Уязвимости корпоративных сетей
Приветствую всех!
Сегодня поговорим об уязвимостях корпоративных сетей.
Введение
Все практики, которые применяются в использовании уязвимостей для неких дальнейших действий могут применяться в бизнес среде. Разница между бизнесом и простыми машинами в сети лишь в масштабе действий и их защите. Это обусловлено тем, что работать мы вынуждены в едином технологическом пространстве, и арсенал возможных атак для этой технологической базы - един.
Специализацией данной лекции, все же, является именно корпоративная среда и методы проникновения.Относительно самих бизнес-структур, их неотъемлемой частью является доменная инфраструктура, почтовые сервисы, веб-приложения и бизнес-системы.
В рамках данной статьи мы рассмотрим:
- какие уязвимости наиболее распространены на сетевом периметре;
- самые благоприятные векторы атак, которыми можно воспользоваться для получения доступа к ресурсам корпоративной сети;
- какие недостатки безопасности в корпоративных сетях могут нам позволить получить максимальные привилегии в корпоративной инфраструктуре;
- коснемся методов социальной инженерии;
- как с помощью атак на беспроводные сети получить доступ к ресурсам внутренней сети.
Изучение состояния безопасности бизнес-структур ведется постоянно. Публикуются тематические отчеты и исследования.К нашему счастью, подавляющее число всех корпоративных систем (более 60%!!) прекрасно подвержены взлому и несанкционированному проникновению.Но не стоит обольщаться, стоит Вам неправильно ввести пароль от wi-fi, и на этаж поднимается охрана (проверено из личного опыта).
Более четверти сотрудников компаний переходят по ссылкам в почте или открывают неизвестные файлы. Зачастую это тупая проверка, для тупых, обычная ссылка, которая ведет к фотографии с логотипом компании, в надежде, что Вы следующий раз одумайтесь.
С беспроводными сетями вообще мрак: в 75% случаев возможен перехват чувствительной информации и ее последующее использование. Все это работает, на нас лишь потому, что большие боссы любят максимально экономить.
Атаки на корпоративные сети принято разделять на внешние, внутренние и комплексные (когда берутся серьезно и надолго, как правило, это уже уровень спецслужб, где подготовка к непосредственной атаке может занимать по несколько лет).
Классификация и методы защиты
Если говорить об уязвимостях в инфраструктуре компании, то обычно их делят на следующие виды:
- технологические (архитектурные) - когда нет конкретных механизмов обеспечения информационной безопасности или попросту они настолько старые, что уже не актуальны. Бизнес никогда не будет шевелить задницей ,пока это не выходит за рамки риск менеджмента.
- организационные - нет четко прописанных требований, порядка защиты информации, инструкций, требований и нормативов по пользованию ПО, ПК и сетями.
- эксплуатационные - связаны с недочетами в существующих компонентах IT-инфраструктуры(устаревшие роутеры, модемы и т.д).
Стоит отметить следующий важнейший факт, обычно, если мы говорим об ИТ компаниях, инфраструктуру разрабатывают самые опытные люди - архитекторы. Как правило, эти люди выбирают технологии проверенные временем, а следовательно с огромным кол-вом уязвимостей. Как ни странно, все имеет место устаревать, а следовательно и кол-во проблем с тем или иным софтом увеличивается.
Наиболее часто среди эксплуатационных уязвимостей встречаются:
- Использование операционных систем и программного обеспечения в версиях, которые не поддерживаются (MS Windows XP, MS Windows Server 2003, PHP).
Чего ожидать? Например, отказа в обслуживании, выполнения какого-то произвольного кода и, конечно же, раскрытия так бережно охраняемой информации. Но в реальности мастера умеют на всей линейке Windows играть, как на пианино и ни в чем себе не отказывать. - Уязвимости веб-серверов (например, Apache HTTP Server), которые позволят нападающему с легкостью устроить отказ в обслуживании или выполнить произвольный код в системе. Обычно веб сервера умеют кэшировать статическую информацию, а это может дать нам как минимум информацию о веб приложении. В качестве небольшого домашнего задания, Вы должны посмотреть название веб-сервера любого сайта и свежие уязвимости к нему. Это довольно просто, например в хроме это F12 / Network / Любой файл / Headers. Изучите содержимое и Вы найдете кое-что интересное.
- Использование небезопасных протоколов управления (скажем, Telnet).
