2. ptsecurity.ru
Тесты на проникновение:
реальность угроз ИБ ИТ
Периметр 87%
корпоративных локальных
сетей не останавливает
проникновение
61% компаний может
взломать атакующий с
базовыми навыками
Взлом
компании
занимает
3-5 дней
Действия пентестеров
обнаруживают только
в 2 из 100 тестов на
проникновение
87% 61%
2%
1
неделя
3. ptsecurity.ru
Последствия уязвимостей:
в ожидании инцидентов
• Более 3-х лет - время присутствия злоумышленников в
информационной системе
• Одновременно несколько групп
• Признаки присутствия
• Аномальные потоки данных
• Фоновая активность вредоносов
• Криптолокер
• Получен доступ к системам ИТ защиты
• Изменение конфигурации домена
• Изменение конфигураций сетевых устройств и правил доступа
• Злоумышленники контролируют действия по расследованию
инцидента
• Успевают восстановить доступ при обнаружении
Злоумышленники
• Разбираются в технологических и орг. процессах
• Проявляют активный интерес к бизнес-сценариям
• Внедрение в продаваемые фирмы для
«попадания» в инфраструктуру крупной
компании
4. ptsecurity.ru
Internet
Доступ к
внутренней
сети
Уязвимости: что буем искать (и найдём)
• Недостатки управления учетными
записями и паролями
• Уязвимости веб-приложений
• Недостатки фильтрации трафика
• Недостатки управления уязвимостями и
обновлениями
• Плохая осведомленность пользователей в
вопросах информационной безопасности
• Недостатки конфигурации и разграничения
доступа
???1
7
14. ptsecurity.ru
Internet
Доступ к
внутренней
сети
Атака из внешней сети: СИ
подбор1
1
2
учетки в открытом виде
3
СУБД
100%
Методы
социальной
инженерии
выход из
песочницы
4
веб-уязвимости 5
уязвимости ПО
6
7социальная
инженерия
15. ptsecurity.ru
Internet
Доступ к
внутренней
сети
Атака из внешней сети: WiFi
подбор
веб-уязвимости
уязвимости ПО
учетки в открытом виде
социальная
инженерия
выход из
песочницы
СУБД
1
1
2
5
3
4
6
7
8
100%
Успешность
атак через
WiFi сети
16. ptsecurity.ru
Недостатки защиты беспроводной сети
3/4 Несанкционированные точки доступа
Доступность корпоративных WiFi за
пределами КЗ
Не проверяется сертификат сети
Слабые ключи1/2
систем
систем
Подключение ресурсов
ЛВС к беспроводной сети
Подмена точки
доступа
Отсутствие защиты
беспроводной сети
Использование гостевой
сети сотрудниками
Отсутствие изоляции
пользователей
17. ptsecurity.ru
10%
1%
10%
Перешли по ссылке Вступили в диалог Ввели учетные
данные либо
запустили файл
Социальная инженерия
max
24,5%
Доля сотрудников
(в среднем по компаниям)
Первый шаг при целевой атаке
Фишинг сегодня это:
Основной способ
распространения ВПО
24. ptsecurity.ru
Развитие атаки в ЛВС: охота на админа
100%
Полный контроль
над инфраструктурой
Атака в 4 шага
Словарные
пароли
90%
Обход
антивирусной
защиты
100%
Атаки на
протоколы
60%
Двухфакторная
аутентификация
9%
Хранение важных
данных в открытом
виде
60%
систем
1
2
Независимо от типа
нарушителя
25. ptsecurity.ru
Демонстрация возможностей
атакующего: прогноз последствий
Нарушитель получает возможность:
контролировать потоки информации в компаниях
вывести всю инфраструктуру из строя
проводить атаки на клиентов компаний
проводить атаки, угрожающие деловой репутации
(deface сайтов, рассылка писем с заведомо ложной
информацией партнерам, срыв сделок и т.д.)
