjo metodë nuk përdoret gjithmonë, pasi ekziston mundësia e mosfunksionimit (çaktivizimit) të IS të kontrolluar. Vendimi për të përdorur metodën e mësipërme merret nga administratori i rrjetit në rastet e zbatimit joefektiv ose nevojës për të konfirmuar rezultatet e skanimit dhe kontrolleve aktive të provës.

Rezultatet e skanimit dhe hetimit dërgohen në bazën e të dhënave të cenueshmërisë, e cila ruan imazhet e dobësive të IS të kontrolluar. Bazuar në procedurën për krahasimin e imazhit të cenueshmërisë së zbuluar me imazhet e cenueshmërisë së IS të kontrolluar, SAZ gjeneron një raport mbi mungesën ose praninë e ndeshjeve në imazhet e cenueshmërisë (zbulimi i cenueshmërisë), i cili ruhet në bazën e të dhënave të cenueshmërisë.

Modeli i përgjithësuar për identifikimin e modeleve të dobësive është detajuar nga modeli i përgjithësuar për identifikimin dhe vlerësimin e modeleve të dobësive të IS (Figura 2).

Figura 2. Modeli i përgjithësuar për identifikimin dhe vlerësimin e imazheve të cenueshmërisë së IS

Procesi i identifikimit të një imazhi të një cenueshmërie të zbuluar IS, i cili ka karakteristika (elemente) specifike kryhet përmes procedurës së krahasimit të tij me imazhet e dobësive të njohura dhe dobësive të ditës zero të ruajtura në bazën e të dhënave të cenueshmërisë. Një përshkrim i zyrtarizuar i dobësive të njohura dhe dobësive të ditës zero lëshohet në formën e pasaportave, të cilat përmbajnë informacion në lidhje me karakteristikat (elementet) specifike të një cenueshmërie të veçantë. Për të identifikuar me saktësi imazhin e një cenueshmërie të zbuluar, ai duhet të përmbajë informacion në lidhje me emrin dhe versionin e softuerit IP në të cilin është zbuluar dobësia, për identifikuesin, emrin dhe klasën e cenueshmërisë së zbuluar. Bazuar në informacionin e mësipërm, SAZ lidh imazhin e cenueshmërisë së zbuluar me një nga llojet e imazheve të cenueshmërisë. Për një vlerësim me cilësi të lartë, imazhi i cenueshmërisë së identifikuar, nga ana tjetër, duhet të përmbajë informacion në lidhje me identifikuesin dhe llojin e defektit të IS në të cilin u zbulua cenueshmëria, për vendndodhjen e cenueshmërisë në IS dhe për metodën për identifikimin e cenueshmëria. Procesi i vlerësimit të imazhit të cenueshmërisë përfundon me zhvillimin e rekomandimeve për të eliminuar cenueshmërinë ose për të përjashtuar mundësinë e shfrytëzimit të tij. Në rastet kur është zbuluar një imazh i një cenueshmërie të identifikuar rishtazi, SAZ vendos informacion në lidhje me të në bazën e të dhënave të cenueshmërisë me formimin e një pasaporte të re të cenueshmërisë së ditës zero. Kur zhvilluesi i IS lëshon masa të sigurisë së informacionit, përditësimet e nevojshme dhe kur të metat korrigjohen, cenueshmëria e ditës zero bëhet një cenueshmëri e njohur.

Duke përmbledhur rezultatet e këtij artikulli, vërejmë se një specialist i sigurisë IS është i detyruar të punojë vazhdimisht për të identifikuar dobësitë në sistem, të kuptojë qartë dhe të kuptojë proceset që ndodhin në sistemin e sigurisë, të monitorojë përditësimin (zgjerimin) e bazës së të dhënave të cenueshmërisë, menjëherë eliminoni mangësitë në sistem dhe instaloni masat e duhura të mbrojtjes dhe përditësimet për IP të kontrolluar.

Bibliografi:

  1. Astakhov A.S. Analiza e sigurisë së rrjeteve të automatizuara të korporatave // ​​Jet Info Newsletter. – 2002. – Nr.7 (110). / – [ Burim elektronik]. – Mënyra e hyrjes: URL: http://www.jetinfo.ru
  2. Gorbatov V.S., Meshcheryakov A.A. Analiza krahasuese kontrollet e sigurisë rrjeti kompjuterik// Siguria e teknologjisë së informacionit. – 2013. – Nr. 1. / – [Burimi elektronik]. – Mënyra e hyrjes: URL: http://www.bit.mephi.ru
  3. GOST R 56545-2015 "Mbrojtja e informacionit. Dobësitë e sistemeve të informacionit. Rregullat për përshkrimin e dobësive." – M.: Standartinform, 2015.
  4. GOST R 56546-2015 "Mbrojtja e informacionit. Dobësitë e sistemeve të informacionit. Klasifikimi i dobësive të sistemit të informacionit." – M.: Standartinform, 2015.
  5. Lukatsky A.V. Si funksionon skaneri i sigurisë? / - [Burimi elektronik]. – Mënyra e hyrjes: http://www.citforum.ru/security/internet/scaner.shtml (Data e hyrjes: 14.09.2016).
  6. Lukatsky A.V. Zbulimi i sulmit. - Shën Petersburg. : Shtëpia botuese “BVH”, 2001. – 624 f.
  7. Udhëzues Përdorues paketë softuerike"Mjeti i analizës së sigurisë "Scanner-VS". NPESH.00606-01. CJSC NPO Eshelon, 2011.
  8. Skaneri i sigurisë XSPider. Udhëzuesi i Administratorit / – [Burimi Elektronik]. – Mënyra e hyrjes: http://www.ptsecurity.ru (Data e hyrjes: 09/15/2016).
  9. Skaneri i sigurisë MaxPatrol. Sistemi i kontrollit të sigurisë / – [Burimi elektronik]. – Mënyra e hyrjes: http://www.ptsecurity.ru (Data e hyrjes: 09/16/2016).
  10. Stephen Northcutt, Judy Novak. Zbulimi i shkeljeve të sigurisë në rrjete. Botimi i 3-të: Përkth. nga anglishtja – M.: Shtëpia Botuese Williams, 2003. – F. 265–280.

Ne vazhdojmë të shqyrtojmë ndryshimet e fundit në Urdhrin FSTEC Nr. 17 të Rusisë. Këtë herë – analiza e dobësive të GIS.

Tani analiza e dobësive GIS kërkohet të kryhet në 3 nga 6 fazat e ciklit jetësor të një sistemi sigurie GIS: formimi i kërkesave, zbatimi dhe certifikimi.

1. Në fazën e analizimit të kërcënimeve ndaj sigurisë së informacionit GIS, është e nevojshme të kryhet një analizë të mundshme dobësitë e sistemit të informacionit, duke përdorur BDU të FSTEC të Rusisë, si dhe burime të tjera të të dhënave për dobësitë si të dhëna fillestare. Modeli i kërcënimit duhet të përfshijë një përshkrim të mundshme IS dobësitë.

Dallimi kryesor nga fazat e tjera qëndron në fjalën "e mundur". Jo ato aktuale, por ato të mundshme. Dhe nëse kemi një imagjinatë të mirë, gjithçka do të jetë e mundur për ne. Me sa kuptoj unë, duhet të ketë një lloj klasifikimi të të gjitha dobësive të mundshme dhe përjashtimin e llojeve të papërshtatshme të dobësive sipas arsye të caktuara(mungesa e objektivit, karakteristika të caktuara strukturore, TI i papërdorur).

Problemi është se në FSTEC BDU në seksionin Vulnerabilities nuk ka një klasifikim të tillë të dobësive. Përveç kësaj, seksioni Vulnerabilities liston vetëm dobësitë aktuale të softuerit. Po dobësitë e GIS në përgjithësi? Disavantazhet e org. masat?

Në fakt, lista e dobësive të tilla të mundshme fshihet në një formë të pastrukturuar në tekstin e kërcënimeve të FSTEC BDU: " Ky kërcënimështë për shkak të dobësive të disa pllakave të sistemit (motherboard) - prania e mekanizmave rivendosja e vështirë fjalëkalimet e vendosura në BIOS/UEFI" ose "Ky kërcënim është shkaktuar nga dobësitë në filtrimin e trafikut të rrjetit dhe mekanizmat e kontrollit antivirus në nivel organizate".

2. Në fazën e zbatimit të një sistemi të sigurisë së informacionit, është e nevojshme të kryhet një analizë aktuale e dobësive.

“Kur analizohen dobësitë e një sistemi informacioni, mungesa e dobësitë e njohura mjetet e mbrojtjes së informacionit, harduerit dhe softuerit, duke përfshirë marrjen parasysh të informacionit të disponueshëm për zhvilluesit dhe të marrë nga burime të tjera të disponueshme publikisht, instalimi dhe konfigurimi i saktë mjetet e sigurisë së informacionit, harduer dhe softuer, si dhe funksionimin e duhur siguria e informacionit do të thotë kur ndërveprohet me harduerin dhe softuerin.

Bazuar në rezultatet e analizës së cenueshmërisë, duhet të ketë konfirmuarçfarë është në sistemin e informacionit nuk ka dobësi të përfshira në bazën e të dhënave të kërcënimeve siguria e informacionit nga FSTEC e Rusisë, si dhe në burime të tjera, ose përdorimi (shfrytëzimi) i tyre nga shkelësi është i pamundur".


