Исходные данные
Заказчиком работ является компания, работающая в сфере строительства. Пентест проводился в 2023 году.
Цель проведения работ - оценка защищённости внешних и внутренних информационных ресурсов компании от угроз, связанных с намеренными действиями физических лиц (хакеры, неавторизованные пользователи).
Для проведения тестирования внешних ресурсов была выбрана методика OWASP v.4.2, для внутренних ресурсов - OWASP, OSSTMM 3.
Этапы тестирования
Пентест строится по схеме, позволяющей выявить максимум имеющихся уязвимостей. В рассматриваемом кейсе был следующий поэтапный план тестирования:
1. Внешняя инфраструктура.сбор информации;
анализ полученных данных;
классификация и ранжирование угроз;
выявление наиболее вероятных векторов атаки;
попытка реализовать выявленные угрозы.
2. Внутренняя инфраструктура.
сбор информации;
анализ собранных сведений с последующей классификацией выявленных уязвимостей;
определение возможных векторов атаки и попытка их реализации.
3. Анализ результатов пентеста.
4. Формирование отчёта и рекомендаций.
При внешнем тестировании было смоделировано проникновение нарушителя, изначально не имеющего информации о назначении и структуре внешних сервисов, а также не обладающего легитимным доступом в информационной системе заказчика. Предполагаемые цели внешнего нарушителя, принятые в рамках тестирования:
получить доступ к конфиденциальной информации;
нарушить нормальный режим работы информационной системы заказчика.
Достижение любой из этих целей рассматривается как успешное проникновение.
В рамках пентеста внутренней инфраструктуры был реализован сценарий с нарушителем, имеющим легитимный доступ к системе.
Что было сделано
Внешнее тестирование
Чтобы выявить уязвимости во внешней инфраструктуре заказчика, в рамках кейса пентестеры примерили на себя роль злоумышленников:
просканировали внешние адреса заказчика;
выявили доступные сетевые порты;
идентифицировали сетевые сервисы.
Собрав информацию, специалисты выявили возможные направления атаки и попытались проникнуть во внешнюю инфраструктуру.
Чего удалось добиться условному «преступнику»:
получить доступ к файлам из системы документооборота;
получить сведения о внутренних IP-адресах компании (само по себе это не является похищением данных, однако такая информация весьма полезна, если планируется масштабная атака на инфраструктуру заказчика);
обнаружить ряд уязвимостей, связанных в том числе с криптографическими протоколами.
Пентестеры сталкивались с активным противодействием средств защиты информации, применяемых заказчиком.
По результатам проведенного тестирования уровень защищенности внешней инфраструктуры оценивается как «высокий».
Внутреннее тестирование
Вариант атаки изнутри нельзя исключать.
Для внутреннего пентеста мы получили доступ к сегменту внутренней сети.
В рамках тестирования специалистам удалось скомпрометировать пароли, учетные записи, выявить возможность получения доступа к рабочим ресурсам и системе видеонаблюдения, а также найти путь к получению привилегий уровня администратора – и это далеко не полный перечень обнаруженных уязвимостей.
Одной из главных проблем стала слабая парольная политика.
Уровень защищенности внутренней инфраструктуры оценен как «низкий», а значит, заказчику предстоит много работы именно в части защиты информации «изнутри».
Итоги тестирования
По результатам проведенного пентеста заказчик получил подробный отчет о выявленных уязвимостях, а также список узлов, которые были скомпрометированы. Для организации с подобными уязвимостями последствия в сфере ИБ могут оказаться весьма серьезными из-за ряда рисков. К примеру:
доступ неавторизованных пользователей к конфиденциальной информации;
фишинговые атаки на внутренних пользователей компании и ее клиентов;
успешные кибератаки на информационную инфраструктуру;
нарушение работы сетевых устройств и системы охранного видеонаблюдения.
Специалисты ООО «Рубикон» подготовили комплекс рекомендаций, выполняя которые заказчик сможет значительно повысить защищенность своей внешней и внутренней инфраструктуры, чтобы обезопасить свой бизнес и клиентов от компьютерных инцидентов.
Не стоит дожидаться, пока слабые места в системе защиты информации компании найдут злоумышленники. Лучше сработать на опережение – доверить проверку экспертам и заранее по максимуму заблокировать возможности проникновения как снаружи, так и изнутри.
Для компаний, которые работают в финансовом секторе или имеют значимые объекты КИИ пентесты - необходимость, для остальных - действенный способ проверки уровня защищенности ИТ-инфраструктуры. Проведение этой процедуры позволяет держать информационную безопасность компании на высоком уровне и предотвращать серьезные инциденты. Методы, подходы, инструменты и стратегии киберпреступников постоянно совершенствуются, а значит необходимо совершенствовать и системы защиты.
