Анализ и оценка информационных рисков, угроз и уязвимостей системы. Kali Linux: виды проверок информационных систем. Общие понятия и терминология

Анализ и оценка информационных рисков, угроз и уязвимостей системы. Kali Linux: виды проверок информационных систем. Общие понятия и терминология

19.04.2019
Браузеры

Общие понятия и терминология

В общем случае под риском понимают возможность наступления некоторого неблагоприятного события, влекущего за собой различного рода потери. Поскольку информация перестала быть просто необходимым для производства вспомогательным ресурсом или побочным проявлением всякого рода деятельности, а приобрела ощутимый стоимостной вес, который четко определяется реальной прибылью, получаемой при ее использовании, или размерами ущерба, с разной степенью вероятности наносимого владельцу информации в случае ее искажения или утраты, проблема обеспечения информационной безопасности приобрела в настоящее время исключительное значение.

Введем ряд понятий, используемых в сфере информационной безопасности и защиты информации, а также в современных методиках управления рисками И Б.

В соответствии с ГОСТ ИСО/МЭК Р 27002-2005 «Информационные технологии. Свод правил по управлению защитой информации» защита информации (information security) - это сохранение конфиденциальности, целостности и доступности информации; кроме того, также могут быть включены другие свойства, такие как аутентичность, подотчетность, неотрекаемость и надежность.

Важным этапом в сфере обеспечения информационной безопасности является процесс управления рисками И Б. Процесс управления рисками представляет собой скоординированные действия по управлению и контролю организации в отношении риска. Управление рисками включает в себя оценку риска, обработку риска, принятие риска и сообщение о риске.

Цель процесса оценивания рисков состоит в определении характеристик рисков по отношению к информационной системе и ее ресурсам (активам). На основе полученных данных могут быть выбраны необходимые средства защиты. При оценивании рисков учитываются многие факторы: ценность ресурсов, оценки значимости угроз, уязвимостей, эффективность существующих и планируемых средств защиты и многое другое.

Угроза (Threat) - совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.

Уязвимость (Vulnerability) - слабость в системе защиты, которая делает возможным реализацию угрозы.

Анализ рисков (Risk Analysis) - процесс определения угроз, уязвимостей, возможного ущерба, а также контрмер.

Базовый уровень безопасности (Baseline Security) - обязательный минимальный уровень защищенности для информационных систем. В ряде стран существуют критерии для определения этого уровня. В качестве примера приведем критерии Великобритании - ССТА Baseline Security Survey, определяющие минимальные требования в области И Б для государственных учреждений этой страны. В Германии эти критерии изложены в стандарте BSI. Существуют критерии ряда организаций - NASA, Х/Ореп, ISACA и др. В нашей стране это может быть класс защищенности в соответствии с требованиями ФСТЭК России, профиль защиты, разработанный в соответствии со стандартом ISO-15408, или какой-либо другой набор требований. Тогда критерий достижения базового уровня безопасности - это выполнение заданного набора требований.

Базовый (Baseline) анализ рисков - анализ рисков, проводимый в соответствии с требованиями базового уровня защищенности. Прикладные методы анализа рисков, ориентированные на данный уровень, обычно не рассматривают ценность ресурсов и не оценивают эффективность контрмер. Методы данного класса применяются в случаях, когда к информационной системе не предъявляются повышенные требования в области И Б.

Полный (Full) анализ рисков - анализ рисков для информационных систем, предъявляющих повышенные требования в области И Б; включает в себя определение ценности информационных ресурсов, оценку угроз и уязвимостей, выбор адекватных контрмер, оценку их эффективности.

Риск информационной безопасности (Information Security Risk) - возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации (см. ГОСТ Р ИСО/МЭК 27005-2010. «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности»).

Количественная оценка риска (Risk Estimation) - процесс присвоения значений вероятности и последствий риска (см. ГОСТ Р ИСО/МЭК 27005-2010. «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности»).

Управление рисками (Risk Management) - процесс определения контрмер в соответствии с оценкой рисков.

Система управления ИБ (Information Security Management System) - комплекс мер, направленных на обеспечение режима И Б на всех стадиях жизненного цикла информационной системы (ИС).

Ресурсы (активы ) - объекты, имеющие ценность для организации и оказывающие влияние на непрерывность осуществления деятельности. Все ресурсы должны быть идентифицированы и учтены, также должны быть определены владельцы ресурсов.

В BS ISO/IEC 17799-2005 «Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью» выделяются следующие типы ресурсов (рис. 3.1):

  • информация : базы данных и файлы данных, договоры и соглашения, системная документация, руководства пользователей, планы обеспечения непрерывности бизнеса, процедуры восстановления, журналы аудита и архивная информация;
  • программные ресурсы, прикладное программное обеспечение, системное программное обеспечение, средства разработки и утилиты;

И иформа цион мыс

Программные

физические ресурсы: компьютерное оборудование, коммуникационное оборудование, переносные носители и другое оборудование;

Нематериальные

Сервисные

  • сервисы : вычислительные и телекоммуникационные сервисы, основные коммунальные услуги, например отопление, освещение, электроэнергия и кондиционирование;
  • люди , а также их квалификации, навыки и опыт;
  • нематериальные ресурсы, такие как репутация и

имидж организации. Рис. 3.1. Типы ресурсов

На рис. 3.2 представлен процесс менеджмента риска информационной безопасности (ГОСТ Р ИСО/МЭК 27005-2010).

Менеджмент риска И Б должен быть непрерывным процессом. В рамках данного процесса следует устанавливать контекст, оценивать и обрабатывать риски, используя для реализации рекомендации и решения плана обработки рисков. До принятия решения о том, что и когда должно быть сделано для снижения риска до приемлемого уровня, в рамках менеджмента риска анализируется, что может произойти и какими могут быть возможные последствия.

Вторая точка принятия решения о риске. Результат обработки риска удовлетворительный?

Принятие риска

Рис. 3.2. Процесс менеджмента риска информационной безопасности

(ГОСТ Р ИСО/МЭК 27005-2010)

Менеджмент риска И Б должен способствовать:

  • идентификации рисков;
  • оценке рисков, исходя из последствий их реализации для бизне са и вероятности их возникновения;
  • осознанию и информированию о вероятности и последствиях рисков;
  • установлению приоритетов в рамках обработки рисков;
  • установлению приоритетов мероприятий по снижению имеющих место рисков;
  • привлечению причастных сторон к принятию решений о менеджменте риска и поддержанию их информированности о состоянии менеджмента риска;
  • эффективности проводимого мониторинга обработки рисков;
  • проведению регулярного мониторинга и пересмотра процесса менеджмента риска;
  • сбору информации для совершенствования менеджмента риска;
  • подготовке менеджеров и персонала по вопросам рисков и необходимых действий, предпринимаемых для их уменьшения.

Процесс менеджмента риска И Б может быть применен ко всей организации, к любой отдельной части организации (например, подразделению, филиалу, службе), к любой информационной системе, к имеющимся, планируемым или специфическим аспектам управления (например, к планированию непрерывности бизнеса) 1 .

После того, как ваша ОС готова к работе, пришло время точно определить то, какое именно исследование вы собираетесь провести. В целом, можно выделить четыре вида подобных исследований:
  • Оценка уязвимости систем;
  • Оценка систем на соответствие стандартам безопасности;
  • Традиционное тестирование на проникновение в систему;
  • Исследование приложений.
Конкретное задание на исследование системы может включать в себя различные элементы каждого вида. Мы полагаем, что стоит рассказать о них подробнее и раскрыть их связь с Kali Linux и с рабочим окружением.

Прежде чем переходить к описанию конкретных видов мероприятий по оценке защищённости систем, расскажем о том, чем уязвимости отличаются от эксплойтов.

Уязвимость можно определить как дефект информационной системы, воспользовавшись которым можно нарушить её конфиденциальность, целостность или доступность. Существуют различные виды уязвимостей, с которыми можно столкнуться. Вот некоторые из них:

11.2.2. Оценка систем на соответствие стандартам безопасности

Следующий по сложности вид исследований - это оценка систем на соответствие стандартам безопасности. Подобные испытания систем распространены сильнее всего, так как они основаны на проверке требований, предписываемых государственными и индустриальными стандартами, распространяющимися на организации.

Существует множество специализированных стандартов безопасности, однако, чаще всего встречается Payment Card Industry Data Security Standard (PCI DSS). Этот стандарт разработан компаниями, выпускающими платёжные карты. Ему должны соответствовать организации, обрабатывающие карточные платежи. Если говорить о других распространённых стандартах, можно отметить такие, как Defense Information Systems Agency Security Technical Implementation Guides (DISA STIG), Federal Risk and Authorization Management Program (FedRAMP), Federal Information Security Management Act (FISMA), и другие.