Por është mirë që dobësitë të kenë fusha të tilla si Prodhuesi, Emri i Softuerit, Versioni i softuerit. Pasi të keni përpiluar paraprakisht një listë të plotë të softuerit, mund të bëni një përzgjedhje të dobësive të nevojshme. Por çfarë të bëjmë me rezultatet? Për shembull, për Windows 8.1 ka 247 dobësi në BDU. Tjetra, duhet të ndiqni lidhjen në secilën prej tyre burimet e jashtme dhe kontrolloni se çfarë ishte propozuar atje për të eliminuar dobësitë, kontrolloni praninë përditësime të instaluara për këto dobësi.

Me dorë është e vështirë. Ne dëshirojmë që skanerët e cenueshmërisë të mund të punojnë me BDU dhe të bëjnë gjithçka për ne. Le t'i hedhim një sy…

RedCheck nga Altex-Soft: "RedCheck kërkon për dobësi në bazën tonë të të dhënave ovaldb, e cila është e sinkronizuar me bazën e të dhënave të kërcënimeve të sigurisë së informacionit të FSTEC të Rusisë! Ju mund të shikoni listën e dobësive në faqen e internetit të bazës së të dhënave https://ovaldb.altx-soft.ru/Definitions.aspx?refsource=FSTEC.

Duket ne rregull. E vetmja keqardhje është se cenueshmëria e fundit në lidhje është e vitit 2016. Dhe në BDU ka tashmë një bandë nga 2017.

Inspektori i Rrjetit 3.0 nga CBI: "Auditori i Rrjetit fillimisht kërkon për dobësitë e përfshira në BDU FSTEC të Rusisë (http://bdu.fstec.ru) të përfshira në sistemet operative Windows dhe aplikacionet dhe mjetet e sigurisë së informacionit që funksionojnë në to, duke përfshirë ato të zhvilluara në Rusi. Përveç kërkimit të dobësive nga baza e të dhënave të cenueshmërisë së FSTEC të Rusisë, Skaneri i Rrjetit "Inspektori i Rrjetit" versioni 3.0 kërkon për dobësi të përfshira në burime të tilla si cve.mitre.org, ovaldb.altx-soft.ru, microsoft.com dhe burime të tjera. ”

XSpider nga Positive Technologies “Patjetër që do të ketë një mundësi të tillë. Në qershor Si pjesë e ricertifikimit të XSpider, një asamble me këtë funksionalitet do të transferohet në laboratorin e testimit FSTEC.

Skaner-VS nga Eshelon "Scanner-VS mbështet kërkimin e dobësive duke përdorur BDU të FSTEC të Rusisë." Vërtetë, përvoja ka treguar se versioni aktual, i certifikuar nuk e mbështet.

Pra, në të ardhmen është e mundur që skanerët të bëjnë gjithçka për ne, por në ky moment Nuk gjeta një raport të gatshëm që konfirmonte mungesën e dobësive nga FSTEC BDU. Dhe ka pyetje në lidhje me rëndësinë e bazave të të dhënave - do t'ju duhet të kontrolloni me kujdes rezultatet dhe ndoshta të rishikoni dobësitë më të fundit manualisht.

Përveç kësaj, mos harroni se analiza e cenueshmërisë përfshin gjithashtu një analizë të konfigurimit të sistemit të sigurisë së informacionit, softuerit dhe automjetit, dhe një analizë të funksionimit të saktë të sistemit të sigurisë së informacionit.

3. Në fazën e certifikimit kërkohen testet e mëposhtme: “Analiza e dobësive të sistemit të informacionit, përfshirë ato të shkaktuara nga vendosje e gabuar(konfigurimin) softuerët dhe mjetet e sigurisë së informacionit” në këtë rast përdoren të dhënat fillestare "Rezultatet e analizës së cenueshmërisë së sistemit të informacionit". Si është kjo në përgjithësi?

A po përsërisim thjesht atë që bëmë në fazën e zbatimit? Duke marrë parasysh kërkesat më të fundit për ndarjen e certifikuesve dhe zbatuesve, me sa duket ka një përllogaritje për analiza të pavarura të dyfishta selektive.

PREZANTIMI

Infrastruktura e TI-së e korporatës është një mekanizëm kompleks me shumë komponentë i krijuar për të automatizuar proceset e biznesit të një kompanie. Infrastruktura e domenit, shërbimet e postës elektronike, aplikacionet në internet, sistemet e biznesit - e gjithë kjo është baza e çdo sistemi informacioni të korporatës. Në varësi të madhësisë së kompanisë dhe numrit të punonjësve të saj, madhësia e infrastrukturës së TI-së do të ndryshojë. Por pavarësisht kësaj, shumica e kompanive kanë problemet e zakonshme lidhur me dispozitën siguria e informacionit sistemet e informacionit. Kështu, gjatë përhapjes së virusit ransomware WannaCry, u prekën më shumë se 500 mijë kompjuterë, që u përkisnin, ndër të tjera, agjencive qeveritare, kompanitë e mëdha dhe organizata të vogla tregtare. Ky incident konfirmon se absolutisht çdo organizatë mund të vuajë nga sulmet kriminale kibernetike.

Ky studim identifikon tendencat kryesore në fushën e analizës së sigurisë së sistemeve të informacionit të korporatave dhe na lejon të përcaktojmë:

  • cilët janë vektorët më të mundshëm të sulmit që një sulmues mund të përdorë për të fituar akses në burime rrjeti i korporatës;
  • cilat dobësi janë më të zakonshme në perimetrin e rrjetit;
  • Sa të rrezikshme janë veprimet e një sulmuesi që ka akses në burimet LAN;
  • cilat të meta sigurie i lejojnë një sulmuesi të fitojë privilegje maksimale infrastrukturën e korporatës;
  • nëse sulmet që përdorin metoda të inxhinierisë sociale mbeten të rëndësishme;
  • si të përdoren sulmet në rrjetet pa tel për të fituar akses në burimet e brendshme të rrjetit.

Si bazë për përgatitje Ky studim ne kemi përdorur të dhëna statistikore për vitin 2017 të marra nga një analizë e sigurisë së sistemeve të informacionit të korporatave të kryer nga specialistë të teknologjive pozitive. Përfundimet e nxjerra mund të mos pasqyrojnë gjendjen aktuale të sigurisë së sistemeve të informacionit në kompani të tjera. Qëllimi i studimit është të tërheqë vëmendjen e specialistëve të sigurisë së informacionit për problemet më urgjente dhe t'i ndihmojë ata të identifikojnë dhe eliminojnë në kohë dobësitë.

1. PËRMBLEDHJE

Analiza e sigurisë së perimetrit të rrjetit:

  • ishte e mundur të kapërcehej me sukses perimetri i rrjetit dhe të fitohej akses në burimet LAN në 68% të projekteve për të analizuar sigurinë e sistemeve të informacionit të korporatave;
  • përzgjedhja e llogarive të fjalorit për burimet në perimetrin e rrjetit dhe shfrytëzimi i dobësive të aplikacionit në ueb janë vektorët kryesorë të sulmit për depërtimin në rrjeti i brendshëm;
  • Bazuar në rezultatet e një skanimi instrumental të burimeve të perimetrit të rrjetit, u zbulua se 31% e kompanive ishin në rrezik të infektimit me virusin ransomware WannaCry.

Analiza e sigurisë së burimeve të brendshme:

  • kur testoni depërtimin në emër të një sulmuesi të brendshëm kontroll të plotë mbi të gjithë infrastrukturën arriti të merret në të gjitha sistemet;
  • Dobësia MS17-010 u zbulua në 60% të sistemeve të korporatave të testuara nga 14 prilli deri më 31 dhjetor 2017, gjë që tregon instalimin e parakohshëm të përditësimeve kritike të sigurisë së OS;
  • Mbrojtja e pamjaftueshme kundër rikuperimit të llogarive nga memoria OS është dobësia kryesore që ju lejon të fitoni kontroll të plotë mbi sistemin e informacionit të korporatës.

Vlerësimi i ndërgjegjësimit të punonjësve:

  • 26% e punonjësve ndjekin një lidhje me një burim ueb phishing dhe pothuajse gjysma e tyre më pas futin kredencialet e tyre në një formular vërtetimi të rremë;
  • Çdo punonjës i gjashtë ekspozon infrastrukturën e korporatës ndaj rrezikut të infeksionit viral.

Analiza e sigurisë së rrjetit pa tela:

  • në 75% të rasteve, një sulmues përmes sulmeve në rrjetet pa tel mund të fitojë akses në burimet e brendshme të rrjetit dhe gjithashtu të marrë informacione të ndjeshme (për shembull, llogaritë e përdoruesve të domenit).

2. TË DHËNAT FILLESTARE

Statistikat për vitin 2017 bazohen në rezultatet e një analize të sigurisë së 22 sistemeve të korporatave që u përkasin kompanive ruse dhe të huaja nga sektorë të ndryshëm të ekonomisë. Gjatë përzgjedhjes së projekteve për kërkime, është marrë parasysh përmbajtja e informacionit të rezultateve të marra. Projektet që, me kërkesë të klientëve, janë realizuar në sasi të kufizuara nyjet nuk janë përfshirë në studim sepse ato nuk pasqyrojnë gjendjen reale të sigurisë së sistemit të informacionit të korporatës në tërësi. Ashtu si në vitin 2016, pjesa më e madhe e punës së testimit të penetrimit u krye për organizatat financiare dhe kompanitë industriale. Sulmet e suksesshme ndaj sistemeve të korporatave në sektorët financiarë dhe industrialë, si rregull, sjellin sulmuesit përfitim maksimal. Një sulm i suksesshëm në infrastrukturën e një banke shpesh çon drejtpërdrejt në vjedhje Paratë. Depërtimi i një sulmuesi në rrjetin e brendshëm të një kompanie industriale mund të çojë jo vetëm në rrjedhjen e informacionit sensitiv, i cili më vonë mund t'u shitet kompanive konkurruese, por edhe në prishjen e procesit teknologjik.

