27.05.2009

Гарантированный взлом. Пять слабых звеньев ИБ

Не смотря на то, что внешнему периметру сети уделяется самое пристальное внимание со стороны, как системных администраторов, так и безопасников, в большинстве случаев, становиться возможным проникнуть во внутреннюю сеть, используя различные вектора атаки.

Дмитрий Евтеев
Эксперт по информационной безопасности отдела консалтинга и аудита компании Positive Technologies.
Источник: http://devteev.blogspot.com/2009/04/blog-post_27.html

Несмотря на то, что внешнему периметру сети уделяется самое пристальное внимание со стороны как системных администраторов, так и безопасников, в большинстве случаев становится возможным проникнуть во внутреннюю сеть используя различные вектора атаки. Безусловно, многие из пробиваемых векторов связаны с масштабом исследуемой сети, со штатом работающих в ней сотрудников, а также с границами проведения работ (чем шире границы работ, тем выше вероятность успешного проникновения). Однако, из всех используемых векторов атаки при проведении подобных работ, можно выделить те, на долю успешности реализации которых приходится наибольшее количество проникновений. Следовательно, обращая внимания на используемые недостатки, перечисленные ниже, можно снизить риски информационной безопасности, связанные с компрометацией информационной системы со стороны внешнего злоумышленника.

Итак, наиболее опасным вектором проникновения, конечно же, является использование человеческого фактора. Социальная инженерия – это самый пробиваемый вектор атаки при проведении внешнего пентеста. Что тут можно добавить? Во-первых, для минимизации последствий подобной атаки, безусловно, необходимо обучать пользователей основам безопасности при работе в Интернете. Однако этого недостаточно, т.к. при грамотно организованной социалке, даже матерые системные администраторы могут допустить оплошность и осуществить переход по ссылке на вроде бы безобидный сайт, тем самым сдав свою сеть атакующему. Поэтому необходима организация комплекса мер по защите информации, в том числе организация работы конечных пользователей и системных администраторов с пониженными привилегиями, различные проактивные механизмы защиты на рабочих местах, контроль трафика и пр. Во-вторых, достаточно часто при проведении вектора атаки с использованием социальной инженерии применяется вектор атаки с эксплуатацией уязвимостей в ПО на рабочих местах. Поэтому, стоит обратить внимание на процесс управления обновлениями, и не только со стороны продуктов компании Microsoft, но и со стороны обновления таких продуктов, как уязвимых компонентов ActiveX, Flash Player или Acrobat Reader, на долю которого по заявлениям F-Secure приходится около 28,6% успешных атак.

Второй по пробиваемости вектор атаки также тесно связан с человеческой природой. Это использование простых паролей для доступа к информационным системам. Сколько на эту тему не говорили бы специалисты по информационной безопасности, но пользователи по-прежнему продолжают использовать брутабельные пароли. В редких случаях, тем же грешат и админы. Вектор атаки типа "брутфорс" замечательно пробивает внешний периметр, позволяя например, получить доступ к электронной корпоративной почте (которая в редких случаях является шифрованной), а в некоторых случаях и без труда проникнуть в обследуемую сеть (например, по VPN). Самой лучшей защитой от подобного вектора атаки является использование аппаратных токенов с цифровыми сертификатами, хранимыми на них. Во всех остальных случаях достаточно атакующему получить список всех пользователей системы, как многие учетные записи будут скомпрометированы. Используемая строгая политика при создании паролей, способна лишь снизить процент скомпрометированных учетных записей во внешних системах, но никак не обеспечивает полной защиты от подобной атаки. Стоит добавить, что хорошей практикой минимизации последствий атаки типа "брутфорс" является грамотно спроектированный мониторинг осуществления аутентификации в информационных системах. Однако подобные механизмы встречаются довольно редко.

Третий вектор атаки, отрабатывающий достаточно часто – это успешная атака на внешние web-приложения. Что уж тут и говорить, когда порядка 83% из них могут содержать критические уязвимости. А эксплуатируемый совместно с кривым разделением внутренних подсетей (приходилось наблюдать сети, когда ДМЗ превращают в "дуршлаг" и выйти из которого во внутреннюю сеть является достаточно простой задачей), данный вектор во многих случаях позволяет добиться отличных результатов при проникновении. Для защиты от угроз, связанных с эксплуатацией уязвимостей в web, в первую очередь стоит закладывать в ТЗ требования к безопасности при его проектировании. Совсем не лишним является независимый аудит web-приложения, и как превентивная мера – использование Web Application Firewall (WAF).

Следующий вектор, который отрабатывает гораздо реже – это эксплуатация server-side уязвимостей в сетевых сервисах пограничных узлов. Причины, по которым вектор "выстреливает" реже остальных заключается в том, что большинство уязвимых сервисов прикрыты файрволом, а вовсе не потому, что для внешних систем во время устанавливаются критические обновления от производителей. И стоит лишь пробиться в ДМЗ, как не эффективный path management позволяет скомпрометировать другие ресурсы и пентест из разряда внешнего плавно переходит во внутренний:)

Атака на беспроводные сети является достаточно перспективным и в большинстве случаях успешным вектором проникновения в сеть Заказчика подобных услуг. И не столько успешность данного вектора определяет используемые точки доступа (хотя, конечно наличие не безопасных точек доступа с WEP – это своего рода приглашение во внутреннюю сеть), подключенные к исследуемой сети, сколько беспроводные адаптеры, используемые на рабочих местах пользователей. Уязвимости в драйверах беспроводных адаптеров и возможность подключить клиента к фальшивой точке доступа атакующего, позволяет с минимальными усилиями получить несанкционированный доступ в сеть. Ситуацию усугубляет также появление все большего числа ноутбуков в корпоративных сетях, и как следствие, появление в ней большего числа потенциально уязвимых мишеней для атакующего. Прикрыть данный вектор атаки, конечно же можно. Для этого необходимо организовать комплекс мер по защите сети от угроз со стороны беспроводных сетей. Начиная от бумажных вещей, объясняющих процессы защиты от подобных угроз, и заканчивая технической реализацией в соответствии с принятой внутренней политикой и стратегией развития компании.

comments powered by Disqus