Корпоративный клиент может заказать подобное исследование или обратиться за результатами ранее проведённого исследования по разным причинам. В частности, инициатива может исходить от самого клиента, либо он может быть вынужден проводить обязательную проверку. В любом случае, такие исследования называют «оценкой систем на соответствие стандартам безопасности», или «исследованиями на соответствие стандартам безопасности», или «проверками на соответствие стандартам безопасности».

Оценка системы на соответствие стандартам обычно начинается с анализа уязвимостей. В случае с процедурой проведения аудита на соответствие стандарту PCI, оценка уязвимостей, если она проведена соответствующим образом, может удовлетворить нескольким основным требованиям стандарта. Среди них - требование 2: «Не использовать пароли и другие системные параметры, заданные производителем по умолчанию». Анализ системы на соответствие этому требованию можно провести с помощью инструментов из категории меню Password Attack (Взлом паролей). Далее, это требование 11: «Регулярно выполнять тестирование систем и процессов обеспечения безопасности». Соответствующую проверку можно провести с помощью инструментов из категории Database Assessment (Исследование баз данных). Некоторые требования нельзя проверить с помощью обычных инструментов сканирования на уязвимости. Среди них - требование 9: «Ограничить физический доступ к данным держателей карт», и 12: « Разработать и поддерживать политику информационной безопасности для всего персонала организации». Для проверки таких требований нужны дополнительные усилия.

На первый взгляд может показаться не вполне понятным, как использовать Kali Linux для выполнения некоторых проверок. Однако, Kali отлично подходит для решения подобных задач, причём, не только из-за богатого набора стандартных инструментов, но и потому, что она основана на Debian, что открывает возможность установки множества дополнительных приложений. Искать программы, реализующие необходимый функционал, можно в менеджере пакетов, используя ключевые слова, взятые из используемого стандарта информационной безопасности. Подобный поиск, почти наверняка, завершится выдачей нескольких заслуживающих внимания результатов. В настоящее время многие организации используют Kali Linux как платформу именно для оценки систем на соответствие стандартам безопасности.

11.2.3. Традиционное тестирование на проникновение в систему

В последнее время стало сложно подобрать подходящее определение для «традиционного теста на проникновение». Дело в том, что подобные тесты используются в различных сферах деятельности, как результат, все описывают их по-своему. Путаницы добавляет и то, что «тестированием на проникновение» всё чаще стали называть описанную выше оценку систем на соответствие стандартам безопасности, или даже обычную оценку уязвимостей. В подобных случаях исследование не выходит за рамки неких минимальных требований.

В этом разделе мы не будем касаться споров об особенностях различных видов испытаний систем. Здесь мы расскажем об исследованиях, которые не ограничены некими «минимальными требованиями». Это - исследования, которые задуманы так, чтобы после их проведения можно было бы по-настоящему улучшить общую безопасность организации.

В противоположность видам исследований, которые мы обсудили ранее, традиционные тесты на проникновение не часто начинаются с определения области исследования. Вместо этого для них устанавливают определённые цели. Например: «смоделировать последствия компрометации внутреннего пользователя», или: «выяснить, что случилось бы, если бы организация попала под целенаправленную атаку, выполняемую внешним злоумышленником». Ключевой отличительной чертой подобных исследований является то, что в ходе их выполнения не только находят и оценивают уязвимости, но ещё и используют найденные проблемы для раскрытия наихудших вариантов развития событий.

В ходе тестирования на проникновение не полагаются исключительно на инструменты сканирования систем на уязвимости. Работа продолжается путём исследования находок, путём использования эксплойтов или испытаний для исключения ложноположительных результатов, делается всё возможное для того, чтобы обнаружить скрытые уязвимости, или то, что мы называем ложноотрицательными результатами.

Подобное исследование часто включает в себя эксплуатацию обнаруженных уязвимостей, оценку уровня доступа, который предоставляют эксплойты, и использование этого повышенного уровня доступа как отправной точки для дополнительных атак на целевую систему.

Здесь требуется критический анализ целевого окружения, ручной поиск уязвимостей, креативность, способность к нестандартному мышлению. Всё это - подходы к обнаружению дополнительных уязвимостей, которые требуют других инструментов, способных найти уязвимости там, где заканчиваются возможности самых мощных автоматических сканеров. Нередко, после завершения этого шага, весь процесс начинают снова и снова для того, чтобы обеспечить полное и качественное выполнение работы.

Несмотря на сложность и многоплановость традиционного тестирования на проникновение, ход такого исследования можно упорядочить, разбив на несколько шагов. Стоит отметить, что Kali упрощает подбор ПО для каждого из таких шагов. Итак, вот пошаговый план тестирования на проникновение с комментариями об используемых инструментах:

  • Сбор информации. На данной фазе усилия пентестера направлены на то, чтобы узнать как можно больше о целевом окружении. Обычно эта деятельность неинвазивна и выглядит как обычная активность пользователей. Эти действия составляют основу для остальных этапов исследования и таким образом они должны привести к сбору как можно более полных данных о системе. Раздел Information Gathering (Сбор информации) меню Applications (Приложения) Kali Linux содержит в себе десятки инструментов, направленных на то, чтобы раскрыть как можно больше информации об исследуемой системе.
  • Обнаружение уязвимостей. Этот шаг часто называют «активным сбором информации». Специалист, пытаясь идентифицировать потенциальные уязвимости в целевом окружении, ещё не атакует систему, но уже ведёт себя не так, как обычный пользователь. Именно здесь часто имеет место вышеописанное сканирование систем на уязвимости. На данном шаге исследования будут полезны программы из разделов Vulnerability Analysis (Анализ уязвимостей), Web Application Analysis (Анализ веб-приложений), Database Assessment (Исследование баз данных), и Reverse Engineering (Реверс-инжиниринг).
  • Эксплуатация уязвимостей. Имея список обнаруженных потенциальных уязвимостей, на данном шаге исследования специалист пытается воспользоваться ими для того, чтобы найти точку опоры в целевой среде. В этом деле полезны инструменты, которые можно найти в категориях Web Application Analysis (Анализ веб-приложений), Database Assessment (Исследование баз данных), Password Attacks (Взлом паролей), и Exploitation Tools (Средства эксплуатации уязвимостей).
  • Проникновение в системы и незаметное извлечение данных. После того, как исследователю удалось закрепиться в системе, нужно двигаться дальше. Как правило, на данном этапе ищут способ повышения привилегий до уровня, соответствующего тому, который необходим для достижения целевых систем, ранее недоступных, и скрытного извлечения их них секретной информации. На этом шаге можно обратиться к таким разделам меню приложений, как Password Attacks (Взлом паролей), Exploitation Tools (Средства эксплуатации уязвимостей), Sniffing & Spoofing (Сниффинг и спуфинг), и Post Exploitation (Действия после эксплуатации уязвимости).
  • Подготовка отчётов. После завершения активной фазы исследования, нужно задокументировать произведённые действия и подготовить отчёт. Обычно этот шаг не отличается такой же технической сложностью, как предыдущие. Однако, благодаря качественным отчётам клиент может получить полную отдачу от проделанной работы, поэтому не стоит недооценивать важность этого этапа исследования. Соответствующие инструменты можно найти в разделе Reporting Tools (Средства подготовки отчётов) меню Applications (Приложения).
В большинстве случаев тесты на проникновение будут устроены совершенно по-разному, так как каждая организация будет подвергаться разным угрозам и иметь различные ресурсы, которые требуется защищать. Kali Linux даёт универсальную базу для решения подобных задач, именно здесь можно воспользоваться множеством возможностей по настройке Kali. Многие организации, которые выполняют такие исследования, поддерживают настроенные под свои нужды версии Kali LInux для внутреннего использования. Это позволяет им ускорить развёртывание систем перед новым исследованием.