Analiza e sigurisë së rrjeteve të korporatave është kryer nëpërmjet të jashtme, të brendshme dhe testim gjithëpërfshirës për depërtim (kjo e fundit përfshin si të jashtëm ashtu edhe të brendshëm). Testimi i penetrimit - metodë efektive analiza e sigurisë, e cila ju lejon të identifikoni dobësitë në infrastrukturën e korporatës dhe të merrni një vlerësim objektiv dhe të pavarur të nivelit të saj të sigurisë. Gjatë testimit, simulohen veprimet e një ndërhyrës të mundshëm, duke kryer sulme si nga Interneti ashtu edhe nga segmente të rrjetit të brendshëm të kompanisë. Kjo qasje ju lejon të rikrijoni kushtet në të cilat zakonisht veprojnë shkelësit dhe të eliminoni shpejt mangësitë e sigurisë.

Për të dytin vit radhazi, ne kemi parë interes për shërbime gjithëpërfshirëse. Klientët tanë përpiqen jo vetëm të mbrojnë perimetrin e rrjetit të tyre nga sulmet nga një sulmues i jashtëm, por edhe të zvogëlojnë rreziqet që lidhen me kompromentimin e LAN nga një sulmues i brendshëm.


Përveç testimit të penetrimit, për shumë klientë është kryer edhe puna për analizimin e sigurisë së rrjeteve pa tel dhe vlerësimin e ndërgjegjësimit të punonjësve për çështjet e sigurisë së informacionit.


Këtë vit, rezultatet e një analize të sigurisë së perimetrit të rrjetit, të marra gjatë testimit të depërtimit të jashtëm, krahasohen jo vetëm me rezultatet e studimit të vitit të kaluar, por edhe me statistikat e marra gjatë një studimi instrumental, i cili u krye gjatë periudhës. të përhapjes aktive të virusit të enkriptimit WannaCry. Në tremujorin e dytë të 2017, Positive Technologies ofroi skanim të perimetrit të jashtëm falas për të identifikuar shërbimet e cenueshme. Aplikacionet janë dorëzuar nga 26 kompani nga zona të ndryshme ekonomisë. Statistikat mbi testimin e depërtimit të jashtëm në krahasim me rezultatet e hulumtimit instrumental do të diskutohen në detaje më tej në seksionin përkatës.

3. STATISTIKA PER VITIN 2017

3.1. Rezultatet e përgjithshme të analizës së sigurisë

Si rregull, kur analizojmë sigurinë në secilin sistem, specialistët tanë zbulojnë disa dobësi dhe mangësi në mekanizmat e mbrojtjes, të cilat, ndër të tjera, na lejojnë të zhvillojmë një vektor sulmi deri në kompromisin e plotë të infrastrukturës së kompanisë, të fitojmë akses në ato të ndjeshme. informacione, kryerja e sulmeve të mohimit të shërbimit etj. Ne i ndajmë të gjitha dobësitë në tre kategori: ato që lidhen me të metat e konfigurimit; lidhur me mungesën e përditësimeve të sigurisë; lidhur me gabimet në kodin e aplikacionit në ueb. Për çdo cenueshmëri të identifikuar, niveli i ashpërsisë së tij përcaktohet në përputhje me versionin 3.0 të sistemit të klasifikimit CVSS.


18 vjet- mosha e cenueshmërisë më të vjetër CVE-1999-0532, e zbuluar gjatë analizës instrumentale të burimeve rrethuese të rrjetit




Krahasuar me vitin e kaluar, pjesa e sistemeve të korporatave në të cilat u zbuluan dobësi kritike (CVSS ≥ 9.0) pothuajse u dyfishua. Kjo është kryesisht për shkak të publikimit të informacionit në lidhje me cenueshmërinë kritike MS17-010 në shërbimin SMB të nyjeve që veprojnë nën Kontrolli i Windows. Pas publikimit të shfrytëzimeve të disponueshme publikisht në shumë projekte të testimit të penetrimit të brendshëm, ekspertët tanë përdorën këtë dobësi për të fituar kontroll të plotë mbi hostet LAN dhe për të zhvilluar sulmin deri në pikën e marrjes së privilegjeve maksimale në domen.

Për sistemet në të cilat gabimet në kodin e aplikacioneve në internet dhe mangësitë që lidhen me mungesën e përditësimeve të sigurisë nuk janë identifikuar, vlen të merret parasysh që testimi i depërtimit kryhet duke përdorur një metodë të kutisë së zezë, dhe brenda fushës së punës është e pamundur. për të identifikuar të gjitha dobësitë ekzistuese. Qëllimi kryesor i testimit të penetrimit është të merret një vlerësim objektiv i sigurisë së një sistemi të korporatës nga sulmet nga ndërhyrës.

3.2. Rezultatet e analizës së sigurisë së perimetrit të rrjetit

Rezultatet e testimit të depërtimit të jashtëm

Në fund të vitit 2017, siguria e perimetrit të rrjetit të sistemeve të informacionit të korporatave mbeti në nivelin e vitit 2016. Megjithatë, ekziston një tendencë për të zvogëluar kompleksitetin e tejkalimit të perimetrit të rrjetit. Nëse në vitin 2016 vetëm 27% e projekteve e vlerësonin vështirësinë e aksesit në burimet LAN si të parëndësishme, atëherë në fund të 2017 kjo shifër u dyfishua, në 56%.


10 numri maksimal vektorët e depërtimit në rrjetin e brendshëm, të identifikuar gjatë testimit të një sistemi informacioni të korporatës në 2017

Kjo shpërndarje shpjegohet me faktin se një sulmues, mesatarisht, duhet të kryejë dy hapa për të fituar akses në burimet LAN: për shembull, të gjejë kredencialet e fjalorit për autorizim në një aplikacion në internet dhe të përdorë dobësitë e tij për të fituar aftësinë për të ekzekutuar komandat e OS. mbi nikoqirin e sulmuar.

Bazuar në rezultatet e një analize të sigurisë së sistemeve të informacionit të korporatave, mesatarisht, dy vektorë të depërtimit në rrjetin e brendshëm identifikohen në secilën kompani, numri maksimal i vektorëve të zbuluar për një kompani është 10.

Ju mund t'i ndani të gjithë vektorët e suksesshëm të depërtimit në rrjetin e brendshëm në kategori:

  • 44% e vektorëve të suksesshëm të sulmit bazohen në zgjedhjen e kredencialeve të fjalorit për të hyrë në aplikacionet në internet, DBMS dhe shërbime të tjera të disponueshme për lidhje në perimetrin e rrjetit. Sulmuesi më pas mund të jetë në gjendje të ekzekutojë komandat e OS në hostin e sulmuar;
  • 28% e vektorëve të sulmit bazohen në shfrytëzimin e dobësive të aplikacionit në internet. Menjëherë gjatë disa testeve të jashtme, u identifikuan dobësi që lejojnë një hap, pa pasur nevojë për autorizim, për të ekzekutuar në distancë komandat e OS me privilegje të aplikacionit në ueb;
  • në 16% të rasteve, një sulmues mund të fitojë akses në burimet e rrjetit të brendshëm duke shfrytëzuar dobësitë në versionet e vjetëruara të softuerit (për shembull, në platformat CMS);
  • në raste të tjera, një sulmues mund të përdorë të metat e konfigurimit që lidhen me identifikimin e kredencialeve për të hyrë në sistemet në perimetrin e rrjetit në domenin publik, për shembull, në faqet e një aplikacioni ueb. Për më tepër, u identifikuan raste kur specialistët tanë gjetën një përkthyes në internet të shkarkuar më parë në burimin e internetit të kompanisë së testuar linja e komandës, që tregon sulme të suksesshme nga sulmuesit e jashtëm.

Pesë dobësitë më të zakonshme në perimetrin e rrjetit përfshijnë të njëjtat dobësi si në vitin 2016, por përqindja e tyre ka ndryshuar. Mund të vërehet një prirje e përgjithshme rënëse në numrin mesatar të dobësive të identifikuara gjatë testimit të depërtimit të jashtëm. Për shembull, në vitin 2016, dobësitë në lidhje me përdorimin e kredencialeve të fjalorit u identifikuan në të gjitha sistemet e testuara; në vitin 2017, kjo shifër u ul përgjysmë. Rezultate të tilla janë për faktin se për shumë kompani, më parë është kryer punë për të analizuar sigurinë e sistemeve të tyre të korporatës. Si rezultat i një pune të tillë, klientët korrigjuan me sukses shumicën e dobësive të identifikuara dhe të metave të konfigurimit dhe filluan të monitorojnë më rreptësisht pajtueshmërinë me politikat e brendshme të fjalëkalimit. Prandaj, kur testimi i depërtimit të jashtëm u përsërit një vit e gjysmë më vonë, u zbuluan më pak dobësi, të cilat përfundimisht patën një ndikim pozitiv në rezultatet e përgjithshme në vitin 2017.


Ashtu si në vitin 2016, më shpesh dobësitë në perimetrin e rrjetit identifikohen në aplikacion software dhe në serverët e internetit.



Rezultatet e analizës instrumentale të sigurisë rrethuese

Siç u përmend më herët, në tremujorin e dytë të 2017, Positive Technologies zhvilloi një promovim skanim falas perimetrin e jashtëm të një sërë kompanish me qëllim identifikimin e shërbimeve vulnerabël. Qëllimi kryesor ishte kundërshtimi i përhapjes së virusit ransomware WannaCry. Aplikimet për skanimin instrumental të burimeve rrethuese të rrjetit u dorëzuan nga 26 kompani nga sektorë të ndryshëm të ekonomisë: kompani IT dhe telekomi, përfaqësues të mëdhenj të tregtisë me pakicë, kompani nga sektori financiar dhe industria e naftës dhe gazit.

