«Гайд по ИБ-болями» будет полезен при организации и проведении пентеста и поможет сконцентрировать ресурсы на наиболее эффективных подходах и инструментах выявления уязвимостей.
Учим на чужих ошибках
Реальная оценка уровня защищенности компании от атак злоумышленников — ключевой элемент в обеспечении безопасности информации. Один из эффективных и довольно оперативных способов проверить устойчивость ИТ-инфраструктуры к внешним воздействиям — тестирование на проникновение (Pentest).
Наша группа не только проводит пентесты, но и регулярно анализирует обезличенные результаты таких проектов. На основе аналитики за первые полгода 2024 мы составили «атлас болезней» ИТ-инфраструктуры, выжимки из которого будут полезны для проведения экспресс-проверок в условиях ограниченных финансовых и кадровых ресурсов.
Для получения базовой оценки безопасности и выявления наиболее очевидных уязвимостей в кратчайшие сроки до проведения полноценных пентестов, рекомендуем обратить внимание на следующие моменты и проследовать соответствующим рекомендациям:
- Пароли. Частое использование сотрудниками слабых или словарных паролей, а также повторное использование корпоративных учетных данных на сторонних ресурсах, создает значительные бреши в безопасности и существенно увеличивает риск успешных взломов инфраструктуры.
- Устаревшие или забытые сервисы на внешнем периметре – наиболее частая входная точка для злоумышленника, где уязвимость сервиса используется как изолированно, так и в сочетании с другими уязвимостями, с целью проникновения в сеть или получения чувствительных данных.
- Беспроводные сети – небезопасная конфигурация беспроводных точек доступа, присутствующая с вероятностью 25-30%, может позволить атакующему проникнуть во внутреннюю инфраструктуру.
- Фишинг – проведение атак такого типа имеет высокую эффективность так как человек, как известно, является самым слабым звеном в любой защите. Успешность проведения фишинговых атак прямо пропорционально коррелирует с подготовленностью пользователей и их умением распознавать фишинг в любом его виде.
Рекомендации
Цели пентеста – не только выявление уязвимостей, но и формирование перечня рекомендаций по их устранению и профилактики. В четырех обозначенных векторах применимы следующие советы:
- Пароли — убедитесь, что ваша парольная политика не допускает использование паролей менее 12 символов, а лучше 16. Но учтите, длина паролей – не панацея. Будьте готовы, что часть пользователей все равно будет использовать такие слабые пароли как Qwertyuiop123 или возьмут свою фамилию, напишут ее с включенной английской раскладкой. И вуаля – пароль вида «Ivtktd123!@#» готов. В таких случаях эффективность регламентов, устанавливающих требования к паролям пользователей, к сожалению, сводится к минимуму. Дополнительно усугубляет ситуацию потенциальная ситуация, где сотрудник завел сложный пароль в 20 символов, но использовал его везде – рано или поздно в каком-то из сервисов может произойти утечка, и хакеры получат доступ.
Для начала рассмотрите возможность регулярного проведения аудита паролей пользователей и внедрения дополнительных средств защиты, не допускающих использования словарных паролей и паролей из утечек. Не менее важным считаем дать рекомендацию использовать многофакторную аутентификацию на всех внешних ресурсах и сервисах и на таких критических внутренних сервисах, как хранилища паролей, служба резервного копирования и т.п.
- Уязвимые и забытые сервисы на внешнем периметре – извечная проблема большинства компаний, чей перечень сервисов и приложений на внешнем периметре насчитывает десятки или сотни ресурсов. Для начала рекомендуем провести полную инвентаризацию внешнего периметра – просканируйте сеть, определите принадлежность каждого открытого порта какому-либо приложению или сервису, определите версию ПО, убедитесь, что оно регулярно обновляется, определите ответственных и т.п. Параллельно инвентаризации начните разрабатывать и регламентировать строгую политику публикации новых сервисов, не допускайте поблажек – выдача возможности разработчикам публиковать свои приложения на периметре организации может закончится плачевно.
