Как цепочка не критичных уязвимостей открывает путь к производственным системам — и почему периметровая безопасность в промышленности требует переосмысления
Исходные условия
Крупный угледобывающий холдинг. Входит в топ-10 производителей отрасли по объему добычи. Штат — свыше 1500 сотрудников. Внешний периметр — более 200 IP-адресов: корпоративные веб-ресурсы, VPN-концентраторы, партнёрские порталы, вспомогательные сервисы.
Функционирующая служба информационной безопасности. Развернутые средства защиты. Задокументированные политики.
И тем не менее руководство задало правильный вопрос:
«Что произойдет, если против нас начнет работать реальная APT-группировка? Устоит ли наша инфраструктура?»
APT (Advanced Persistent Threat) — это не оппортунистические атаки с использованием публичных эксплойтов. Это методичная, многоэтапная операция с чётко определённой целью, проводимая профессиональными командами, способными месяцами удерживать незаметное присутствие в скомпрометированной среде. Именно их тактики, техники и процедуры (TTP) нам предстояло воспроизвести.
Цели тестирования
Перед командой ITG Security были поставлены четыре задачи:
- Полное картографирование внешнего периметра — идентификация всех активов, доступных атакующему из интернета: веб-приложения, точки удаленного доступа, партнёрские интеграции, забытые тестовые стенды.
- Верификация возможности пробива периметра — насколько реалистичен переход из публичного контура во внутреннюю корпоративную сеть?
- Оценка глубины компрометации при получении первоначального доступа — достижимы ли привилегированные учетные записи, критичные бизнес-системы, данные ограниченного распространения?
- Построение сквозной цепочки атаки — не статичный реестр уязвимостей, а воспроизводимая пошаговая атака от первоначального вектора до целевых систем. Материал, который позволяет принимать обоснованные решения о приоритетах ИБ-инвестиций.
Методология: три фазы работы
Фаза 1. Разведка и инвентаризация периметра
Отправная точка любой операции красной команды — построить такую же картину атакуемой инфраструктуры, которую видит реальный противник без инсайдерской информации, исключительно по открытым и пассивным источникам с последующим активным сканированием.
Из 200+ IP-адресов внешнего периметра значительная часть представляла собой ожидаемые активы. Однако в процессе инвентаризации был идентифицирован хост, который не должен был присутствовать в публичном пространстве адресации. Сервер, задействованный во внутренней инфраструктурной коммуникации, оказался доступен извне — без каких-либо признаков намеренного решения об этом.
Это и стало точкой входа.
Фаза 2. Эксплуатация периметра и проникновение во внутренний контур
В стороннем программном обеспечении, развернутом на одном из публичных веб-сервисов, была обнаружена цепочка уязвимостей. Принципиальный момент, каждая из них в изоляции получала бы низкий или средний CVSS-рейтинг и, вероятно, не привлекла бы приоритетного внимания при классическом сканировании. В совокупности они обеспечивали возможность извлечения чувствительных данных из защищенного приложения.
Полученные учетные данные в сочетании с выявленными недостатками сетевой конфигурации позволили смоделировать переход из демилитаризованной зоны во внутреннюю корпоративную сеть. Вектор компрометации: ошибки разграничения доступа, наложенные на недостатки реализации аутентификации.
Фаза 3. Боковое перемещение и достижение целевых систем
После получения первоначального плацдарма во внутренней сети был проведен анализ возможностей горизонтального перемещения. Результаты оказались показательными:
- Сегментация сети не обеспечивала реального контроля над боковым перемещением — атакующий мог свободно перемещаться между сегментами, которые де-юре считались изолированными
- Сервисные учетные записи располагали избыточными привилегиями, что делало их приоритетными целями для захвата
- Доступ подрядных организаций не был ограничен в соответствии с принципом минимальных привилегий
- Путь к системам производственной логистики — существовал и не требовал применения сложных техник для его прохождения
Финальная точка маршрута: системы, оказывающие прямое влияние на производственные процессы.
Результаты для заказчика
Итогом работы стала не таблица CVE с CVSS-баллами, а полная реконструкция цепочки действий злоумышленника — от первого взаимодействия с публичным веб-ресурсом до получения доступа к операторским интерфейсам в цеху.
Руководство получило операционно значимую информацию:
- Полный перечень активов, экспонированных во внешний периметр, включая ресурсы, о существовании которых служба безопасности не располагала актуальными сведениями
- Конкретный, воспроизводимый путь атаки от публичного контура до производственной инфраструктуры
- Идентификацию критичных точек конвергенции IT и OT — «мостиков», через которые компрометация корпоративной сети транслируется в операционные технологии
- Приоритизированную дорожную карту ремедиации с фокусом на максимальное снижение риска при оптимальных инвестициях
Почему промышленность — особый случай
В финансовом секторе успешная атака означает компрометацию данных и финансовые потери. В промышленности та же атака может означать остановку производственных линий, аварийные ситуации и физический ущерб инфраструктуре.
Угледобыча, нефтепереработка, металлургия, химическое производство — за корпоративной IT-сетью каждого такого предприятия скрывается OT-инфраструктура АСУ ТП, SCADA-системы, контроллеры конвейеров, вентиляции, логистических процессов. Конвергенция IT и OT, продиктованная требованиями цифровизации, расширяет поверхность атаки и одновременно повышает ставки.
Именно промышленные предприятия сегодня занимают приоритетное место в целевом списке зрелых APT-группировок. Это подтверждается как глобальной статистикой инцидентов, так и аналитикой отраслевых threat intelligence провайдеров.
Red team тестирование позволяет идентифицировать и устранить эти векторы до того, как ими воспользуется реальный противник.
Вывод
Внешний пентест промышленного предприятия — это не аудит веб-приложений и не проверка сетевого периметра в классическом понимании.
Это ответ на вопрос: может ли кто-то снаружи нажать кнопку «стоп» на вашем производстве?
В описанном кейсе, такое могло произойти. После завершения работ и реализации рекомендаций — нет.