Të gjitha kompanitë fillimisht duhej të përcaktonin kufijtë e sistemeve të tyre të ndërmarrjeve. Tashmë në këtë fazë, disa pjesëmarrës kishin vështirësi: 23% nuk ​​ishin në gjendje të përcaktonin kufijtë e perimetrit të rrjetit të tyre ose i përcaktuan ato gabimisht. Pamundësia për të përcaktuar kufijtë e perimetrit të rrjetit është tashmë dëshmi e sigurisë së ulët të sistemit të informacionit të korporatës nga sulmet nga një ndërhyrës i jashtëm - madje edhe para marrjes së rezultateve të një analize manuale ose instrumentale të sistemit të korporatës.

Skanimi i perimetrave të rrjetit është kryer duke përdorur një sistem të automatizuar për analizimin e sigurisë dhe monitorimin e pajtueshmërisë me standardet MaxPatrol dhe softuerin shtesë. Bazuar në rezultatet e skanimit, u zbuluan shumë dobësi: 15% e tyre kanë një nivel të lartë rreziku sipas shkallës së versionit CVSS 2.0 dhe ekzistojnë shfrytëzime të disponueshme publikisht për të shfrytëzuar disa nga dobësitë.


Më vete, mund të merrni parasysh statistikat mbi dobësitë më të njohura të identifikuara gjatë skanimit instrumental të perimetrit të rrjetit. Ndër këto dobësi, më i rrezikshmi është CVE-2016-6515 në shërbimin OpenSSH. Kur futni një fjalëkalim për vërtetim në aplikacion, nuk ka kufi në numrin e karaktereve të futura. Ky disavantazh lejon një sulmues në distancë të kryejë sulme që synojnë të mohojnë shërbimin ndaj një shërbimi. Ekziston gjithashtu një shfrytëzim publik i disponueshëm për shfrytëzimin e kësaj dobësie 1 . Përveç kësaj, nëse një sulmues është në gjendje të hamendësojë kredencialet për t'u lidhur nëpërmjet SSH dhe të fitojë privilegje përdoruesi në një sistem UNIX, atëherë prania e cenueshmërisë CVE-2016-10010 në OpenSSH do t'i lejojë atij, duke përdorur një shfrytëzim tjetër 2, të rritet në nivel lokal. privilegjet e tij në maksimum në nyjen e komprometuar, dhe më pas zhvillojnë një sulm ndaj burimeve LAN.


Gjatë analizimit të shërbimeve të disponueshme në perimetër, numri më i madh i dobësive u identifikuan në aplikacionet në internet dhe shërbimet e aksesit në distancë (SSH). Këto rezultate të analizës instrumentale përkojnë me statistikat e marra gjatë testimit të penetrimit të jashtëm, ku dobësitë dhe mangësitë në konfigurimin e aplikacioneve në internet në shumicën e rasteve ishin pika fillestare për marrjen e aksesit në burimet LAN.


Gjatë analizës instrumentale të aplikacioneve të disponueshme në internet, statistikat mbi statusin e certifikatave SSL u mblodhën veçmas. Më shumë se një e katërta e certifikatave kishin skaduar në kohën e skanimit, 15% përdorën algoritme të dobëta kriptografike (për shembull, SHA-1) dhe një në gjashtë certifikata u lëshua për një periudhë më shumë se 5 vjet.




Përdorimi i certifikatave SSL të skaduara mbart rreziqe reputacioni për kompanitë, pasi përdoruesi, pasi merr një paralajmërim në dritaren e shfletuesit për përdorimin e një certifikate të pavlefshme në një aplikacion, mund të refuzojë të vizitojë burimin në internet.

Përdorimi i algoritmeve të dobëta të kriptimit shkatërron qëllimin e përdorimit të certifikatave SSL, pasi një sulmues mund të përgjojë trafikun e rrjetit dhe më pas të deshifrojë me sukses të dhënat e marra. Përveç kësaj, një sulmues mund të mashtrojë një certifikatë SSL dhe të krijojë faqen e tij të phishing, e cila mund të përdoret për të infektuar përdoruesit me malware dhe për të vjedhur kredencialet e tyre. Në të njëjtën kohë, përdoruesit mund të mendojnë se kompjuterët e tyre janë infektuar pasi kanë vizituar një faqe interneti të ligjshme të kompanisë.

Nëse një certifikatë SSL lëshohet për një periudhë më shumë se 5 vjet, lindin rreziqe që lidhen me mundësinë e zgjedhjes së një çelësi kriptimi.

Le të kthehemi te qëllimi kryesor i skanimit instrumental të burimeve rrethuese të rrjetit. Në 8 kompani nga 26, nyjet e jashtme me port i hapur 445/TCP me shërbimin SMB në punë. Kështu, infrastruktura e pothuajse çdo kompanie të tretë ishte e ekspozuar ndaj rrezikut të infektimit nga virusi ransomware WannaCry

31% kompanitë ishin në rrezik të infektimit nga virusi ransomware WannaCry

3.3. Rezultatet e analizës së burimeve të brendshme

Në rast të një sulmi të suksesshëm në burimet rrethuese të rrjetit, një sulmues i jashtëm mund të fitojë akses në rrjetin e brendshëm dhe të zhvillojë më tej sulmin deri në pikën e kontrollit të plotë mbi të gjithë infrastrukturën IT të kompanisë.

Ashtu si në vitin 2016, gjatë testimit të depërtimit në emër të një sulmuesi të brendshëm (për shembull, një punonjës i zakonshëm i kompanisë me akses në një segment përdoruesi të rrjetit), u mor kontroll i plotë mbi të gjithë infrastrukturën në të gjitha sistemet e testuara. Në vetëm 7% të projekteve, vështirësia për të fituar akses në burimet kritike nga një sulmues i brendshëm u vlerësua si "e mesme". Në të gjitha rastet e tjera, një ndërhyrës me aftësi të ulëta mund të komprometojë të gjithë sistemin e korporatës.

Një vektor tipik sulmi në një rrjet të brendshëm bazohej në marrjen e privilegjeve maksimale në një nga nyjet LAN dhe më pas lëshimin e softuerit të specializuar për të nxjerrë kredencialet e përdoruesve të tjerë që ishin lidhur më parë me këtë nyje. Duke përsëritur këto hapa në hoste të ndryshëm, një sulmues mund të gjejë përfundimisht hostin në të cilin është ruajtur llogaria e administratorit të domenit dhe të marrë fjalëkalimin e tij në formë e hapur.

në 60% sistemet e korporatave të testuara nga 14 prilli deri më 31 dhjetor 2017, u zbulua cenueshmëria MS17-010

Në vitin 2017, detyra e marrjes së privilegjeve maksimale në një nyje të rrjetit të brendshëm për një sulmues u thjeshtua ndjeshëm pas publikimit të informacionit në lidhje me cenueshmërinë MS17-010. Më 14 mars 2017, Microsoft publikoi një përditësim që eliminon këtë dobësi dhe saktësisht një muaj më vonë, më 14 prill, grupi i hakerëve Shadow Brokers publikoi shfrytëzimin EternalBlue 3 për ta shfrytëzuar atë. Nga mesi i prillit deri në fund të vitit, specialistët tanë përdorën me sukses shfrytëzimin në 60% të punës së testimit të penetrimit të brendshëm, gjë që tregon se përditësimet kritike të sigurisë së OS nuk u instaluan në kohën e duhur në shumicën e sistemeve të korporatave.

Nga fundi i vitit 2017, sistemet e korporatave u bënë më të zakonshme me përditësimet e instaluara që eliminuan cenueshmërinë kritike të rrezikshme MS17-010. Por disa projekte në hostet e Windows arritën të shfrytëzonin një dobësi tjetër kritike të përshkruar në buletinin e sigurisë MS17-018 për përshkallëzimin e privilegjeve lokale. Ekziston gjithashtu një shfrytëzim për këtë dobësi që nuk është i disponueshëm publikisht.

Statistikat e dobësive më të zakonshme në rrjetin e brendshëm kanë mbetur praktikisht të pandryshuara në krahasim me vitin 2016. Përjashtim është kategori e re"Mbrojtje e pamjaftueshme kundër rikuperimit të llogarive nga memoria OS." Në nyjet LAN që funksionojnë Windows, është e mundur të merrni fjalëkalime në tekst të qartë (ose hash të tyre) nga memoria e sistemit duke përdorur softuer special - nëse sulmuesi ka privilegje administratori lokal. Më parë, ne ia atribuonim këtë dobësi mangësive të softuerit antivirus, i cili duhet të bllokojë nisjen e çdo shërbimi keqdashës për të nxjerrë kredencialet. Sidoqoftë, së fundmi janë lëshuar modifikime të shërbimeve të tilla, të shkruara në PowerShell, të cilat janë krijuar posaçërisht për të anashkaluar bllokimin e fillimit nga çdo softuer antivirus. Tani, për të siguruar mbrojtje kundër nxjerrjes së kredencialeve nga memoria OS, është e nevojshme të përdoret një qasje gjithëpërfshirëse që përfshin ndalimin e ruajtjes së të dhënave të memorizuara, përshpejtimin e pastrimit të kujtesës së procesit lsass.exe nga llogaritë e përdoruesve që kanë dalë , dhe çaktivizimi i mekanizmit wdigest. Përveç kësaj, ju mund të përdorni moderne versionet e Windows 10, të cilat zbatojnë sistemin Remote Credential Guard, i cili ju lejon të izoloni dhe mbroni procesin e sistemit lsass.exe nga aksesi i paautorizuar. Kështu, në vitin 2017, për të vlerësuar në mënyrë objektive gjendjen e mekanizmave të mbrojtjes së rrjetit të korporatave, ne prezantuam një metrikë të veçantë për të mbledhur statistika mbi nisjen e shërbimeve të krijuara për të nxjerrë kredencialet.