Чего ожидать? Нападающий перехватывает информацию, которая передается, и без проблем получает доступ к хосту. Для перехвата аутентификационных данных нужно находиться на пути их прохождения (например, обладать доступом к оборудованию провайдера, каналу связи). Или, как вариант, перенаправить трафик на себя с помощью настроек DNS и необходимых инструментов. А для этого нужно знать модели там всякие и вообще компьютерные сети тоже, хотя бы основы. Для этого можно использовать атаки на сетевые протоколы маршрутизации класса ARP Spoofing (локально) или DNS (удаленно).
Краткая инструкция по это атаке - http://project.net.ru/security/article9/g4.html - Использование небезопасных протоколов SSL и TLS.
Чего ожидать? Опять же, перехвата передаваемой аутентификационной информации. - Использование ненадежных паролей WPA/WPA2-PSK.
Чего ожидать? Нападающий может получить доступ к беспроводной сети, а также перехватить данные, передаваемые по защищенным протоколам (самый распространенный перехват это HTTP). - Использование протокола разрешения имен NetBIOS по TCP/IP (NBNS) и LLMNR.
Чего ожидать? Перехват информации (паролей, хешей паролей и т.п.) между Windows-хостами. - Межсайтовый скриптинг (XSS). Уязвимость класса Cross Site Scripting возникает из-за недостаточного экранирования символов (замены в тексте управляющих символов на соответствующие текстовые подстановки), выводимых веб-приложением.
Нападающий может обойти установленные ограничения и перехватить сессионную инфу полноправного юзера сервисов этого домена, выполнив, скажем, вредоносный JavaScript-код. Внедрение такого кода на сетевом уровне или посредством атак социальной инженерии, любым доступным в конкретном случае способом.
Среди организационных уязвимостей принято выделять следующие направления:
- Процессы «Управление конфигурациями», «Управление изменениями», «Управление обновлениями» обеспечения информационной безопасности не контролируются.
Чего ожидать? Появления новых эксплуатационных уязвимостей в IT-инфраструктуре. - Контрагенты и подрядчики. Отдельные сервисы и процессы (например, поддержка информационных систем, управление сетевой частью IT-инфраструктуры) компании на практике часто отдают на аутсорсинг.
Это значит, что получив доступ к корпоративным сетям подрядных организаций нашего клиента, мы с их помощью можем установить проги удаленного управления в защищаемую сеть и затем использовать технологии скрытых каналов (например, DNS covert channel) для управления и транспортировки секретной информации на контролируемые сервера.
Что же касается технологических уязвимостей, то тут отдельно хочу выделить две категории:
- Подключение корпоративных устройств к незащищенным гостевым сегментам беспроводных сетей клиента. В таком случае нападающий без труда сможет перехватить аутентификационные данные и получить доступ секретной информации.
- Неконтролируемые информационные потоки. Как несложно догадаться, слабое место любой компании в плане информационной безопасности - это использование ее сотрудниками внешних запоминающих устройств и сервисов обмена информацией (почта, хранилища файлов и т.п.). Работнички тащат из дома свои диски и флешки, повышая тем самым риск заражения всякими зловредами.
Как нам противостоят корпоративные сети?
В любой нормальной компании есть ответственный за IT-безопасность человек. Он в какой то степени определяет политику безопасности корпоративной инфраструктуры.Этот человек определяет политику управления конфигурациями компонентов системы. Также этот человек должен определить политику управления обновлений.Настоящие спецы в области IT-безопасности должны чутко мониторить ситуацию и вовремя обновлять как общесистемное, так и прикладное программное обеспечение. Зачастую выйдя на данного человека мы имеем всю картину в прямом и переносном смысле.
И финал: управление изменениями.
Когда вносятся существенные изменения в информационные системы, крайне важно тестить реализованные механизмы информационной безопасности. Какие изменения можно отнести к существенным? Например, изменения мажорной версии системы или отдельных ее компонентов, изменения системной архитектуры, изменения состава или функций средств защиты информации и т.п.
В версионировании за мажорной считается, что версия 1.0.0 переходит в версию 2.0.0 Помните самый главный минус работы в сфере разработки и безопасности - человеческий фактор.
Существует два типа внесения изменений:
- Есть определенный график, проектирования, разработки и тестирования.
Баги, которые не успели пофиксить уходят в релиз. - Софт пилится до тех пор, пока все баги не будут ликвидированы и уже тогда релиз.
На сегодня пожалуй закончим, в следующей статье поговорим о примерах атак на корпоративную сеть.
🌌Dark Warehouse - Склад интересных вещиц.
🕸Shadow Shop - Магазин цифровых товаров.
💎RefPay - Бот для пассивного дохода.
💬Lamers Chat - Свободный чат. Общение на любые темы.