Среди часто встречающихся дополнительных настроек Kali Linux можно отметить следующие:

  • Предустановка лицензированных коммерческих пакетов. Например, имеется пакет, вроде платного сканера уязвимостей, который планируется использовать в ходе многих сеансов тестирования на проникновение. Для того, чтобы избежать необходимости устанавливать этот пакет на каждой развернутой копии Kali, можно интегрировать его в систему. Как результат, этот пакет окажется установленным при каждом развёртывании Kali.
  • Предварительно настроенная виртуальная частная сеть с обратным соединением. Это очень удобная функция для устройств, которые преднамеренно оставляют подключёнными внутри исследуемой сети. Такие устройства позволяют проводить «удалённые внутренние» исследования. Устройство с функцией обратного соединения подключается к компьютеру пентестера, создавая туннель, который можно использовать для подключения к внутренним системам. Дистрибутив Kali Linux ISO of Doom - это пример как раз такой специальной настройки системы.
  • Предустановленные инструменты и программы собственной разработки. Многие организации имеют наборы инструментов собственной разработки, необходимые в ходе сеансов тестирования на проникновение, поэтому их предварительная установка при формировании специального образа системы позволяет экономить время.
  • Предварительная настройка конфигурации ОС, в том числе - настройка отображение имён хостов на IP-адреса, обоев рабочего стола, настройки прокси-серверов, и так далее. Многие пользователи Kali предпочитают особые настройки системы. Если вы собираетесь регулярно переустанавливать систему, сохранение подобных настроек может иметь смысл.

11.2.4. Исследование приложений

Большинство мероприятий по оценке защищённости систем отличаются достаточно большими масштабами. Особенностью же исследований приложений является тот факт, что изучению подвергается конкретная программа. Подобные исследования становятся всё более распространёнными из-за сложности жизненно важных приложений, используемых компаниями. Многие из таких приложений созданы собственными силами этих компаний. Если нужно, исследование приложений может сопутствовать другим видам исследований. Среди видов приложений, которые могут быть исследованы на предмет безопасности, можно отметить следующие:
  • Веб-приложения. Эти приложения часто являются целями злоумышленников, так как они, обычно обладая значительной поверхностью атаки, доступны из интернета. Стандартные тесты нередко позволяют обнаружить базовые проблемы веб-приложений. Однако, более детальное исследование, хотя и может занимать немало времени, позволяет найти скрытые дефекты приложений. Для проведения подобных испытаний можно воспользоваться метапакетом kali-linux-web , который содержит множество полезных инструментов.
  • Настольные приложения, распространяемые в виде исполняемых файлов. Серверные приложения - это не единственная цель злоумышленников. Настольные приложения также подвержены атакам. В прошедшие годы многие настольные программы, такие, как средства для чтения PDF-файлов, или видео-приложения, использующие интернет-ресурсы, подвергались множествам атак, что привело к их совершенствованию. Однако, всё ещё существует множество настольных приложений, в которых, при правильном подходе, можно найти массу уязвимостей.
  • Мобильные приложения. С ростом популярности мобильных устройств, мобильные приложения становятся постоянными предметами исследований безопасности. Эти приложения очень быстро развиваются и меняются, поэтому в данной сфере методология исследований пока не достигла достаточной зрелости, что ведёт к регулярному, практически еженедельному, появлению новых методик. Инструменты, относящиеся к изучению мобильных приложений, можно найти в разделе меню приложений Kali Linux Reverse Engineering (Реверс-инжиниринг).
Исследование приложений можно проводить самыми разными способами. Например, для идентификации потенциальных проблем можно воспользоваться автоматическим средством, предназначенным для тестирования конкретного приложения. Подобные автоматические средства, основываясь на особенностях работы приложений, пытаются найти в них неизвестные слабости, вместо того, чтобы полагаться на набор заранее заданных сигнатур. Инструменты для анализа программ должны учитывать особенности их поведения. Вот, например, популярный сканер уязвимости веб-приложений Burp Suite . В ходе исследования приложения он находит поля для ввода данных, после чего выполняет различные атаки методом SQL-инъекций, наблюдая в это время за приложением для того, чтобы выявить атаки, которые оказались успешными.

Существуют и более сложные сценарии исследования приложений. Такие исследования могут быть выполнены в интерактивном режиме. При их проведении используют модели чёрного и белого ящиков.

  • Исследование методом чёрного ящика. Инструмент (или исследователь) взаимодействует с приложением, не обладая специальными знаниями о нём, или особым доступом к нему, превышающим возможности обычного пользователя. Например, в случае с веб-приложением, исследователь может иметь только доступ к функциям и возможностям, открытым пользователю, который не авторизован в системе. Любая используемая учётная запись будет такой же, которую обычный пользователь может зарегистрировать самостоятельно. Это не даст атакующему возможности анализировать функционал, который доступен только привилегированным пользователям, учётные записи которых необходимо создавать администратору.
  • Исследование методом белого ящика. Инструмент (или исследователь) часто имеет полный доступ к исходному коду приложения, административный доступ к платформе, на которой оно выполняется, и так далее. Это гарантирует выполнение полного и тщательного анализа всех возможностей приложения, независимо от того, где именно находится изучаемая функциональность. Минус такого исследования заключается в том, что оно не является имитацией реальных действий злоумышленника.
Конечно, между белым и чёрным есть и оттенки серого. Обычно то, как именно будет осуществляться работа с приложением, определяется целями исследования. Если цель заключается в том, чтобы узнать, что может произойти с приложением, которое окажется предметом целенаправленной внешней атаки, вероятно, лучше всего подойдёт тестирование методом чёрного ящика. Если цель заключается в идентификации и устранении как можно большего количества проблем с безопасностью за сравнительно короткое время, исследование методом белого ящика может оказаться более эффективным.

В других случаях может быть применён гибридный подход, когда исследователь не обладает полным доступом к исходному коду приложения для платформы, на которой оно выполняется, но выданная ему учётная запись подготовлена администратором и даёт доступ к как можно большим возможностям приложения.

Kali - это идеальная платформа для всех подходов к исследованию приложений. После установки стандартного дистрибутива здесь можно найти множество сканеров, рассчитанных на конкретные приложения. Тут есть и инструменты для более продвинутых исследований. Среди них - редакторы исходного кода и скриптовые окружения. В деле исследования приложений вам могут оказаться полезными материалы из разделов Добавить метки


Продолжаем рассматривать недавние изменения в приказ ФСТЭК России №17. В этот раз – анализ уязвимостей ГИС.

Теперь анализ уязвимостей ГИС требуется проводить на 3 из 6 этапах жизненного цикла системы защиты ГИС: формирования требований, внедрения и аттестации.

1. На этапе анализа угроз безопасности информации ГИС, необходимо провести анализ возможных уязвимостей ИС, используя при этом БДУ ФСТЭК России, а также иные источники данных об уязвимостях в качестве исходных данных. В модель угроз нужно включить описание возможных уязвимостей ИС.

Основное отличие от других этапов кроется в слове “возможных”. Не фактических, а именно возможных. А при наличие хорошей фантазии, у нас будет возможно всё. На сколько я понимаю, тут нужна некая классификация всех возможных уязвимостей и исключение неподходящих типов уязвимостей по определенным причинам (отсутствие объекта воздействия, определенные структурные характеристики, неиспользуемые ИТ).

Проблема в том, что в БДУ ФСТЭК в разделе Уязвимости отсутствует подобная классификация уязвимостей. Кроме того, разделе Уязвимости приведены только фактические уязвимости ПО. А как же уязвимости ГИС в целом? Недостатки орг. мер?

На самом деле, перечень таких возможных уязвимостей скрывается в неструктурированном виде в тексте угроз БДУ ФСТЭК: “Данная угроза обусловлена уязвимостями некоторых системных (материнских) плат – наличием механизмов аппаратного сброса паролей, установленных в BIOS/UEFI” или “Данная угроза обусловлена слабостями механизмов фильтрации сетевого трафика и антивирусного контроля на уровне организации”.

2. На этапе внедрения системы защиты информации требуется провести уже фактический анализ уязвимостей.

“При анализе уязвимостей информационной системы проверяется отсутствие известных уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением.

По результатам анализа уязвимостей должно быть подтверждено , что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно.”


Но хорошо, что уязвимости имеют такие поля как Производитель, Наименование ПО, Версия ПО. Составив заранее полный перечень ПО, можно сделать выборку нужных уязвимостей. Но что делать с результатами? Например, для Windows 8.1 – 247 уязвимостей в БДУ. Далее нужно в каждой пройти по ссылке на внешние источники и проверить что там предлагалось для устранения уязвимостей, проверить наличие установленных обновлений для данных уязвимостей.

Вручную - сложно. Хотелось бы, чтобы сканнеры уязвимостей могли работать с БДУ и делать всё за нас. Давайте посмотрим…

RedCheck от Алтекс-Софт: “RedCheck производит поиск уязвимостей по нашей базе ovaldb которая синхронизируется с БД угроз безопасности информации ФСТЭК России! Список уязвимостей Вы можете посмотреть на сайте базы данных https ://ovaldb .altx -soft .ru /Definitions .aspx ?refsource =FSTEC .”

Вроде ок. Жаль только последняя уязвимость по ссылке – от 2016 г. А в БДУ уже куча за 2017 г.