Në 14% të sistemeve të korporatave ku nuk u gjet dobësi "Mbrojtje e pamjaftueshme kundër rikuperimit të llogarisë nga memoria OS", vektorë të tjerë sulmi u përdorën për të fituar kontroll të plotë mbi infrastrukturën e korporatës.


Statistikat mbi defektet e sigurisë në protokollet e shërbimit u ndërtuan në bazë të atyre projekteve ku u krye analiza e rrjetit. Trafiku LAN(71% e kompanive). Në disa projekte, klientët ishin kundër kontrolleve të tilla, pasi ato mund të çonin në shkelje funksionimin e vazhdueshëm rrjeteve.



Bazuar në rezultatet e testimit të brendshëm, u vërtetua se problemet kryesore të sistemeve të informacionit të korporatave janë instalimi i parakohshëm i përditësimeve kritike të sigurisë dhe mbrojtja e pamjaftueshme kundër rivendosjes së llogarive nga memoria OS duke përdorur shërbime të specializuara.

4. REZULTATET E VLERËSIMIT TË NDËRGJEGJËSISË SË PUNONJËSVE PËR ÇËSHTJET E SIGURISË TË INFORMACIONIT

Përveç punës për testimin e penetrimit të sistemeve të informacionit të korporatave, ndërgjegjësimi i punonjësve për çështjet e sigurisë së informacionit u vlerësua për një numër kompanish. Një punë e tillë kryhet sipas skenarëve të rënë dakord më parë me klientin, në të cilat simulohen sulme reale nga kriminelët kibernetikë duke përdorur metoda të inxhinierisë sociale dhe monitorohet reagimi i punonjësve ndaj këtyre sulmeve.

Testimi i punonjësve u krye duke përdorur dy metoda: duke përdorur listat e postimeve emailet dhe në ndërveprimet telefonike. Për të marrë një vlerësim objektiv të nivelit të ndërgjegjësimit të punonjësve, u analizuan ngjarjet e mëposhtme të kontrolluara:

  • duke ndjekur një lidhje me burimin në internet të një sulmuesi;
  • futja e kredencialeve në një formular vërtetimi qëllimisht të rremë;
  • hapni skedarin e bashkangjitur letrës;
  • fakti i ndërveprimit me sulmuesin me telefon ose email.

Bazuar në rezultatet e punës, u konstatua se 26% e punonjësve ndjekin një lidhje me një burim në internet phishing, dhe pothuajse gjysma e tyre më pas futin kredencialet e tyre në një formular vërtetimi të rremë. Çdo punonjës i gjashtë ekspozon infrastrukturën e korporatës ndaj rrezikut të infektimit me virus duke lëshuar një skedar të bashkangjitur në një email. Për më tepër, 12% e punonjësve janë të gatshëm të hyjnë në një dialog me një ndërhyrës dhe të zbulojnë informacione që më vonë mund të përdoren për të kryer sulme në sistemin e informacionit të korporatës.


Në total, gjatë vlerësimit të ndërgjegjësimit të punonjësve në vitin 2017, u dërguan më shumë se 1300 emaile, gjysma e të cilave përmbante një lidhje me një burim phishing dhe e dyta përmbante një skedar me një skript të veçantë që u dërgonte specialistëve tanë informacione për kohën kur u hap skedari. , si dhe adresën e emailit të punonjësit. Një sulmues i vërtetë mund të shtojë një grup shfrytëzimesh në përmbajtjen e skedarit që synojnë shfrytëzimin e dobësive të ndryshme, duke përfshirë CVE-2013-3906, CVE-2014-1761 dhe CVE-2017-0199. Një sulm i tillë mund të çojë në atë që një sulmues të fitojë kontrollin mbi stacionin e punës të përdoruesit përkatës, duke shpërndarë kod me qëllim të keq, refuzimi i shërbimit dhe pasoja të tjera negative.

Një shembull tipik i një sulmi të inxhinierisë sociale:

  1. sulmuesi vendos në një burim të kontrolluar një grup shfrytëzimesh për versione të ndryshme softuerësh;
  2. një lidhje me këtë burim dërgohet masivisht në email phishing;
  3. Një punonjës i një organizate ndjek një lidhje nga një email dhe pas hapjes së faqes në shfletues, dobësitë shfrytëzohen.

Një sulm i tillë mund të çojë në infeksion stacioni i punës përdorues me malware. Përveç kësaj, kur përdorni version i vjetëruar shfletuesi mund të ketë ekzekutim të kodit në distancë (për shembull, CVE-2016-0189). Kështu, një sulmues mund të fitojë akses në një nyje të brendshme të rrjetit dhe të zhvillojë një sulm deri në privilegjet maksimale në infrastrukturën e korporatës. Informacion më të detajuar rreth skenarëve të sulmit duke përdorur metoda të inxhinierisë sociale mund të gjenden në studimin tonë “Si Inxhinieria Sociale hap derën për organizatën tuaj për një haker” 4 .

5. REZULTATET E VLERËSIMIT TË SIGURISË SË RRJETAVE TË KORPORATAVE ME TELETA

40% kompanitë përdorin çelësin e fjalorit për rrjetin pa tel

Sulmet në rrjetet pa tel janë një mënyrë alternative që një sulmues i jashtëm të ketë akses në burimet e brendshme të rrjetit. Nëse një përpjekje për të depërtuar në perimetrin e rrjetit dështon, për shembull nëpërmjet sulmeve në aplikacionet në ueb, një sulmues mund të përfitojë nga dobësitë e rrjeteve pa tel të kompanisë. Për një sulm të suksesshëm, ai do të duhet të blejë pajisje të lira paraprakisht dhe të futet brenda zonës së mbulimit të rrjetit pa tel. Për më tepër, një sulmues nuk duhet të hyjë në zonën e kontrolluar të kompanisë për të kryer sulme: bazuar në rezultatet e punës sonë, u konstatua se 75% e rrjeteve pa tel janë të aksesueshme përtej kufijve të saj. Kjo do të thotë, sulmet në rrjetet pa tel mund të kryhen pa u vënë re nga një zonë e afërt, siç është një parking pranë një ndërtese zyre.

Në vitin 2017, pothuajse të gjitha rrjetet me valë të testuara përdorën protokollin WPA2 me metoda të ndryshme autentifikimi, më i zakonshmi prej të cilit ishte PSK (çelës i përbashkët paraprak).


Në varësi të metodës së përdorur të vërtetimit, mund të përdoren skenarë të ndryshëm për të sulmuar rrjetet me valë. Në vitin 2017, dy skenarët e mëposhtëm u përdorën më shpesh për të fituar akses në burimet e brendshme të rrjetit:

  • Përgjimi i shtrëngimit të duarve midis pikës së aksesit dhe një klienti legjitim (i përshtatshëm vetëm për metodën PSK);
  • sulme ndaj klientëve të rrjetit pa tel duke përdorur një pikë aksesi të rremë (e përshtatshme për të gjitha metodat e vërtetimit).

Në skenarin e parë, fjalëkalimi për vlerën e përgjuar të shtrëngimit të duarve merret me mend. Suksesi varet nga kompleksiteti i fjalëkalimit të përdorur. Është e rëndësishme të merret parasysh që një sulmues mund ta marrë atë jashtë zonës së mbulimit të pikës së hyrjes që po hetohet. Nëse, brenda kufijve të punës, specialistët tanë nuk arrijnë gjithmonë të gjejnë një fjalëkalim bazuar në vlerën e shtrëngimit të duarve, atëherë sulmuesi ka më shumë kohë, gjë që rrit shumë shanset e tij.

Pas zgjedhjes së një fjalëkalimi dhe lidhjes me një pikë aksesi, u zbulua se në 75% të rrjeteve me valë nuk ka izolim midis përdoruesve. Kështu, një sulmues mund të sulmojë pajisjet e përdoruesve, për shembull, të shfrytëzojë dobësinë MS17-010 në laptopët e tyre personalë dhe të korporatave.


Nëse ende nuk mund ta gjeni fjalëkalimin për pikën e hyrjes, mund të përdorni skenarin e dytë me instalimin e një pike hyrje të rreme.

Së pari, një sulmues, së bashku me një pikë aksesi të rremë, mund të përdorë një faqe vërtetimi phishing për të marrë kredencialet dhe për të përgjuar informacione të ndjeshme të transmetuara përmes protokolleve të hapura të transferimit të të dhënave (për shembull, HTTP, FTP).

Në vitin 2017, si pjesë e një prej projekteve për të analizuar sigurinë e një rrjeti pa tel të kryer në Moskë, specialistët e teknologjive pozitive përdorën një pikë aksesi të rreme me ESSID (Identifikimi i grupit të shërbimit të zgjeruar) MT_FREE, i cili është i popullarizuar në mesin e banorëve të qytetit ashtu siç është. përdoret për të hyrë në rrjetin Wi-Fi, i vendosur në transportin urban. Më pas, u përgatit një formular i rremë vërtetimi që përdorte logon dhe identitetin e korporatës së kompanisë që testohej. Pas lidhjes me një pikë aksesi të rremë, kur përpiqeshin të hapnin ndonjë faqe interneti, të gjithë përdoruesit u ridrejtuan në një faqe me një formular vërtetimi të rremë në rrjetin e korporatës. Si rezultat i këtij sulmi, u bë e mundur marrja e kredencialeve të domenit të punonjësve të kompanisë dhe përdorimi i tyre për të zhvilluar më tej sulmin.