похищать конфиденциальную информацию
выполнять мошеннические операции
Проведенные исследования демонстрируют
возможность получения полного контроля
инфраструктуры группы компаний
28. ptsecurity.ru
Границы инцидента: больше чем «событие
безопасности»
Attackers
Hackers
Spies
Terrorists
Corporate
Raiders
Professional
Criminals
Vandals
Voyeurs
Tool
Physical
Attack
Information
Exchange
User
Command
Script or
Program
Autonomous
Agent
Toolkit
Distributed
Tool
Data Tap
Vulnerability
Design
Implementation
Configuration
Action
Probe
Scan
Flood
Authenticate
Bypass
Spoof
Read
Copy
Steal
Modify
Delete
Target
Account
Process
Data
Component
Computer
Network
Internetwork
Unauthorized
Results
Increased
Access
Disclosure of
Information
Corruption of
Information
Denial of
Service
Theft of
Resources
Objectives
Challenge,
Status, Thrill
Political
Gain
Financial
Gain
Damage
Event
Attack(s)
Incident
• Инцидент
рассматривается как
событие
• Анализ целей
• Атрибуция атакующего
• Расследовать
«событие» или
инцидент?
29. ptsecurity.ruptsecurity.ru
Инвентаризация
•состав системы –
что будут
атаковать
•чем рискуем,
активы?
Наблюдаемость и
контроль
•мониторинг ИБ
•контроль штатных
активностей
(выявление
аномалий)
Знание об угрозах
•ландшафт угроз
•новые угрозы
•покрытие технологий
Специфичность
процессов
•специфика бизнес
процессов, «свой»
код
•каждая организация
уникальна
Уязвимости
•конфигурации
•компонентов
1
2
3
4
5
(Вечно) Актуальные проблемы
30. ptsecurity.ruptsecurity.ru
Инвентаризация
•состав системы –
что будут
атаковать
•чем рискуем,
активы?
Наблюдаемость и
контроль
•мониторинг ИБ
•контроль штатных
активностей
(выявление
аномалий)
Знание об угрозах
•ландшафт угроз
•новые угрозы
•покрытие технологий
Специфичность
процессов
•специфика бизнес
процессов, «свой»
код
•каждая организация
уникальна
Уязвимости
•конфигурации
•компонентов
1
2
3
4
5
(Вечно) Актуальные проблемы
ДИНАМИКА
32. ptsecurity.ru
1
Pentest
Анализ инфраструктуры
Аудит безопасности
Анализ ролевой
модели
Анализ кода приложений
Аудит
2
Анализ конфигурации
Соответствие стандартам
Парольная политика
Изменение настроек
по умолчанию
Разграничение
полномочий
Регулярная
проверка
3
Мониторинг
действий пользователей и
администраторов
Отслеживание изменений
и оперативное
оповещение
Формирование
инцидентов
4
Постоянный контроль
настроек
Контроль
изменений
и мониторинг
Защита
Рекомендуемый процесс
Расследование
инцидентов
Защита Web
33. ptsecurity.ru
MaxPatrol
8
Инвентаризация активов
Обнаружение уязвимостей:
активное сканирование по методам
черного и белого ящиков
Подбор паролей
Проверка соответствия
требованиям политик и
стандартов
Анализ конфигурации
и контроль изменений в
инфраструктуре
Анализ динамики
изменения защищенности
инфраструктуры
ptsecurity.ru
MaxPatrol 8. Возможности
36. ptsecurity.ru
Модельные корреляции
query Q(ip, port) from endpoints
Group = "DMZ" and Endpoints(Address= ip
and Port = port and Status = "Open")
event E
key: dst.ip
filter object = "attack" and
category = "IDS/IPS" and
query.Q(dst.ip, dst.port)
rule DMZ_host_attack: Event.E[5] within 1 day
Корреляционные
правила
Данные
актива
События
Классический
SIEM
Hardware
TCP Ports
Soft
Configs
1
3
2
38. ptsecurity.ru
Application Firewall
Автоматическое обучение
Виртуальный патчинг
Интеграция с антивирусами
Application
Firewall
Корреляции и
приоритизация событий
Автоматическое
обучение
Виртуальный
патчинг
Защита от DDoS атак на
уровне приложений
ptsecurity.ru
PT Application Firewall. Возможности
40. ptsecurity.ru
Самообучаемая модель поведения
пользователя для защиты от веб-фрода
Корреляции и приоритизация событий,
акцент на основных угрозах
Встроенный модуль динамического
тестирования защищённости приложений
Виртуальные патчи (вместе с PT
Application Inspector и модулем P-Code)
Анализ содержимого и пассивный
сканер безопасности
Дополнительные техники обнаружения
42. Продолжаем усложнять жизнь атакующему
Инвентаризация и
patch management
• System Center
• Operation
Management
Suite
Уязвимости веб-
приложений
• Azure Application
Proxy
• Identity
Protection
Охота на админа
• Credential Guard
• Remote Guard
• ATA
• LAPS
Установка malware
• Device Guard
• Operation
Management
Suite
• Windows 10
Advanced Threat
Protection
План реагирования на инциденты
Проверка планов в «спокойных условиях»
Инвентаризация
Управление уязвимостями
Эффективность мониторинга ИБ?