Ревизор Сети 3.0 от ЦБИ: “Ревизор Сети изначально осуществляет поиск включенных в БДУ ФСТЭК России (http://bdu.fstec.ru) уязвимостей, содержащихся в операционных системах Windows и функционирующих в них приложениях и средствах защиты информации, в том числе российской разработки. Помимо поиска уязвимостей из базы данных уязвимостей ФСТЭК России Сетевой сканер «Ревизор Сети» версии 3.0 осуществляет поиск уязвимостей, содержащихся в таких источниках, как cve.mitre.org, ovaldb.altx-soft.ru, microsoft.com и других источниках. ”

XSpider от Positive Technologies “Обязательно такая возможность будет. В июне в рамках пересертификации XSpider будет передана в испытательную лабораторию ФСТЭК сборка уже с таким функционалом ”.

Сканер-ВС от Эшелон “Сканер-ВС поддерживает поиск уязвимостей по БДУ ФСТЭК России”. Правда опыт показал, что текущая, сертифицированная версия – не поддерживает.

Итого, в перспективе возможно за нас всё будут делать сканеры, но в данный момент готового отчета, подтверждающего отсутствие уязвимостей из БДУ ФСТЭК я не обнаружил. Да и с актуальностью баз вопросы – надо будет внимательно проверять результаты и возможно последние уязвимости просматривать вручную.

Кроме того, не забываем, что в анализ уязвимостей входит ещё анализ настройки СЗИ, ПО и ТС и анализ корректности работы СЗИ.

3. На этапе аттестации требуется провести следующие испытания “анализ уязвимостей информационной системы, в том числе вызванных неправильной настройкой (конфигурированием) программного обеспечения и средств защиты информации” при этом в качестве исходных данных используются “результаты анализа уязвимостей информационной системы” . Это как вообще?

Просто повторяем то что делали на этапе внедрения? С учетом последних требований к разделению аттестаторов и внедренцев, видимо тут расчет на выборочный независимый дублирующий анализ.

ВВЕДЕНИЕ

Корпоративная IT-инфраструктура — это сложный многокомпонентный механизм, предназначенный для автоматизации бизнес-процессов компании. Доменная инфраструктура, почтовые сервисы, веб-приложения, бизнес-системы — все это является основой любой корпоративной информационной системы. В зависимости от масштаба компании и численности ее сотрудников будет различаться и размер IT-инфраструктуры. Но, несмотря на это, большая часть компаний имеет общие проблемы, связанные с обеспечением информационной безопасности информационных систем. Так, в период распространения вируса-шифровальщика WannaCry пострадало более 500 тысяч компьютеров, принадлежащих, в числе прочего, правительственным учреждениям, крупным компаниям и небольшим коммерческим организациям. Этот инцидент подтверждает, что от атак злоумышленников может пострадать абсолютно любая организация.

Данное исследование определяет основные тенденции в области анализа защищенности корпоративных информационных систем и позволяет определить:

  • каковы наиболее вероятные векторы атак, которые может использовать нарушитель для получения доступа к ресурсам корпоративной сети;
  • какие уязвимости наиболее распространены на сетевом периметре;
  • насколько опасны действия злоумышленника, имеющего доступ к ресурсам ЛВС;
  • какие недостатки безопасности позволяют злоумышленнику получить максимальные привилегии в корпоративной инфраструктуре;
  • сохраняют ли свою актуальность атаки с использованием методов социальной инженерии;
  • как с помощью атак на беспроводные сети получить доступ к ресурсам внутренней сети.

В качестве основы для подготовки данного исследования мы использовали статистические данные за 2017 год, полученные по результатам анализа защищенности корпоративных информационных систем, проведенных специалистами Positive Technologies. Сделанные выводы могут не отражать актуальное состояние защищенности информационных систем в других компаниях. Цель исследования — обратить внимание специалистов по ИБ на наиболее актуальные проблемы и помочь им своевременно выявить и устранить уязвимости.

1. РЕЗЮМЕ

Анализ защищенности сетевого периметра:

  • успешно преодолеть сетевой периметр и получить доступ к ресурсам ЛВС было возможно в 68% проектов по анализу защищенности корпоративных информационных систем;
  • подбор словарных учетных записей к ресурсам на сетевом периметре и эксплуатация уязвимостей веб-приложений являются основными векторами атак для проникновения во внутреннюю сеть;
  • по результатам инструментального сканирования ресурсов сетевого периметра было установлено, что 31% компаний был подвержен риску заражения вирусом-шифровальщиком WannaCry.

Анализ защищенности внутренних ресурсов:

  • при тестировании на проникновение от лица внутреннего злоумышленника полный контроль над всей инфраструктурой удалось получить во всех системах;
  • в 60% корпоративных систем, протестированных в период с 14 апреля по 31 декабря 2017 года, обнаружена уязвимость MS17-010, что говорит о несвоевременной установке критически важных обновлений безопасности ОС;
  • недостаточная защита от восстановления учетных записей из памяти ОС — основная уязвимость, которая позволяет получить полный контроль над корпоративной информационной системой.

Оценка осведомленности сотрудников:

  • 26% сотрудников осуществляют переход по ссылке на фишинговый веб-ресурс, причем практически половина из них в дальнейшем вводят свои учетные данные в поддельную форму аутентификации;
  • каждый шестой сотрудник подвергает корпоративную инфраструктуру риску вирусного заражения.

Анализ защищенности беспроводных сетей:

  • в 75% случаев злоумышленник через атаки на беспроводные сети может получить доступ к ресурсам внутренней сети, а также получить чувствительную информацию (например, доменные учетные записи пользователей).

2. ИСХОДНЫЕ ДАННЫЕ

Статистика по итогам 2017 года основывается на результатах анализа защищенности 22 корпоративных систем, принадлежащих как российским, так и зарубежным компаниям из различных сфер экономики. При отборе проектов для исследования учитывалась информативность полученных результатов. Проекты, которые по просьбе заказчиков проводились на ограниченном количестве узлов, не были включены в исследование, так как не отражают реального состояния защищенности корпоративной информационной системы в целом. Как и в 2016 году, основная часть работ по тестированию на проникновение выполнялась для финансовых организаций и промышленных компаний. Успешные атаки на корпоративные системы финансового и промышленного сектора, как правило, приносят злоумышленникам максимальную выгоду. Успешная атака на инфраструктуру банка часто напрямую приводит к хищению денежных средств. Проникновение злоумышленника во внутреннюю сеть промышленной компании может не только привести к утечке чувствительной информации, которую в дальнейшем можно продать компаниям-конкурентам, но и к нарушению технологического процесса.

Анализ защищенности корпоративных сетей проводился путем внешнего, внутреннего и комплексного тестирования на проникновение (последнее включает в себя как внешнее, так и внутреннее). Тестирование на проникновение — эффективный метод анализа защищенности, который позволяет выявить уязвимые места в корпоративной инфраструктуре и получить объективную, независимую оценку ее уровня защищенности. В ходе тестирования моделируются действия потенциального нарушителя, осуществляющего атаки как со стороны интернета, так и из сегментов внутренней сети компании. Такой подход позволяет воссоздать условия, в которых обычно действуют нарушители, и оперативно устранить недостатки защиты.

Второй год подряд мы наблюдаем интерес к комплексным услугам. Наши заказчики стремятся не только защитить свой сетевой периметр от атак со стороны внешнего злоумышленника, но и снизить риски, связанные с компрометацией ЛВС внутренним злоумышленником.


Помимо работ по тестированию на проникновение для многих заказчиков проводились также работы по анализу защищенности беспроводных сетей и оценке осведомленности сотрудников в вопросах информационной безопасности.


В этом году результаты анализа защищенности сетевого периметра, полученные в ходе внешнего тестирования на проникновение, сравниваются не только с итогами прошлогоднего исследования, но и со статистикой, полученной в ходе инструментального исследования, которое проводилось в период активного распространения вируса-шифровальщика WannaCry. Во втором квартале 2017 года компания Positive Technologies предлагала бесплатное сканирование внешнего периметра с целью выявления уязвимых сервисов. Заявки оставили 26 компаний из разных сфер экономики. Статистика по внешнему тестированию на проникновение в сравнении с результатами инструментального исследования будет подробно рассмотрена далее в соответствующем разделе.

3. СТАТИСТИКА ЗА 2017 ГОД

3.1. Общие результаты анализа защищенности

Как правило, при анализе защищенности в каждой системе наши специалисты обнаруживают те или иные уязвимости и недостатки механизмов защиты, которые, среди прочего, позволяют развить вектор атаки вплоть до полной компрометации инфраструктуры компании, получить доступ к чувствительной информации, проводить атаки на отказ в обслуживании и т. п. Все уязвимости мы делим на три категории: связанные с недостатками конфигурации; связанные с отсутствием обновлений безопасности; связанные с ошибками в коде веб-приложений. Для каждой выявленной уязвимости определяется степень ее опасности в соответствии с системой классификации CVSS версии 3.0.