Vetëm 1 nga 8 nga kompanitë e testuara, punonjësit nuk i futën kredencialet e tyre në një formular vërtetimi të rremë

Së dyti, një sulmues që përdor një pikë aksesi të rremë mund të përgjojë kredencialet e përdoruesit të ruajtura në pajisje. Për ta bërë këtë, duhet të krijoni një pikë aksesi me të njëjtin ESSID dhe të njëjtat parametra si pika legjitime e hyrjes. Nëse pajisja e përdoruesit është e konfiguruar lidhje automatike në një rrjet të ruajtur me valë, ai do të përpiqet të lidhet automatikisht me një pikë aksesi të rremë nëse ka një sinjal më të fortë në vendndodhjen e kësaj pajisjeje. Si rezultat i sulmeve të tilla, një sulmues mund të marrë hash të fjalëkalimeve të punonjësve të kompanisë dhe t'i përdorë ato për të zhvilluar më tej një sulm në infrastrukturën e korporatës.

Është vërtetuar se në 75% të rasteve, një sulmues përmes sulmeve në rrjetet pa tel mund të fitojë akses në burimet e brendshme të rrjetit, si dhe në informacione të ndjeshme (për shembull, llogaritë e përdoruesve të domenit). Kjo metodë e depërtimit në një rrjet të brendshëm është një alternativë efektive ndaj sulmeve klasike në nyjet rrethuese të rrjetit.

Çdo vit, bazuar në rezultatet e testeve të penetrimit, ne identifikojmë shërbimet në të cilat janë përdorur më shpesh fjalëkalimet e fjalorit. Këto statistika janë të destinuara kryesisht për administratorët e sistemit, për t'u kujtuar atyre të përdorin fjalëkalime komplekse dhe të zëvendësojnë menjëherë llogaritë standarde pas instalimit dhe vënies në punë të një shërbimi të ri.



Bazuar në rezultatet e vitit 2017, u konstatua se përdoruesit e zakonshëm dhe administratorët shpesh përdorin kombinime të çelësave të mbylljes në tastierë si fjalëkalime, duke besuar se një i gjatë nuk do të bëjë asgjë fjalëkalim kuptimplotë(për shembull, zaq12wsxcde3 ose poiuytrewq) do të jenë në gjendje t'i mbrojnë ata nga aksesi i paautorizuar. Sidoqoftë, ky është një koncept i gabuar: pavarësisht kompleksitetit të dukshëm të fjalëkalimit, të gjitha kombinimet e tilla të çelësave janë përfshirë prej kohësh në fjalorë të veçantë, dhe një sulm me forcë brutale i merr sulmuesit vetëm disa minuta.

Qwerty, Zaq1xsw2 dhe kombinime të tjera të çelësave të ngjashëm në tastierë - fjalëkalimet më të njohura, përfshirë midis përdoruesve të privilegjuar

PËRFUNDIM

Sistemet e informacionit të korporatave janë ende të ndjeshme ndaj sulmeve nga sulmuesit e jashtëm dhe të brendshëm. Nëse, gjatë kryerjes së testimit të depërtimit të jashtëm, është gjithnjë e më e zakonshme të hasni kompani që shqetësohen për sigurinë e perimetrit të rrjetit të tyre, atëherë kur testoni sigurinë e një sistemi të korporatës në emër të një sulmuesi të brendshëm, situata është shumë më e keqe. Në vitin 2017, në emër të një sulmuesi të jashtëm duke përdorur, ndër të tjera, metoda të inxhinierisë sociale dhe sulme në rrjetet pa tela, u bë e mundur të kapërcehej perimetri i rrjetit në 68% të punimeve. Në të njëjtën kohë, në emër të dhunuesit të brendshëm, kontroll të plotë mbi Burimet LANështë marrë në të gjitha projektet pa përjashtim - pavarësisht mjeteve teknike dhe masave organizative të përdorura në kompani për të mbrojtur informacionin.

  • Refuzoni të përdorni fjalëkalime të thjeshta dhe të fjalorit, zhvilloni rregulla strikte për politikën e fjalëkalimeve të korporatës dhe monitoroni zbatimin e tyre.
  • Siguroni mbrojtje shtesë për llogaritë e privilegjuara (si p.sh. administratorët e domenit). Është praktikë e mirë të përdoret vërtetimi me dy faktorë.
  • Mbroni infrastrukturën tuaj nga sulmet që synojnë rikthimin e llogarive nga kujtesa e OS. Për ta bërë këtë, instaloni versionet e Windows më të larta se 8.1 në të gjitha stacionet e punës të përdoruesve të privilegjuar, si dhe në të gjitha nyjet me të cilat bëhen lidhje duke përdorur llogari të privilegjuara dhe përfshini përdoruesit e domenit të privilegjuar në grupin e Përdoruesve të mbrojtur. Përveç kësaj, mund të përdorni versionet moderne të Windows 10, të cilat zbatojnë sistemin Remote Credential Guard, i cili ju lejon të izoloni dhe mbroni procesin e sistemit lsass.exe nga aksesi i paautorizuar.
  • Sigurohuni që informacioni i ndjeshëm me interes për një sulmues të mos ruhet në formë të qartë (për shembull, në faqet e një aplikacioni ueb). Një informacion i tillë mund të përfshijë kredencialet për qasje në burime të ndryshme, një libër adresash të kompanisë që përmban adresat e emailit dhe identifikuesit e domenit të punonjësve, etj.
  • Kufizoni numrin e shërbimeve në perimetrin e rrjetit, sigurohuni që ndërfaqet e hapura për lidhje duhet të jenë vërtet të aksesueshme për të gjithë përdoruesit e internetit.
  • Instaloni përditësimet e sigurisë për OS dhe versionet më të fundit të softuerit të aplikacionit në kohën e duhur.
  • Kryeni një analizë sigurie të rrjeteve pa tel. Vëmendje e veçantë Vlen t'i kushtohet vëmendje besueshmërisë së metodave të vërtetimit të përdorura, si dhe vendosjes së izolimit të përdoruesve të pikave të hyrjes.
  • Kryerja e trajnimeve të punonjësve në baza të rregullta me qëllim rritjen e kompetencës së tyre në çështjet e sigurisë së informacionit, monitorimin e rezultateve.
  • Përdorni një sistem SIEM për të zbuluar sulmet në kohën e duhur. Vetëm zbulimi në kohë i një tentative sulmi do të lejojë që ai të parandalohet përpara se sulmuesi të shkaktojë dëme të konsiderueshme në kompani.
  • Për të mbrojtur aplikacionet në internet - instaloni muri i zjarrit niveli i aplikacionit në ueb (firewall i aplikacionit në internet).
  • Kryeni rregullisht testimin e depërtimit për të identifikuar menjëherë vektorët e sulmit në një sistem të korporatës dhe për të vlerësuar efektivitetin në praktikë masat e marra mbrojtjes.

Kjo listë nuk është shteruese, por mosrespektimi i qoftë edhe një artikulli mund të çojë në një kompromis të plotë të sistemit të korporatës dhe të gjitha kostot për mjete të ndryshme të shtrenjta dhe sisteme mbrojtëse do të jenë të pajustifikuara. Një qasje e integruar ndaj sigurisë së informacionit është mbrojtja më e mirë e një sistemi informacioni të korporatës nga çdo ndërhyrës.

Pasi sistemi juaj operativ të jetë gati për të filluar, është koha për të kuptuar saktësisht se çfarë lloj kërkimi do të bëni. Në përgjithësi, mund të dallohen katër lloje të studimeve të tilla:
  • Vlerësimi i cenueshmërisë së sistemit;
  • Vlerësimi i sistemeve për pajtueshmërinë me standardet e sigurisë;
  • Testimi i penetrimit të sistemit tradicional;
  • Hulumtimi i aplikimit.
Një detyrë specifike e kërkimit të sistemit mund të përfshijë elemente të ndryshmeçdo lloj. Besojmë se ia vlen të flasim për to në mënyrë më të detajuar dhe të zbulojmë lidhjen e tyre me Kali Linux dhe mjedisin desktop.

Para se të kalojmë në përshkrimin e llojeve specifike të aktiviteteve për të vlerësuar sigurinë e sistemeve, ne do të flasim për mënyrën se si dobësitë ndryshojnë nga shfrytëzimet.

Një cenueshmëri mund të përkufizohet si një defekt në një sistem informacioni, i cili, nëse shfrytëzohet, mund të cenojë konfidencialitetin, integritetin ose disponueshmërinë e tij. Ka lloje të ndryshme dobësish që mund të hasni. Ja disa prej tyre:

11.2.2. Vlerësimi i sistemeve për pajtueshmërinë me standardet e sigurisë

Lloji tjetër më kompleks i kërkimit është vlerësimi i sistemeve për pajtueshmërinë me standardet e sigurisë. Një testim i tillë i sistemit është më i zakonshmi sepse bazohet në testimin e kërkesave të përshkruara nga standardet e qeverisë dhe industrisë që zbatohen për organizatat.