Самый простой вектор атаки – подбор паролей для доступных интерфейсов управления (SSH, Telnet, RDP и т.п.), которых на периметре каждой организации с избытком.Но ландшафт атаки настолько широк, что остается лишь проследить, как постепенно этот слайд превратится в паутину переплетения возможных векторов атак.
Подбор учетных данных не ограничивается интерфейсами управления, веб-приложения лидируют в рейтинге систем, для которых применяются простые пароли.
А доступ к веб-приложениям с пользовательскими или административными привилегиями дает возможность реализовать те атаки, которые недоступны случайному внешнему нарушителю, действующему без привилегий.
Самые распространенные атаки – загрузка файлов в обход фильтрации расширений и внедрение SQL-операторов. Кроме того, интерфейсы администрирования приложений и веб-серверов зачастую позволяют напрямую выполнять команды ОС на сервере.
Также нельзя забывать про то, что зачастую на общедоступных веб-ресурсах хранятся в открытом виде учетные записи. Случается находить даже доменные учетки, это существенно упрощает задачу злоумышленника по компрометации критически важных ресурсов и позволяет развивать векторы атаки, недоступные нарушителю без привилегий. Например, подключаться к корпоративным порталам.
Крайне опасны доступные на периметре интерфейсы СУБД, так как доступ к СУБД позволяет не только подключаться к БД, но и выполнять команды на сервере. Зачастую привилегии СУБД (как и веб-приложений) избыточны, но даже ограниченных привилегий достаточно чтобы получить доступ к ЛВС
Корпоративные сервисы на периметре сети всегда привлекают нарушителей. Если подобрать доменную учетную запись, открываются отличные возможности для расширения покрытия атаки, а также возможность развития атаки во внутреннюю сеть. Типичный пример Citrix, где возможен запуск приложений ОС, таких как IE. Нарушитель может использовать функционал приложения по открытию файлов для запуска командной оболочки. Успешная атака была продемонстрирована в 9% систем в 2016 году.
Поиск уязвимостей в системных настройках для определения соответствия требованиям принятой политики безопасности (Политики безопасности Windows, политики Active Directory, системные файлы Linux, …).
Позволяет выявить:
Службы, приложения, использование которых не регламентировано;
Небезопасные конфигурации процедур авторизации/аутентификации (слабые пароли системных учетных записей, отсутствие запрета на выполнение действий с правами привилегированных учетных записей);
Небезопасная конфигурация процедур создания резервных копий данных;
Классический вектор – атаки на веб. К сожалению этот вектор и самый распространенный и наиболее эффективный, как показывает практика. Зачастую он работает даже без привилегий в системе (SQLi, RCE, загрузка файлов, XXE, подключение и чтение файлов и т.д.)
Эксплуатация уязвимостей ПО и ОС. В рамках пентеста не эксплуатируем бинарные эксплойты и вообще проводим только те атаки, которые не нарушают работу сервисов инфраструктуры. Однако с помощью макспатрол выявляем сотни уязвимостей устаревшего ПО на периметре, в том числе с общедоступными эксплойтами.
Социальная инженерия – самый эффективный способ доставки ВПО. Как показывает практика работает безотказно. В любой организации найдется сотрудник, перешедший по ссылке или загрузивший файл. А нарушителю достаточного лишь 1 успешно отправленного экземпляра ВПО, чтобы скомпрометировать всю инфраструктуру.
Кроме того, в 2016 году успешно продемонстрирован вектор атаки на сотрудника, вступившего в диалог с пентестером. Он ответил, что ссылка в письме не открывается, и пентестер позвонил ему по телефону, полученному в подписи ответного письма. Представившись админом, пентестер предложил решить проблему неоткрывшийся ссылки и выведал учетные данные сотрудника. Которые к слову сказать были совсем простыми, а сотрудник попросил не менять пароль ему, так как он очень удобный.