18 лет — возраст самой старой уязвимости CVE-1999-0532 , обнаруженной при инструментальном анализе ресурсов сетевого периметра




По сравнению с прошлым годом доля корпоративных систем, в которых были обнаружены уязвимости критической степени риска (CVSS ≥ 9,0) выросла практически в два раза. В основном это связано с публикацией информации о критически опасной уязвимости MS17-010 в SMB-сервисе узлов, функционирующих под управлением Windows. После публикации общедоступных эксплойтов во многих проектах по внутреннему тестированию на проникновение наши специалисты использовали эту уязвимость для получения полного контроля над узлами ЛВС и развития атаки вплоть до получения максимальных привилегий в домене.

Для систем, в которых не были выявлены ошибки в коде веб-приложений и недостатки, связанные с отсутствием обновлений безопасности, стоит учитывать, что тестирование на проникновение проводится методом черного ящика, и в рамках границ проведения работ невозможно выявить все имеющиеся уязвимости. Основная цель тестирования на проникновение — получение объективной оценки защищенности корпоративной системы от атак нарушителей.

3.2. Результаты анализа защищенности сетевого периметра

Результаты внешнего тестирования на проникновение

По итогам 2017 года защищенность сетевого периметра корпоративных информационных систем осталась на уровне 2016 года. Однако при этом наблюдается тенденция к снижению сложности преодоления сетевого периметра. Если в 2016 году только в 27% проектов сложность получения доступа к ресурсам ЛВС оценивалась как тривиальная, то к концу 2017 года этот показатель вырос в два раза, до 56%.


10 — максимальное число векторов проникновения во внутреннюю сеть, выявленное при тестировании одной корпоративной информационной системы в 2017 году

Такое распределение объясняется тем, что злоумышленнику для получения доступа к ресурсам ЛВС требуется в среднем выполнить два шага: например, подобрать словарные учетные данные для авторизации в веб-приложении и использовать его уязвимости для получения возможности выполнять команды ОС на атакуемом узле.

По результатам анализа защищенности корпоративных информационных систем в среднем в каждой компании выявляются два вектора проникновения во внутреннюю сеть, максимальное число обнаруженных векторов для одной компании — 10.

Можно разделить все успешные векторы проникновения во внутреннюю сеть по категориям:

  • 44% векторов успешной атаки основаны на подборе словарных учетных данных для доступа к веб-приложениям, СУБД и другим сервисам, доступным для подключения на сетевом периметре. Затем злоумышленник может получить возможность выполнять команды ОС на атакуемом узле;
  • 28% векторов атак основаны на эксплуатации уязвимостей веб-приложений. Сразу в ходе нескольких внешних тестирований были выявлены уязвимости, которые позволяют в один шаг, без необходимости авторизации, удаленно выполнять команды ОС с привилегиями веб-приложения;
  • в 16% случаев получить доступ к ресурсам внутренней сети злоумышленник может при эксплуатации уязвимостей в устаревших версиях ПО (например, в CMS-платформах);
  • в остальных случаях для атаки злоумышленник может использовать недостатки конфигурации, связанные с выявлением учетных данных для доступа к системам на сетевом периметре в открытом доступе, например на страницах веб-приложения. Кроме того, были выявлены случаи, когда на веб-ресурсе тестируемой компании наши специалисты находили загруженный ранее веб-интерпретатор командной строки, что свидетельствует об успешных проведенных атаках со стороны внешних злоумышленников.

В первую пятерку наиболее распространенных уязвимостей на сетевом периметре входят те же уязвимости, что и в 2016 году, однако поменялось их процентное соотношение. Можно отметить общую тенденцию к снижению среднего количества уязвимостей, выявляемых при внешнем тестировании на проникновение. Например, в 2016 году во всех протестированных системах были выявлены уязвимости, связанные с использованием словарных учетных данных, в 2017 году этот показатель снизился в два раза. Такие результаты связаны с тем, что для многих компаний ранее проводились работы по анализу защищенности их корпоративных систем. По результатам таких работ заказчики успешно исправляли большую часть выявленных уязвимостей и недостатков конфигурации и начинали более строго контролировать соблюдение внутренних парольных политик. Соответственно, при повторном проведении внешнего тестирования на проникновение через год-полтора было обнаружено меньше уязвимостей, что в итоге положительно сказалось на общих результатах в 2017 году.


Как и в 2016 году, чаще всего на сетевом периметре уязвимости выявляются в прикладном программном обеспечении и в веб-серверах.



Результаты инструментального анализа защищенности периметра

Как упоминалось ранее, во втором квартале 2017 года компания Positive Technologies проводила акцию по бесплатному сканированию внешнего периметра ряда компаний с целью выявления уязвимых сервисов. Основной целью было противодействие распространению вируса-шифровальщика WannaCry. Заявки на инструментальное сканирование ресурсов сетевого периметра оставили 26 компаний из разных сфер экономики: IT- и телеком-компании, крупные представители розничной торговли, компании из финансового сектора и нефтегазовой промышленности.

Все компании вначале должны были определить границы своих корпоративных систем. Уже на данном этапе у некоторых участников возникли затруднения: 23% не смогли определить границы своего сетевого периметра или определили их некорректно. Неспособность определить границы сетевого периметра уже является свидетельством низкой защищенности корпоративной информационной системы от атак со стороны внешнего нарушителя — еще до получения результатов ручного или инструментального анализа корпоративной системы.

Сканирование сетевых периметров проводилось с помощью автоматизированной системы анализа защищенности и контроля соответствия стандартам MaxPatrol и дополнительного ПО. По результатам сканирования было обнаружено множество уязвимостей: 15% из них имеют высокий уровень риска по шкале CVSS версии 2.0, причем для эксплуатации части уязвимостей существуют общедоступные эксплойты.


Отдельно можно рассмотреть статистику по самым популярным уязвимостям, выявленным при инструментальном сканировании сетевого периметра. Среди этих уязвимостей наибольшую опасность представляет CVE-2016-6515 в сервисе OpenSSH. При вводе пароля для аутентификации в приложении отсутствует ограничение на количество вводимых символов. Данный недостаток позволяет удаленному злоумышленнику проводить атаки, направленные на отказ в обслуживании сервиса. Также для эксплуатации данной уязвимости существует общедоступный эксплойт 1 . Кроме того, если злоумышленник сможет подобрать учетные данные для подключения по SSH и получить пользовательские привилегии в UNIX-системе, то наличие уязвимости CVE-2016-10010 в OpenSSH позволит ему с помощью другого эксплойта 2 локально повысить свои привилегии до максимальных на скомпрометированном узле, а затем развивать атаку на ресурсы ЛВС.


При анализе доступных служб на периметре наибольшее количество уязвимостей выявлено в веб-приложениях и службах удаленного доступа (SSH). Данные результаты инструментального анализа совпадают со статистикой, полученной в ходе внешнего тестирования на проникновение, где уязвимости и недостатки конфигурации веб-приложений в большинстве случаев являлись отправной точкой для получения доступа к ресурсам ЛВС.


При инструментальном анализе доступных веб-приложений отдельно собиралась статистика по состоянию SSL-сертификатов. Более чем у четверти сертификатов на момент сканирования закончился срок действия, в 15% использовались ненадежные криптографические алгоритмы (например, SHA-1), и каждый шестой сертификат был выдан на срок более 5 лет.




Использование просроченных SSL-сертификатов несет репутационные риски для компаний, так как пользователь после получения предупреждения в окне браузера об использовании в приложении невалидного сертификата может отказаться от посещения веб-ресурса.

Использование ненадежных алгоритмов шифрования сводит к нулю весь смысл применения SSL-сертификатов, поскольку злоумышленник может перехватить сетевой трафик и затем успешно расшифровать полученные данные. Кроме того, нарушитель может подменить SSL-сертификат и создать свой собственный фишинговый сайт, с помощью которого заражать пользователей вредоносным ПО и похищать их учетные данные. При этом пользователи могут думать, что заражение их компьютеров произошло после посещения легитимного сайта компании.

В случае если SSL-сертификат выдается на срок более 5 лет, возникают риски, связанные с возможностью подбора ключа шифрования.