- Беспроводные сети – тут все немного попроще – откажитесь от использования аутентификации с использованием паролей и используйте аутентификацию только на основе сертификатов. Не лишним будет включить на межсетевом экране блокировку всех широковещательных протоколов. Ну и напоследок – убедитесь, что пользователям не доступны критические сегменты инфраструктуры из корпоративной беспроводной сети, рассмотрите возможность предоставления сетевого доступа только к соответствующим терминальным серверам. Если же вы принципиально не хотите отказываться от использования доменной аутентификации на основе паролей для вашего корпоративного Wi-Fi, будьте готовы, что даже хакер-новичок сможет получить пароли ваших сотрудников во время их пути на работу, просто сидя на остановке и проводя атаку Evil-Twin.
- Фишинг — Проверяйте сотрудников на устойчивость к социальной инженерии и фишингу через регулярное проведение тестовых фишинговых рассылок. Начать рекомендуем с пользователей, входящих в группу повышенного риска – бухгалтеры, системные администраторы и руководители подразделений. Как процесс будет отлажен, распространите тестирование на всех пользователей. Условно-хорошей можно считать ситуацию, когда выгодные хакеру действия: запуск файла, передача УЗ или документов совершили менее 3% получателей. Необходимо составить план на случай реальной фишинговой атаки – регламентируйте действия ИБ и ИТ служб, убедитесь, что пользователи точно знают, что делать в случае появления фишингового письма.
Выше перечислены базовые проверки, которые должны проводиться при тестировании на проникновение и которые, кстати, можно провести с разным уровнем «настойчивости». Важно заметить, что кроме этих базовых шагов существует множество других проверок, которые позволят составить наиболее полную картину защищенности ИТ-инфраструктуры, но потребуют узкой экспертизы.
Ключевые тезисы публикации
В экспертной колонке для ИТ-издания CISOCLUB руководитель Центра компетенций тестирования на проникновение Innostage Александр Борисов привел рекомендации по проведению пентестов в условиях ограниченных ресурсов. Ключевыми услугами Центра являются анализ и контроль защищенности инфраструктуры методами внешней, внутренней, социотехнической проверки, тестирования беспроводных сетей, веб и мобильных приложений.
На основе аналитики по пентестам, проведенным экспертами Innostage в 2023 и первом полугодии 2024 года, приводится «тепловая карта» уязвимостей, наиболее часто встречающихся в российских компаниях.
· Анализ пентестов за 2023 год и Q1-Q2 2024 года выявил основные «боли» ИТ-инфраструктур большинства компаний. Они связаны прежде всего с использованием коротких и легко подбираемых паролей, устаревшими сервисами на внешнем периметре, небезопасными конфигурациями беспроводных точек доступа и низким уровнем кибергигиены.
· Эксперт дает рекомендации как по проведению пентестов и обращению внимания на определенные «симптомы болезни», так и по устранению уязвимостей.
· Уязвимости паролей. Слабые или словарные пароли создают значительные бреши в безопасности. Повторное использование корпоративных учетных данных на сторонних ресурсах увеличивает риск взломов. Рекомендуется использовать пароли длиной не менее 12 символов, внедрять многофакторную аутентификацию.
· Устаревшие сервисы на внешнем периметре часто используются злоумышленниками. Рекомендуется проводить инвентаризацию внешнего периметра и регламентировать публикацию новых сервисов.
· Беспроводные сети. Небезопасная конфигурация беспроводных точек доступа может позволить атакующему проникнуть во внутреннюю инфраструктуру. Рекомендуется использовать аутентификацию на основе сертификатов, блокировать широковещательные протоколы и ограничивать доступ к критическим сегментам.
· Фишинг. Фишинговые атаки эффективны из-за человеческой уязвимости. Рекомендуется проводить регулярные тестовые фишинговые рассылки, обучать пользователей распознавать фишинг, а также составить и держать наготове план действий на случай реальной фишинговой атаки.
В статье автор ссылается на аналитику по тестированию на проникновение, с полной версией которой можно ознакомиться по ссылке.