Ka shumë standarde të specializuara të sigurisë, megjithatë, më i zakonshmi është Standardi i Sigurisë së të Dhënave të Industrisë së Kartës së Pagesave (PCI DSS). Ky standard është zhvilluar nga kompanitë e kartave të pagesave. Organizatat që përpunojnë pagesat me kartë duhet ta respektojnë atë. Nëse flasim për standarde të tjera të përbashkëta, mund të vëmë re si Udhëzuesit Teknik të Zbatimit të Sigurisë së Agjencisë së Sistemeve të Informacionit të Mbrojtjes (DISA STIG), Programi Federal i Menaxhimit të Riskut dhe Autorizimit (FedRAMP), Akti Federal i Menaxhimit të Sigurisë së Informacionit (FISMA) dhe të tjerë.

Një klient i korporatës mund të porosisë një studim të ngjashëm ose të aplikojë për rezultatet e një studimi të kryer më parë në arsye të ndryshme. Në veçanti, iniciativa mund të vijë nga vetë klienti, ose ai mund të detyrohet të kryejë një kontroll të detyrueshëm. Në secilin rast, studime të tilla referohen si "vlerësime të sigurisë së sistemit" ose "studime të pajtueshmërisë së sigurisë" ose "testime të pajtueshmërisë së sigurisë".

Vlerësimi i një sistemi për pajtueshmërinë me standardet zakonisht fillon me një analizë të cenueshmërisë. Në rastin e një auditimi të përputhshmërisë PCI, një vlerësim i cenueshmërisë, nëse bëhet siç duhet, mund të plotësojë disa nga kërkesat thelbësore të standardit. Midis tyre është kërkesa 2: "Mos përdorni fjalëkalime dhe parametra të tjerë të sistemit të vendosura si parazgjedhje nga prodhuesi". Sistemi mund të analizohet për pajtueshmërinë me këtë kërkesë duke përdorur mjete nga kategoria e menusë Password Attack. Tjetra është Kërkesa 11: "Kryerni testime të rregullta të sistemeve dhe proceseve të sigurisë". Kjo mund të bëhet duke përdorur mjete nga kategoria Vlerësimi i bazës së të dhënave. Disa kërkesa nuk mund të verifikohen duke përdorur mjetet konvencionale të skanimit të cenueshmërisë. Midis tyre është kërkesa 9: “Limit akses fizik për të dhënat e mbajtësit të kartës, dhe 12: "Zhvilloni dhe mbani një politikë sigurie informacioni për të gjithë personelin e organizatës." Kërkohen përpjekje shtesë për verifikimin e kërkesave të tilla.

Në shikim të parë, mund të mos jetë plotësisht e qartë se si të përdorni Kali Linux për të kryer disa kontrolle. Sidoqoftë, Kali është i shkëlqyeshëm për zgjidhjen e problemeve të tilla, dhe jo vetëm për shkak të grupit të tij të pasur mjete standarde, por edhe sepse bazohet në Debian, i cili hap mundësinë e instalimit të shumë aplikacione shtesë. Ju mund të kërkoni për programe që zbatojnë funksionalitetin e kërkuar në menaxherin e paketave duke përdorur fjalë kyçe, marrë nga standardi i sigurisë së informacionit të përdorur. Një kërkim i tillë pothuajse me siguri do të rezultojë në disa rezultate të rëndësishme. Aktualisht, shumë organizata përdorin Kali Linux si një platformë posaçërisht për vlerësimin e sistemeve për pajtueshmërinë me standardet e sigurisë.

11.2.3. Testimi tradicional i penetrimit të sistemit

Kohët e fundit, është bërë e vështirë të gjesh një përkufizim të përshtatshëm për "testimin tradicional të penetrimit". Fakti është se teste të tilla përdoren në fusha të ndryshme të veprimtarisë, si rezultat, secili i përshkruan ato në mënyrën e vet. Konfuzionin i shtohet fakti se "testimi i penetrimit" ka ardhur gjithnjë e më shumë në kuptimin e vlerësimit të sistemeve të përshkruara më sipër për pajtueshmërinë me standardet e sigurisë, apo edhe një vlerësim të rregullt të cenueshmërisë. Në raste të tilla, hulumtimi nuk shkon përtej disa kërkesave minimale.

Në këtë seksion, ne nuk do të prekim mosmarrëveshjet në lidhje me tiparet e llojeve të ndryshme të testimit të sistemit. Këtu do të flasim për kërkime që nuk kufizohen nga disa "kërkesa minimale". Këto janë studime që janë krijuar në mënyrë që, pasi të kryhen, të mund të bëhen përmirësime reale. siguria e përgjithshme organizatave.

Ndryshe nga llojet e hetimeve që diskutuam më herët, testet tradicionale të penetrimit nuk fillojnë shpesh me përcaktimin e zonës së hetimit. Në vend të kësaj, atyre u vendosen qëllime specifike. Për shembull: "modeloni pasojat e komprometimit të një përdoruesi të brendshëm" ose: "Zbuloni se çfarë do të ndodhte nëse organizata do të ishte nën një sulm të synuar të kryer nga një sulmues i jashtëm". Karakteristika kryesore dalluese e studimeve të tilla është se gjatë zbatimit të tyre ata jo vetëm gjejnë dhe vlerësojnë dobësitë, por gjithashtu përdorin problemet e gjetura për të zbuluar skenarët e rasteve më të këqija.

Testimi i penetrimit nuk mbështetet vetëm në mjetet për të skanuar sistemet për dobësi. Puna vazhdon duke hetuar gjetjet, duke përdorur shfrytëzime ose testime për të eliminuar pozitivet e rreme dhe duke bërë gjithçka që është e mundur për të zbuluar dobësitë e fshehura, ose ato që ne i quajmë negative të rreme.

Një kërkim i tillë shpesh përfshin shfrytëzimin e dobësive të zbuluara, vlerësimin e nivelit të aksesit që ofrojnë shfrytëzimet dhe shfrytëzimin e nivel më të lartë aksesi si pikënisje për sulme shtesë në sistemin e synuar.

Kjo kërkon një analizë kritike të mjedisit të synuar, një kërkim manual për dobësitë, kreativitetin dhe aftësinë për të menduar jashtë kutisë. Të gjitha këto janë qasje për zbulimin e dobësive shtesë që kërkojnë mjete të tjera që mund të gjejnë dobësi aty ku përfundojnë ato më të fuqishmet. skanerë automatikë. Shpesh, pas përfundimit të këtij hapi, i gjithë procesi fillon përsëri në mënyrë që të sigurohet që puna të përfundojë plotësisht dhe me efikasitet.

Pavarësisht kompleksitetit dhe shkathtësisë së testimit tradicional të penetrimit, rrjedha e një kërkimi të tillë mund të strukturohet në disa hapa. Vlen të përmendet se Kali e bën të lehtë zgjedhjen e softuerit për secilin prej këtyre hapave. Pra, ja ku shkoni plani hap pas hapi testimi i depërtimit me komente në lidhje me mjetet e përdorura:

  • Mbledhja e informacionit. Gjatë kësaj faze, përpjekjet e pentesterit synojnë të mësojnë sa më shumë rreth mjedisit të synuar. Në mënyrë tipike, ky aktivitet është jo-invaziv dhe duket si aktivitet normal i përdoruesit. Këto aktivitete përbëjnë bazën për fazat e mbetura të studimit dhe në këtë mënyrë duhet të çojnë në mbledhjen e të dhënave sa më të plota për sistemin. Seksioni Mbledhja e Informacionit në menunë e Aplikacioneve Kali Linux përmban dhjetëra mjete që synojnë të zbulojnë sa më shumë informacion të jetë e mundur për sistemin në studim.
  • Zbulimi i dobësive. Ky hap shpesh quhet "mbledhja aktive e informacionit". Një specialist, duke u përpjekur të identifikojë dobësitë e mundshme në mjedisin e synuar, nuk po sulmon ende sistemin, por tashmë po sillet ndryshe nga përdorues i rregullt. Këtu ndodh shpesh skanimi i përshkruar më sipër i sistemeve për dobësi. Në këtë fazë të hulumtimit, do të jenë të dobishme programet nga seksionet Analiza e Vulnerabilitetit, Analiza e aplikacioneve në ueb, Vlerësimi i bazës së të dhënave dhe Inxhinieria e kundërt.
  • Shfrytëzimi i dobësive. Duke pasur një listë të dobësive të mundshme të zbuluara, në këtë fazë të kërkimit specialisti përpiqet t'i përdorë ato për të gjetur një pikëmbështetje në mjedisin e synuar. Mjete të dobishme për këtë qëllim mund të gjenden në kategoritë Analiza e aplikacioneve në internet, Vlerësimi i bazës së të dhënave, Sulmet me fjalëkalim dhe mjetet e shfrytëzimit.
  • Depërtimi i sistemeve dhe nxjerrja e të dhënave në mënyrë të fshehtë. Pasi studiuesi ka arritur të fitojë një terren në sistem, ai duhet të vazhdojë. Si rregull, në këtë fazë, ata kërkojnë një mënyrë për të rritur privilegjet në një nivel që korrespondon me atë të nevojshëm për të arritur sistemet e synuara që më parë ishin të paarritshme dhe për të nxjerrë fshehurazi informacione sekrete prej tyre. Në këtë hap, mund të përdorni seksione të tilla të menysë së aplikacionit si Sulmet e Fjalëkalimit, Mjetet e Shfrytëzimit, Sniffing & Spoofing dhe Post Exploitation.
  • Përgatitja e raporteve. Pas përfundimit të fazës aktive të studimit, duhet të dokumentoni veprimet e ndërmarra dhe të përgatitni një raport. Zakonisht ky hap nuk është teknikisht aq kompleks sa hapat e mëparshëm. Megjithatë, falë raporteve cilësore, klienti mund të përfitojë plotësisht nga puna e bërë, ndaj mos e nënvlerësoni rëndësinë e kësaj faze të hulumtimit. Mjetet përkatëse mund të gjenden në seksionin Mjetet e Raportimit të menysë së Aplikacioneve.
Në shumicën e rasteve, testet e depërtimit do të dizajnohen shumë ndryshe, pasi secila organizatë do të ekspozohet ndaj kërcënimeve të ndryshme dhe do të ketë asete të ndryshme që duhet të mbrohen. Kali Linux jep bazë universale Për të zgjidhur probleme të tilla, këtu mund të përfitoni nga opsionet e shumta për personalizimin e Kali. Shumë organizata që kryejnë kërkime të tilla mbajnë versione të personalizuara të Kali LInux për përdorim të brendshëm. Kjo u lejon atyre të përshpejtojnë vendosjen e sistemeve përpara kërkimeve të reja.