Вернемся к основной цели инструментального сканирования ресурсов сетевого периметра. В 8 компаниях из 26 были обнаружены внешние узлы с открытым портом 445/TCP с запущенным SMB-сервисом. Таким образом, инфраструктура практически каждой третьей компании была подвержена риску заражения вирусом-шифровальщиком WannaCry

31% компаний был подвержен риску заражения вирусом-шифровальщиком WannaCry

3.3. Результаты анализа внутренних ресурсов

В случае успешной атаки на ресурсы сетевого периметра внешний злоумышленник может получить доступ к внутренней сети и дальше развивать атаку вплоть до полного контроля над всей IT-инфраструктурой компании.

Как и в 2016 году, при тестировании на проникновение от лица внутреннего злоумышленника (например, рядового сотрудника компании, имеющего доступ к пользовательскому сегменту сети) полный контроль над всей инфраструктурой удалось получить во всех протестированных системах. Только в 7% проектов сложность получения доступа к критически важным ресурсам со стороны внутреннего злоумышленника оценивалась как «средняя». Во всех остальных случаях скомпрометировать всю корпоративную систему мог нарушитель низкой квалификации.

Типовой вектор атаки во внутренней сети строился на получении максимальных привилегий на одном из узлов ЛВС с последующим запуском специализированного ПО для извлечения учетных данных других пользователей, которые ранее подключались к данному узлу. Повторяя эти шаги на разных узлах, злоумышленник в конечном итоге может найти узел сети, на котором хранится учетная запись администратора домена и получить его пароль в открытом виде.

В 60% корпоративных систем, протестированных в период с 14 апреля по 31 декабря 2017 года, обнаружена уязвимость MS17-010

В 2017 году задача по получению максимальных привилегий на узле внутренней сети для злоумышленника значительно упростилась после публикации информации об уязвимости MS17-010. 14 марта 2017 года компания Microsoft опубликовала обновление, которое устраняет данную уязвимость, а ровно через месяц 14 апреля хакерская группировка Shadow Brokers опубликовала эксплойт EternalBlue 3 для ее эксплуатации. Наши специалисты в период с середины апреля до конца года успешно использовали эксплойт в 60% работ по внутреннему тестированию на проникновение, что говорит о несвоевременной установке критически важных обновлений безопасности ОС в большинстве корпоративных систем.

Ближе к концу 2017 года стали чаще встречаться корпоративные системы, в которых установлены обновления, устраняющие критически опасную уязвимость MS17-010. Но в нескольких проектах на узлах с Windows для локального повышения привилегий удалось использовать другую критически опасную уязвимость, описанную в бюллетене безопасности MS17-018. Для данной уязвимости также есть эксплойт, который отсутствует в публичном доступе.

Статистика самых распространенных уязвимостей во внутренней сети по сравнению с 2016 годом практически не изменилась. Исключение составляет новая категория «Недостаточная защита от восстановления учетных записей из памяти ОС». На узлах ЛВС под управлением Windows возможно получение паролей в открытом виде (или их хеш-сумм) из памяти системы с помощью специального ПО — если нарушитель обладает привилегиями локального администратора. Ранее данную уязвимость мы относили к недостаткам антивирусного ПО, которое должно блокировать запуск любых вредоносных утилит для извлечения учетных данных. Однако за последнее время вышли модификации таких утилит, написанные на языке PowerShell, которые предназначены специально для обхода блокировки запуска со стороны любого антивирусного ПО. Теперь для обеспечения защиты от извлечения учетных данных из памяти ОС необходимо использовать комплексный подход, включающий запрет на сохранение кэшированных данных, ускорение очистки памяти процесса lsass.exe от учетных записей пользователей, завершивших сеанс, и отключение механизма wdigest. Кроме того, можно использовать современные версии Windows 10, в которых реализована система Remote Credential Guard, позволяющая изолировать и защитить системный процесс lsass.exe от несанкционированного доступа. Таким образом, в 2017 году для объективной оценки состояния механизмов защиты корпоративной сети мы ввели отдельную метрику для сбора статистики по запуску утилит, предназначенных для извлечения учетных данных.

В 14% корпоративных систем, где не была найдена уязвимость «Недостаточная защита от восстановления учетных записей из памяти ОС», использовались другие векторы атак для получения полного контроля над корпоративной инфраструктурой.


Статистика по недостаткам защиты служебных протоколов была построена на основе тех проектов, где проводился анализ сетевого трафика ЛВС (71% компаний). В некоторых проектах заказчики были против таких проверок, так как они могут привести к нарушению непрерывной работы сети.



По результатам внутренних тестирований установлено, что основные проблемы корпоративных информационных систем — несвоевременная установка критически важных обновлений безопасности и недостаточная защита от восстановления учетных записей из памяти ОС с помощью специализированных утилит.

4. РЕЗУЛЬТАТЫ ОЦЕНКИ ОСВЕДОМЛЕННОСТИ СОТРУДНИКОВ В ВОПРОСАХ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В дополнение к работам по тестированию на проникновение корпоративных информационных систем для ряда компаний проводилась оценка осведомленности сотрудников в вопросах информационной безопасности. Такие работы проводятся по заранее согласованным с заказчиком сценариям, в которых имитируются реальные атаки злоумышленников с использованием методов социальной инженерии и отслеживается реакция сотрудников на эти атаки.

Тестирование сотрудников проводилось двумя методами — при помощи рассылки электронных писем и в телефонном взаимодействии. Для получения объективной оценки уровня осведомленности сотрудников анализировались следующие контролируемые события:

  • переход по ссылке на веб-ресурс злоумышленника;
  • ввод учетных данных в заведомо ложную форму аутентификации;
  • запуск приложенного к письму файла;
  • факт взаимодействия со злоумышленником по телефону или электронной почте.

По результатам работ установлено, что 26% сотрудников осуществляют переход по ссылке на фишинговый веб-ресурс, причем практически половина из них в дальнейшем вводят свои учетные данные в поддельную форму аутентификации. Каждый шестой сотрудник подвергает корпоративную инфраструктуру риску вирусного заражения путем запуска приложенного к письму файла. Кроме того, 12% сотрудников готовы вступить в диалог с нарушителем и раскрыть информацию, которая в дальнейшем может быть использована при проведении атак на корпоративную информационную систему.


Всего при оценке осведомленности сотрудников в 2017 году было отправлено более 1300 писем, половина из которых содержала ссылку на фишинговый ресурс, а вторая — файл со специальным скриптом, который отправлял нашим специалистам информацию о времени открытия файла, а также адрес электронной почты сотрудника. Настоящий злоумышленник в содержимое файла может добавить набор эксплойтов, направленных на эксплуатацию различных уязвимостей, в том числе CVE-2013-3906 , CVE-2014-1761 и CVE-2017-0199 . Подобная атака может привести к получению злоумышленником контроля над рабочей станцией соответствующего пользователя, распространению вредоносного кода, отказу в обслуживании и иным негативным последствиям.

Типовой пример атаки с использованием методов социальной инженерии:

  1. злоумышленник размещает на подконтрольном ресурсе набор эксплойтов под различные версии ПО;
  2. ссылка на этот ресурс массово рассылается в фишинговых письмах;
  3. сотрудник организации переходит по ссылке из письма, и после открытия страницы в браузере происходит эксплуатация уязвимостей.

Подобная атака может привести к заражению рабочей станции пользователя вредоносным ПО. Кроме того, при использовании устаревшей версии браузера может быть реализовано удаленное выполнение кода (например, CVE-2016-0189). Таким образом, злоумышленник может получить доступ к узлу внутренней сети и развивать атаку вплоть до максимальных привилегий в корпоративной инфраструктуре. Более подробно со сценариями атак с применением методов социальной инженерии можно ознакомиться в нашем исследовании «Как социальная инженерия открывает хакеру двери в вашу организацию» 4 .

5. РЕЗУЛЬТАТЫ ОЦЕНКИ ЗАЩИЩЕННОСТИ КОРПОРАТИВНЫХ БЕСПРОВОДНЫХ СЕТЕЙ

40% компаний используют словарный ключ для беспроводной сети

Атаки на беспроводные сети для внешнего нарушителя являются альтернативным способом получения доступа к ресурсам внутренней сети. В случае неудачи при попытке преодолеть сетевой периметр, например, через атаки на веб-приложения — злоумышленник может воспользоваться уязвимостями беспроводных сетей компании. Для успешной атаки ему потребуется заранее приобрести недорогое оборудование и попасть в зону покрытия беспроводной сети. Причем злоумышленнику для проведения атак не обязательно заходить в пределы контролируемой зоны компании: по результатам наших работ установлено, что 75% беспроводных сетей доступны за ее пределами. То есть атаки на беспроводные сети можно проводить незаметно с близлежащей территории, например с парковки рядом с офисным зданием.

В 2017 году практически во всех протестированных беспроводных сетях использовался протокол WPA2 с различными методами аутентификации, самым распространенным из которых был PSK (pre-shared key).


В зависимости от используемого метода аутентификации для атак на беспроводные сети можно использовать различные сценарии. В 2017 году для получения доступа к ресурсам внутренней сети чаще всего использовались следующие два сценария:

  • перехват handshake между точкой доступа и легитимным клиентом (подходит только для метода PSK);
  • атаки на клиентов беспроводной сети с использованием поддельной точки доступа (подходит для всех методов аутентификации).

В первом сценарии проводится подбор пароля к перехваченному значению handshake. Успех зависит от сложности используемого пароля. При этом важно учитывать, что подбирать его злоумышленник может уже вне зоны действия исследуемой точки доступа. Если в рамках границ проведения работ нашим специалистам не всегда удается успеть подобрать по значению handshake пароль, то у злоумышленника больше времени, что в разы увеличивает его шансы.

После подбора пароля и подключения к точке доступа установлено, что в 75% беспроводных сетей отсутствует изоляция между пользователями. Таким образом, злоумышленник может атаковать устройства пользователей, например эксплуатировать уязвимость MS17-010 на их личных и корпоративных ноутбуках.


В случае если подобрать пароль к точке доступа так и не удалось, можно использовать второй сценарий с установкой поддельной точки доступа.

Во-первых, злоумышленник вместе с поддельной точкой доступа может использовать фишинговую страницу аутентификации с целью получения учетных данных и перехвата чувствительной информации, передаваемой по открытым протоколам передачи данных (например, HTTP, FTP).

В 2017 году в рамках одного из проектов по анализу защищенности беспроводной сети, проводимых в Москве, специалисты Positive Technologies использовали поддельную точку доступа с ESSID (Extended Service Set Identification) MT_FREE, которая популярна у горожан, так как используется для доступа в сеть Wi-Fi, развернутую на городском транспорте. Далее была подготовлена поддельная форма аутентификации, в которой использовались логотип и корпоративное оформление тестируемой компании. После подключения к поддельной точке доступа при попытке открыть любой веб-сайт все пользователи переадресовывались на страницу с поддельной формой аутентификации в корпоративной сети. В результате данной атаки удалось получить доменные учетные данные сотрудников компании и использовать их для дальнейшего развития атаки.


Только в 1 из 8 протестированных компаний сотрудники не стали вводить свои учетные данные в поддельную форму аутентификации

Во-вторых, злоумышленник с помощью поддельной точки доступа может перехватывать сохраненные на устройстве учетные данные пользователя. Для этого необходимо создать точку доступа с тем же ESSID и такими же параметрами, как и легитимная точка доступа. Если на устройстве пользователя настроено автоматическое подключение к сохраненной беспроводной сети, то оно осуществит попытку подключения к поддельной точке доступа автоматически, если у нее будет более мощный сигнал в месте расположения этого устройства. В результате таких атак злоумышленник может получить хеш-суммы паролей сотрудников компании и использовать их для дальнейшего развития атаки на корпоративную инфраструктуру.

Установлено, что в 75% случаев злоумышленник посредством атак на беспроводные сети может получить доступ к ресурсам внутренней сети, а также чувствительную информацию (например, доменные учетные записи пользователей). Данный способ проникновения во внутреннюю сеть является эффективной альтернативой классическим атакам на узлы сетевого периметра.

Каждый год по результатам тестов на проникновение мы определяем сервисы, для доступа к которым чаще всего использовались словарные пароли. Эта статистика предназначена в первую очередь для системных администраторов, чтобы напомнить им о необходимости использовать сложные пароли и своевременно заменять стандартные учетные записи после установки и ввода в эксплуатацию нового сервиса.



По итогам 2017 года установлено, что простые пользователи и администраторы в качестве своих паролей часто используют сочетания близких клавиш на клавиатуре, полагая, что длинный, ничего не значащий пароль (например, zaq12wsxcde3 или poiuytrewq) сможет защитить их от несанкционированного доступа. Однако это ошибочное мнение: несмотря на кажущуюся сложность пароля, все такие сочетания клавиш уже давно внесены в специальные словари, и атака методом подбора занимает у злоумышленника считанные минуты.

Qwerty, Zaq1xsw2 и другие сочетания близких клавиш на клавиатуре — самые популярные пароли, в том числе и среди привилегированных пользователей

ЗАКЛЮЧЕНИЕ

Корпоративные информационные системы по-прежнему уязвимы к атакам со стороны внешних и внутренних злоумышленников. Если при проведении внешнего тестирования на проникновение все чаще встречаются компании, которые обеспокоены вопросом защищенности своего сетевого периметра, то при тестировании защищенности корпоративной системы от лица внутреннего злоумышленника ситуация значительно хуже. В 2017 году от лица внешнего злоумышленника, использующего, в числе прочего, методы социальной инженерии и атаки на беспроводные сети, преодолеть сетевой периметр удалось в 68% работ. При этом от лица внутреннего нарушителя полный контроль над ресурсами ЛВС был получен во всех без исключения проектах — несмотря на используемые в компаниях технические средства и организационные меры для защиты информации.

  • Отказаться от использования простых и словарных паролей, разработать строгие правила для корпоративной парольной политики и контролировать их выполнение.
  • Обеспечить дополнительную защиту привилегированных учетных записей (например, администраторов домена). Хорошей практикой является использование двухфакторной аутентификации.
  • Обеспечить защиту инфраструктуры от атак, направленных на восстановление учетных записей из памяти ОС. Для этого на всех рабочих станциях привилегированных пользователей, а также на всех узлах, к которым осуществляется УЯЗВИМОСТИ КОРПОРАТИВНЫХ ИНФОРМАЦИОННЫХ СИСТЕМ подключение с использованием привилегированных учетных записей, установить Windows версии выше 8.1 и включить привилегированных пользователей домена в группу Protected Users. Кроме того, можно использовать современные версии Windows 10, в которых реализована система Remote Credential Guard, позволяющая изолировать и защитить системный процесс lsass.exe от несанкционированного доступа.
  • Убедиться, что в открытом виде (например, на страницах веб-приложения) не хранится чувствительная информация, представляющая интерес для злоумышленника. К такой информации могут относится учетные данные для доступа к различным ресурсам, адресная книга компании, содержащая электронные адреса и доменные идентификаторы сотрудников, и т. п.
  • Ограничить количество сервисов на сетевом периметре, убедиться в том, что открытые для подключения интерфейсы действительно должны быть доступны всем интернет-пользователям.
  • Своевременно устанавливать обновления безопасности для ОС и последние версии прикладного ПО.
  • Провести анализ защищенности беспроводных сетей. Особое внимание стоит обратить на надежность используемых методов аутентификации, а также настроить изоляцию пользователей точки доступа.
  • На регулярной основе проводить обучение сотрудников, направленное на повышение их компетенции в вопросах информационной безопасности, с контролем результатов.
  • Для своевременного обнаружения атак использовать SIEM-систему. Только своевременное выявление попытки атаки позволит ее предотвратить до того, как злоумышленник нанесет существенный ущерб компании.
  • Для защиты веб-приложений — установить межсетевой экран уровня веб-приложения (web application firewall).
  • Регулярно проводить тестирование на проникновение, чтобы своевременно выявлять векторы атак на корпоративную систему и на практике оценивать эффективность принятых мер защиты.

Данный перечень не является исчерпывающим, но несоблюдение даже одного пункта может привести к полной компрометации корпоративной системы, и все затраты на различные дорогостоящие средства и системы защиты окажутся неоправданными. Комплексный подход к информационной безопасности — лучшая защита корпоративной информационной системы от любого нарушителя.

Инструментальные средства анализа уязвимостей (известные также как оценка уязвимостей ) тестируют сеть или хост для определения наличия уязвимостей для известных атак. Анализ уязвимостей предоставляет дополнительную информацию для систем обнаружения проникновения. Используемыми источниками информации являются атрибуты состояния системы и выходные данные осуществленных атак. Источники информации являются частью механизма оценки. Интервал времени анализа либо является фиксированным, либо определяется параметром в пакетном режиме, типом анализа является определение злоупотреблений . Это означает, что системы оценки уязвимостей являются пакетным режимом детекторов злоупотреблений, которые оперируют с информацией о состоянии системы, и результатом становятся специальные тестовые подпрограммы.

Анализ уязвимостей - очень сильная технология управления безопасностью, но эта технология является лишь дополнением к использованию IDS , а отнюдь не ее заменой. Если организация полагается исключительно на инструментальные средства анализа уязвимостей для слежения за системой, осведомленный атакующий может просмотреть систему анализа уязвимостей , заметить, когда выполняется анализ, и осуществить атаку во время интервала между этими проверками.

Тем не менее системы анализа уязвимостей могут создавать "моментальный снимок" состояния безопасности системы в конкретное время. Более того, так как они являются исключительно тестовыми системами поиска уязвимостей для большого числа известных атак, системы анализа уязвимостей могут позволять менеджеру безопасности контролировать ошибки человека или выполнять аудит системы для анализа согласованности с конкретной политикой безопасности системы.

Разница между системами анализа уязвимостей и системами обнаружения проникновения

Системы анализа уязвимостей аналогичны системам обнаружения проникновений, так как и те и другие следят за конкретными симптомами проникновения и другими нарушениями политики безопасности. Однако системы анализа уязвимостей рассматривают статический взгляд на такие симптомы, в то время как обнаружение проникновений исследует их динамически. Здесь такая же разница, как между кадром фотоснимка и прокручиванием видео.

Процесс анализа уязвимостей

Общий процесс оценки уязвимостей состоит в следующем:

  • определить множество атрибутов системы, которые будут рассматриваться в качестве шаблона;
  • сохранить значения данного шаблона в безопасном репозитории данных. Данное множество может быть вручную определено как образец "идеальной конфигурации" или моментальный снимок состояния системы, созданный ранее;
  • периодически определять текущие значения атрибутов и сравнивать их с шаблоном;
  • определить различия между шаблоном и текущими значениями и создать отчет.

Коммерческие системы оценки уязвимостей часто оптимизируют данный процесс тем, что выполняют параллельно несколько инструментальных средств оценки.

Классификация инструментальных средств анализа уязвимостей

Существует два основных способа классификации систем анализа уязвимостей : первый – по расположению, из которого информация об оценке получена, и второй – по информации, которой располагает инструментальное средство анализа уязвимостей . При использовании первой схемы классификации для оценки уязвимостей системы классифицируются либо как network-based , либо как host-based . При использовании второй схемы системы классифицируются как credentialed или non-credentialed . Эти термины указывают, делался ли анализ с креденциалами или без креденциалов (таких, как IDs и пароли или другая идентификационная и аутентификационная информация, с помощью которой предоставляется доступ к внутренним системам). Мы будем использовать первую схему классификации для описания различных подходов к анализу уязвимостей.

Host-Based анализ уязвимостей

Системы host-based анализа уязвимостей определяют уязвимость, анализируя доступный источник системных данных, такой как содержимое файлов, параметры конфигурации и другая информация о статусе. Данная информация обычно доступна с использованием стандартных системных запросов и проверки системных атрибутов. Так как информация получена в предположении, что анализатор уязвимости имеет доступ к хосту, данный тип инструментальных средств анализа также иногда называется credential-based оценка уязвимости. Такая оценка определяется как пассивная.

Наилучшего результата достигают host-based оценки уязвимостей , которые имеют возможность выполнять привилегированные атаки. Это такие атаки, которые могут получить привилегии superuser или root на UNIX-системе или доступ administrator на Windows-системе.

Network-Based анализ уязвимостей

Системы network-based анализа уязвимостей получили распространение в последние несколько лет. Данные системы требуют установления удаленного соединения с целевой системой. Они могут реально проводить атаки на систему, понимать и записывать ответы на эти атаки или прощупывать различные цели для поиска слабых мест, которые следуют из их ответов. Такое проведение атак или прощупывание может происходить независимо от того, есть ли разрешение на доступ к целевой системе; следовательно, это можно считать non-credential анализом. Более того, так как network-based анализ уязвимостей выглядит как реальная атака или сканирование целевой системы, он также иногда обозначается как активный анализ.

Инструментальные средства network-based анализа уязвимостей иногда определяются как инструментальные средства обнаружения проникновения. Хотя, как уже обсуждалось ранее, это корректно в соответствии с некоторыми определениями обнаружения проникновения, все же программный продукт анализа уязвимостей не является законченным решением обнаружения проникновения для большинства окружений.

Существуют два метода, используемые при network-based оценки уязвимостей :

  • Тестирование exploit’ов . В этом случае система пытается осуществить реальную атаку. После этого возвращается флаг статуса, указывающий, была ли атака успешной.
  • Анализ создаваемых объектов . В данном случае система реально не использует уязвимости, а анализирует определенные созданные объекты, которые могут приводить к успешным атакам. Примеры подобных технологий анализа включают проверку номеров версий, указываемых системой в ответ на запрос, анализ открытых портов, проверку согласованности протоколов с помощью простых запросов статуса или другой аналогичной информации.
Преимущества и недостатки систем анализа уязвимостей

Преимущества систем анализа уязвимостей :

  • Анализ уязвимостей имеет важное значение как часть системы мониторинга безопасности, позволяя определять проблемы в системе, которые не может определить IDS .
  • Системы анализа уязвимостей имеют возможность выполнять относящееся к безопасности тестирование, которое может использоваться для документирования состояния безопасности систем в момент начала функционирования программы безопасности или для переустановки базовых функций безопасности всякий раз, когда происходили существенные изменения.
  • Когда системы анализа уязвимостей используются регулярно, они могут надежно обнаруживать изменения в состоянии безопасности системы, оповещая администраторов безопасности о проблемах, которые требуют решения.
  • Системы анализа уязвимостей предлагают способ комплексной проверки любых изменений, сделанных в системе, гарантируя, что уменьшение одного множества проблем безопасности не создаст другого множества проблем.

Недостатки и проблемы систем анализа уязвимостей :

  • Host-based анализаторы уязвимостей сильно привязаны к конкретным ОС и приложениям; следовательно, они часто являются более дорогими с точки зрения развертывания, сопровождения и управления.
  • Network-based анализаторы уязвимостей являются платформо-независимыми, но они менее точные и создают больше ложных тревог.
  • Некоторые network-based проверки, особенно касающиеся DoS-атак, могут разрушить систему, которую они тестируют.
  • При выполнении оценки уязвимостей в сетях, в которых работают системы обнаружения проникновений, IDS могут блокировать проведение последующих оценок. Хуже того, регулярные анализа уязвимостей выполняют мониторинг и анализ состояния системы с интервалами; следовательно, они являются аналогами камер, которые делают фотоснимки. Системы анализа уязвимостей могут определить, существует ли проблема в конкретный момент времени, и далее предоставить этот результат для дальнейшего исследования и обработки. IDS могут, с другой стороны, сказать очень точно, существуют ли проблемы в течение интервала времени, и далее сообщить об условиях, которые необходимы для решения проблемы, а также об угрозах, возникающих в связи с данной проблемой.

    Проверка целостности файлов

    Проверки целостности файлов являются другим классом инструментальных средств безопасности, которые дополняют IDS . Эти инструментальные средства используют дайджест сообщений или другие криптографические контрольные суммы для критичных файлов и объектов, сравнивая их с хранимыми значениями и оповещая о любых различиях или изменениях.

    Использование криптографических контрольных сумм важно, так как атакующие часто изменяют системные файлы по трем причинам. Во-первых, изменение системных файлов могут быть целью атаки (например, размещение Троянских программ), во-вторых, атакующие могут пытаться оставить лазейку (back door) в систему, через которую они смогут снова войти в систему позднее, и, наконец, они пытаются скрыть свои следы, чтобы собственники системы не смогли обнаружить атаку.

    Хотя проверка целостности файлов часто используется для определения, были ли изменены системные или выполняемые файлы, такая проверка может также помочь определить, применялись ли модификации для исправления ошибок к программам конкретных производителей или системным файлам. Это также является очень ценным при судебных разбирательствах, так как позволяет быстро и надежно диагностировать следы атаки. Она дает возможность менеджерам оптимизировать восстановление сервиса после произошедшего инцидента.

    Свободно распространяемый продукт Tripwire (www.tripwiresecurity.com), возможно, является лучшим примером инструментального средства проверки целостности файлов.



Статьи по теме
Еще статьи из этой рубрики
Как обрезать SIM-карту под Micro SIM? Как обрезать SIM-карту под Micro SIM?
Тариф «Киевстар Разговоры» с региональными предложениями для звонков внутри сети Киевстар онлайн регион 2 Тариф «Киевстар Разговоры» с региональными предложениями для звонков внутри сети Киевстар онлайн регион 2
Samsung galaxy core 2 год выпуска Samsung galaxy core 2 год выпуска
Условия участия в бонусной программе Условия участия в бонусной программе
AdBlock для всех Браузеров AdBlock для всех Браузеров
Бесплатный PDF конвертер Бесплатный PDF конвертер

© 2024 beasthackerz.ru - Браузеры. Аудио. Жесткий диск. Программы. Локальная сеть. Windows