И восьмой вектор атаки, его стоит выделить отдельно. Атаки через беспроводную сеть. В прошлом году удалось выявить вектор атаки на контроллеры домена через защищенный вайфай с помощью хранящейся в открытом виде в вебе учетной записи домена. В этому году атаки более хитрые, но не менее успешные.
Например, в одной из организаций была выявлена возможность атаковать сотрудников компании, для которых было предусмотрено автоматическое переключение на гостевую сеть из корпоративной, в случае недоступности второй. Аутентификация в гостевой сети осуществлялась через веб-интерфейс и мак-адрес пользователя запоминался в настройках точки доступа, чтобы не просить аутентификацию устройства постоянно. Пентестеры создали поддельную точку доступа, полностью скопировали веб-страницу аутентификации и реализовали МИТМ между клиентами и действительной точкой доступа, таким образом, сотрудники в нормальном режиме подключались к точке доступа, при этом все запросы шли через устройство пентестеров. И на действительной точке досутпа был сохранен мак-адремс пентестеров. Таким образом сотрудники не знали что их уже атаковали, а у пентестеров был доступ к гостевой сети, где они могли прослушивать трафик, к тому же они обалдали учетными данными всех подключившихся сотрудников. Из сети был доступ к множеству ресурсов ЛВС - внутренним порталам, рабочим станциям, серверам.
В другой организации отсутствие проверки сертификата точки доступа и аутентификация по уязвимому протоколу EAP-MS-CHAPv2 позволили подменить корпоративную точку доступа и перехватывать значения челедж-респонз, так как аутентификация была с доменной учеткой, то получив MD4-хеш (подбирается гарантированно 256 ключей, основанных на алгоритмах шифрования DES и SHA1 на хорошем железе до нескольких дней, либо на платных сервисах всего за $200) нарушитель сможет аутентифицироваться в сети, а также подобрать по нему пароль для последующего доступа к корпоративным ресурсам (это сложнее и не гарантирован результат, однако здесь все зависит от оснащения злоумышленника и сложности пароля). Более того, эту атаку нарушитель может проводить где угодно, достаточно выявить место скопления сотрудников атакуемой организации (например, курилка перед офисом, ближайшая станция метро, парковка, и т.п.), устройства сотрудников автоматически подключатся к точке доступа, сотрудники и не узнают, что их атаковали.
Наиболее распространенные недостатки беспроводных сетей – несанкционированные точки доступа и доступность сетей за пределами территории организации. Любой внешний нарушитель может атаковать. Отсутствие изоляции клиентов позволяет внутри сети проводить атаки на пользователей.
Какой бы ни была крупной огранизация, каждый десятый сотрудник может стать жертвой злоумышленника, реализующего фишинг. В одной из организаций – каждый четвертый сотрудник не был достаточно осведомлен.
Основных вектора атаки 2.Первый – подбор локальных и доменных учетных записей. Работает почти наверняка.
Далее остается пройти ммикацем по машинам с привилегиями локального админа и насобирать учетки для последующей итерации.
Через несколько итераций всегда получаем доменадмина.
Если не удалось подобрать в лоб, в сети часто используются протоколы NBNS и LLMNR, атаки на которые позволяют перехватывать идентификаторы и хеши пользователей. Дальше либо пасс зе хеш, либо подбор по хешу. Наверняка удачный подбор нескольких учеток и развитие атаки по первому сценарию.
Как всегда на ресурсах можно найти много всего интересного, например учетки для доступа к бизнес-системам.
Приятно отметить, что в 2016 году мы встретили защиту привилегированных учеток двухфакторной аутентификацией, использовались смарт карты. Но и этот механизм нам удалось обойти. Проблема в том, что контроллер домена выдает некий NT-хеш учетной записи при использовании ей смарткарты, и этот хеш отправляется контроллером на все узлы, где пользователь аутентифицируется. Таким образом достаточно получить этот хеш (например тем же мимикацем) и далее использовать его для доступа на любую машину домена с помощью пасс зе хеш (теряется смысл двухфакторной аутентификации). Более того, этот хеш никогда не меняется и нарушитель может полностью контролировать ресурсы неограниченное время (даже пароли обычно живут не более 90 дней, если настроена политика).
Вывод один, на сегодня внутрення инфраструктура не защищена, пока пользователи используют простые пароли, нарушителю не составит труда завладеть доменом.