Ndër ato që hasen shpesh cilësimet shtesë Kali Linux mund të vërehet si më poshtë:

  • Parainstalimi i paketave tregtare të licencuara. Për shembull, ekziston një paketë si një skaner dobësie me pagesë që planifikoni ta përdorni gjatë shumë seancave të testimit të depërtimit. Për të shmangur nevojën për të instaluar këtë paketë në çdo kopje të vendosur të Kali, mund ta integroni atë në sistemin tuaj. Si rezultat, kjo paketë do të instalohet sa herë që vendoset Kali.
  • VPN e para-konfiguruar me lidhje të kundërt. Ky është një veçori shumë e përshtatshme për pajisjet që lihen qëllimisht të lidhura brenda rrjetit që studiohet. Pajisjet e tilla lejojnë kërkime "të brendshme të largëta". Një pajisje backhaul lidhet me kompjuterin e testuesit të depërtimit, duke krijuar një tunel që mund të përdoret për t'u lidhur me sistemet e brendshme. Kali Linux ISO e shpërndarjes Doom është një shembull i një konfigurimi të tillë të veçantë të sistemit.
  • Mjete të parainstaluara dhe programe të pronarit. Shumë organizata kanë pajisje të brendshme të nevojshme gjatë seancave të testimit të depërtimit, kështu që instalimi paraprak i tyre kur ndërton një imazh të sistemit të personalizuar kursen kohë.
  • Konfigurimi paraprak i OS, duke përfshirë vendosjen e hartës së emrave të hosteve në adresat IP, sfondin e desktopit, cilësimet e serverit proxy, etj. Shumë përdorues të Kali preferojnë cilësime specifike të sistemit. Nëse planifikoni të riinstaloni sistemin tuaj rregullisht, ruajtja e këtyre cilësimeve mund të ketë kuptim.

11.2.4. Kërkim Aplikativ

Shumica e aktiviteteve për të vlerësuar sigurinë e sistemeve janë mjaft të mëdha në shkallë. Një tipar i veçantë i kërkimit aplikativ është fakti që studiohet një program specifik. Hulumtimet si ky po bëhen më të zakonshme për shkak të kompleksitetit të aplikacioneve kritike të misionit të përdorura nga kompanitë. Shumë prej këtyre aplikacioneve janë krijuar më vete këto kompani. Nëse është e nevojshme, kërkimi i aplikimit mund të shoqërojë lloje të tjera kërkimi. Disa nga llojet e aplikacioneve që mund të shqyrtohen për sigurinë përfshijnë:
  • Ueb aplikacionet. Këto aplikacione janë shpesh në shënjestër nga sulmuesit, sepse ato janë të aksesueshme nga interneti, zakonisht me një sipërfaqe të konsiderueshme sulmi. Testet standarde shpesh zbulojnë problemet themelore në aplikacionet në ueb. Sidoqoftë, një hetim më i detajuar, megjithëse mund të marrë shumë kohë, ju lejon të gjeni defekte të fshehura të aplikacionit. Për të kryer teste të tilla, mund të përdorni metapaketën kali-linux-web, e cila përmban shumë mjete të dobishme.
  • Aplikacionet e desktopit shpërndahen si skedarë të ekzekutueshëm. Aplikacionet e serverëve nuk janë objektivi i vetëm i sulmuesve. Aplikacionet e desktopit janë gjithashtu të ndjeshëm ndaj sulmeve. Në vitet e kaluara, shumë programet e desktopit, si lexuesit e PDF-ve, apo aplikacionet video që përdorin burime të internetit, kanë qenë subjekt i shumë sulmeve, gjë që ka çuar në përmirësimin e tyre. Megjithatë, ka ende shumë aplikacione desktop në të cilat, kur qasja e duhur, mund të gjeni shumë dobësi.
  • Aplikacione celulare. Me popullaritet në rritje pajisje celulare Aplikacionet celulare po bëhen objekt i rregullt i kërkimit të sigurisë. Këto aplikacione po zhvillohen dhe ndryshojnë shumë shpejt, kështu që metodologjia e kërkimit në këtë fushë ende nuk ka arritur pjekurinë e mjaftueshme, gjë që çon në shfaqjen e rregullt, pothuajse javore të teknikave të reja. Mjetet që lidhen me të mësuarit rreth aplikacioneve celulare mund të gjenden në seksionin Kali Linux Reverse Engineering të menusë së aplikacionit.
Hulumtimi i aplikimit mund të kryhet nga shumica menyra te ndryshme. Për shembull, mund të përdorni një mjet të automatizuar të krijuar për të testuar një aplikacion specifik për të identifikuar problemet e mundshme. I ngjashëm mjete automatike, bazuar në karakteristikat e funksionimit të aplikacioneve, ata përpiqen të gjejnë dobësi të panjohura në to, në vend që të mbështeten në një grup nënshkrimesh të paracaktuara. Mjetet për analizimin e programeve duhet të marrin parasysh veçoritë e sjelljes së tyre. Këtu, për shembull, është skaneri popullor i cenueshmërisë së aplikacionit në ueb Burp Suite. Ndërsa ekzaminon aplikacionin, gjen fushat e hyrjes dhe më pas kryen sulme të ndryshme të injektimit SQL ndërsa monitoron aplikacionin për të identifikuar sulmet që janë të suksesshme.

Ekzistojnë gjithashtu skenarë më kompleksë të kërkimit të aplikacioneve. Studime të tilla mund të kryhen në mënyrë interaktive. Gjatë kryerjes së tyre, përdoren modele kuti bardh e zi.

  • Hulumtimi i kutisë së zezë. Mjeti (ose studiuesi) ndërvepron me aplikacionin pa pasur njohuri të veçanta për të ose akses të veçantë në të përtej aftësive të përdoruesit mesatar. Për shembull, në rastin e një aplikacioni në internet, studiuesi mund të ketë akses vetëm në funksionet dhe aftësitë hapur për përdoruesin, i cili nuk është i autorizuar në sistem. Çdo llogari e përdorur do të jetë e njëjta që një përdorues i rregullt mund të regjistrohet vetë. Kjo nuk do t'i japë sulmuesit mundësinë për të analizuar funksionalitetin që është i disponueshëm vetëm për përdoruesit e privilegjuar, llogaritë e të cilëve duhet të krijohen nga administratori.
  • Hulumtimi i kutisë së bardhë. Mjeti (ose studiuesi) shpesh ka akses të plotë në kodin burimor të aplikacionit, qasje administrative në platformën në të cilën funksionon, etj. Kjo siguron që të kryhet një analizë e plotë dhe e plotë e të gjitha aftësive të aplikacionit, pavarësisht se ku ndodhet saktësisht funksionaliteti që studiohet. Disavantazhi i një kërkimi të tillë është se ai nuk është një imitim i veprimeve aktuale të një sulmuesi.
Sigurisht, ka nuanca gri mes të bardhës dhe të zezës. Në mënyrë tipike, se si do të përdoret saktësisht aplikacioni përcaktohet nga qëllimet e studimit. Nëse qëllimi është të zbuloni se çfarë mund të ndodhë me një aplikacion që është subjekt i një sulmi të jashtëm të synuar, testimi i kutisë së zezë është ndoshta më i miri. Nëse qëllimi është të identifikohen dhe eliminohen sa më shumë më shumë problemet e sigurisë në një kohë relativisht të shkurtër, një studim i kutisë së bardhë mund të jetë më efektiv.

Në raste të tjera, një qasje hibride mund të përdoret kur studiuesi nuk ka akses të plotë në kodin burimor të aplikacionit për platformën në të cilën funksionon, por llogaria e lëshuar për të përgatitet nga administratori dhe jep akses në sa më shumë funksione të aplikacionit.

Kali është platforma ideale për të gjitha qasjet ndaj kërkimit të aplikacioneve. Pas instalimit të shpërndarjes standarde, këtu mund të gjeni shumë skanerë të krijuar për aplikacione specifike. Ekzistojnë gjithashtu mjete për kërkime më të avancuara. Midis tyre janë redaktorët e kodit burimor dhe mjediset e skriptimit. Kur hulumtoni aplikacione, mund ta gjeni veten materiale të dobishme nga seksionet Shto etiketa

Artikujt më të mirë mbi këtë temë

Me çfarë shpejtësie kuadri duhet të shkrep video në një aparat fotografik?
Me çfarë shpejtësie kuadri duhet të shkrep video në një aparat fotografik?
Ku të merrni plumb: të gjitha mënyrat e disponueshme për të marrë plumb
Ku të merrni plumb: të gjitha mënyrat e disponueshme për të marrë plumb
Çip-çelës në një makinë: gjithçka që duhet të dini për të Patate të skuqura vijnë në disa varietete
Çip-çelës në një makinë: gjithçka që duhet të dini për të Patate të skuqura vijnë në disa varietete
Kategoritë:
© 2023 bumotors.ru. Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ.