Бизнес под прицелом: анализируем сценарии атак

В проектах по верификации компании в среднем обозначали шесть недопустимых событий, которые необходимо было реализовать. По мнению наших клиентов, наибольшую опасность для них представляют события, связанные с нарушением технологических процессов, процессов оказания услуг, кражей денежных средств и важной информации. Всего удалось подтвердить возможность реализации 71% обозначенных событий ⁴. Примечательно, что на атаку, которая приведет к реализации недопустимого события, злоумышленнику потребуется не больше месяца. Развитие атак на некоторые системы и вовсе может произойти за считанные дни. Так, в одной компании спустя всего два дня после проникновения в корпоративную сеть эксперты Positive Technologies продемонстрировали возможность кражи персональных данных миллионов пользователей. Несмотря на то, что финансовые организации считаются одними из наиболее защищенных, в рамках верификации недопустимых событий в каждом банке удалось выполнить действия, нарушающие бизнес-процессы и влияющие на качество оказываемых услуг. Например, был получен доступ к системе управления банкоматами с возможностью кражи денежных средств.

Шаг 1. Преодоление сетевого периметра

Путь злоумышленника из внешних сетей до целевых систем начинается с преодоления сетевого периметра. В среднем на проникновение во внутреннюю сеть компании уходит два дня.

Во время работ по анализу защищенности со стороны внешнего злоумышленника, проведенных во второй половине 2020 — первой половине 2021 года, экспертам Positive Technologies удалось преодолеть сетевой периметр в 93% проектов даже без использования методов социальной инженерии. Этот показатель уже многие годы остается на высоком уровне и подтверждает, что практически для любой корпоративной инфраструктуры преступники смогут подобрать ключ и проникнуть внутрь. В ходе таких работ эксперты Positive Technologies используют социотехнические техники редко, только в случае моделирования целенаправленных атак. Однако согласно нашей статистике киберугроз, атаки с использованием методов социальной инженерии в реальной жизни занимают первое место среди методов проникновения в корпоративную сеть и составляют 57% всех атак на организации.

Если же говорить про атаки, в которых производится взлом систем на сетевом периметре, то основным способом проникновения в корпоративную инфраструктуру является подбор учетных данных. И в первую очередь это связано с тем, что сотрудники любят устанавливать простые пароли, в том числе для учетных записей, используемых для администрирования систем.

Использование устаревших версий ПО и небезопасных протоколов позволяет злоумышленникам воспользоваться известными уязвимостями для преодоления сетевого периметра. Мы уже делились результатами инструментального анализа защищенности, где отмечали, какие уязвимости встречаются в сервисах компаний, доступных из сети Интернет.

По итогам работ по анализу защищенности со стороны внешнего злоумышленника в 60% проектов именно эксплуатация известных уязвимостей в ПО, а в 43% — в коде веб-приложений позволила нашим специалистам проникнуть в корпоративную сеть. Среди использованных уязвимостей были:

• «Удаленное выполнение произвольного кода» (CVE-2020-0688) в доступном из интернета сервере Microsoft Exchange;
• «Чтение произвольных файлов» (CVE-2020-3452) и «Разглашение информации» (CVE-2020-3259) в веб-интерфейсе управления устройствами Cisco ASA ⁵;
• «Удаленное выполнение произвольного кода» (CVE-2020-1147) в программном обеспечении Microsoft SharePoint;
• «Удаленное выполнение команд ОС» (CVE-2019-19781) в программном обеспечении Citrix NetScaler ⁶;
• «Удаленное выполнение произвольного кода» (CVE-2015-8562) в CMS Joomla.

В рамках одного проекта могло применяться одновременно несколько способов проникновения в локальную сеть из интернета. Среднее количество векторов проникновения в локальную сеть на один проект — 3, максимальное — 19.

Шаг 2. Получение максимальных привилегий

В 100% компаний внутренний злоумышленник может получить полный контроль над инфраструктурой, причем в 81% компаний существует простой способ получить привилегии администратора домена, который под силу даже низкоквалифицированному злоумышленнику. Стоит отметить, что эта тенденция сохраняется из года в год: в 2019 году получить полный контроль над инфраструктурой также удалось во всех компаниях. Привилегии администратора домена не всегда необходимы для реализации недопустимого события, однако их наличие существенно упрощает развитие атаки. Наше исследование показало, что максимальные привилегии в домене позволяют получить доступ к другим ключевым системам в 100% случаев.

Злоумышленник, обладающий учетными данными с привилегиями администратора домена, может получить множество других учетных данных для горизонтального перемещения по корпоративной сети и доступа к компьютерам и серверам. В большинстве компаний отсутствует сегментация сети по бизнес-процессам, что позволяет развивать несколько векторов атак вплоть до реализации нескольких недопустимых событий одновременно. Если же в компании выстроены доверительные отношения между доменами либо используются одни и те же учетные данные администраторов, то злоумышленник может получить контроль и над другими корпоративными доменами и продолжить развитие атаки в них. Максимальное число подконтрольных доменов внутри одной компании, полученное в рамках проведения работ по анализу защищенности со стороны внутреннего злоумышленника, — 10.

Мы уже рассказывали о сценариях развития атак внутри корпоративной инфраструктуры и давали рекомендации по выявлению злоумышленника на разных стадиях продвижения по сети, поэтому не будем подробно останавливаться на этом.

В ходе большинства атак на внутреннюю сеть злоумышленники предпочитают использовать архитектурные особенности ОС и протоколов аутентификации и выполнять другие легитимные действия, не отличающиеся от обычной деятельности пользователей или администраторов, чтобы остаться незамеченными.

В 41% компаний экспертами были использованы уязвимости в ПО ⁷, большинство из которых позволяло повысить привилегии в системе, например:

• критически опасная уязвимость в протоколе Netlogon (CVE-2020-1472), позволяющая повысить привилегии до администратора домена, вошедшая в список самых эксплуатируемых уязвимостей 2020 года по версии Американского агентства кибербезопасности CISA;
• уязвимость PrintNightmare в диспетчере очереди печати Windows (CVE-2021-34527), позволяющая удаленно выполнить произвольный код, а также просматривать, изменять или удалять данные, создавать новые учетные записи с пользовательскими правами.

Шаг 3. Получение доступа к ключевым системам

Прежде чем добраться до целевой системы, злоумышленнику приходится сделать несколько последовательных шагов. В одних компаниях необходимый доступ обеспечат привилегии администратора домена (и в этом случае контроллер домена будет ключевой системой на пути к реализации недопустимого события), в других цепочка атаки будет длиннее и потребует компрометации ряда других ключевых систем.

Получить доступ в изолированные сегменты сети, к ключевым компьютерам и серверам нарушителю зачастую помогают средства администрирования, виртуализации, защиты или мониторинга. Эти системы важны злоумышленникам еще и потому, что позволяют действовать незаметно от имени легитимных пользователей, не создавая дополнительные подозрительные подключения, и выполнять команды с высоким уровнем привилегий. Основная проблема заключается в том, что такие системы:

• хранят информацию об инфраструктуре (устройствах, IP-адресах, активных сервисах, используемом ПО);
• позволяют удаленно контролировать устройства (есть возможность удаленно выполнить код на агентах);
• имеют распределенную архитектуру (веб-интерфейс, базы данных, сервер, агенты);
• имеют предустановленные учетные записи и используют определенные порты для подключения;
• при отсутствии своевременных обновлений могут содержать уязвимости.

Шаги 4 и 5. Развитие атаки на целевые системы и реализация недопустимых событий

После того как злоумышленник проник в технологическую сеть и, к примеру, получил доступ к компьютеру оператора АСУ ТП, ему остается один шаг до целевой системы, где может быть реализовано недопустимое событие, например нарушение технологического процесса или вывод из строя оборудования. Примерами целевых систем, в зависимости от сферы деятельности компании, могут быть АСУ ТП, ГИС, система управления банкоматами, система межбанковских переводов SWIFT, 1С, интерфейс администрирования сайта, среда разработки и контроля версий программного кода и другие. В сфере промышленности и топливной энергетики в рамках проектов по верификации было подтверждено 87% недопустимых событий. Возможность выполнить этот последний шаг и довести атаку до конца отчасти связана с тем, что сотрудники не соблюдают политики информационной безопасности. У 9 из 10 инженеров на компьютере в открытом виде хранится документ с перечнем используемых систем, кратким описанием, IP-адресами и учетными данными для входа.

В банковской сфере в число ключевых систем входят рабочие станции сотрудников, обеспечивающих администрирование платежных систем и банкоматов. В рамках работ по верификации недопустимых событий в таких организациях экспертам удалось продемонстрировать доступ к целевым системам банка с привилегиями, позволяющими проводить банковские операции в двух из трех компаний, при этом выполнить действия, нарушающие бизнес-процессы банка и влияющие на качество оказываемых услуг, можно было в каждом банке. Всего в рамках проведения верификации за ограниченный условиями договора период времени экспертам Positive Technologies удалось реализовать 62% недопустимых событий в банках.

Если говорить о произвольной коммерческой организации, то для того чтобы украсть денежные средства, злоумышленнику необходимо добраться до счетов компании. И тогда к ключевым системам можно отнести компьютеры сотрудников, отвечающих за финансы. Если же преступника интересуют базы данных и бизнес-приложения компании, тогда его действия будут направлены на получение доступа к серверам и развитие атак в их адрес.

Из-за переплетения бизнес-процессов в компании шаги злоумышленника, направленные на, казалось бы, разные целевые системы, на самом деле происходят параллельно. Получение доступа к одной ключевой системе автоматически влечет за собой доступ к нескольким целевым. Так, злоумышленник, получивший максимальные привилегии в доменной инфраструктуре, сможет получить доступ и к компьютерам бухгалтеров, и к ноутбукам топ-руководителей, и к любым другим корпоративным системам. В рамках работ по верификации в одной из компаний доступ к системе «1С:Предприятие» был получен с компьютеров разработчиков ПО.

Как вовремя обнаружить и остановить атаку

Для того чтобы выстроить эффективную систему защиты компании, необходимо понимать, какие недопустимые события существуют. Спускаясь по пути бизнес-процесса от недопустимых событий к целевым и ключевым системам, можно отследить взаимосвязи и определить последовательность применяемых мер по защите. Чтобы затруднить продвижение злоумышленника внутри корпоративной сети по направлению к целевым системам, мы предлагаем ряд взаимозаменяемых и взаимодополняемых мер. Выбор тех или иных решений должен основываться на возможностях компании и ее инфраструктуре.

1. Разделение бизнес-процессов

Построение бизнес-процессов в компании — задача сложная и ресурсоемкая, как и изменение уже внедренных процессов. Но, как показало наше исследование, когда одна и та же ключевая система задействована сразу во множестве бизнес-процессов, злоумышленнику становится намного проще достигать своих целей, ведь ему достаточно скомпрометировать одну систему, чтобы затем добраться до нескольких целевых. Мы рекомендуем обратить особое внимание на те компоненты инфраструктуры, которые вовлечены одновременно в несколько бизнес-процессов, и проверить, нет ли среди них тех, через которые могут быть реализованы недопустимые для компании события. Отделение наиболее критичных для компании процессов от других может стать эффективным инструментом для защиты от реализации недопустимых событий наравне с другими мерами по защите.

2. Контроль безопасности конфигурации

Чтобы исключить возможность реализации недопустимого события в результате кибератаки, необходимо максимально усложнить злоумышленнику продвижение к цели. Чем сложнее будет цепочка атаки до целевой системы, тем меньше вероятность успешной компрометации и выше вероятность ошибки преступника. Мы рекомендуем особое внимание уделять защите точек проникновения в инфраструктуру из внешних сетей, минимизировать их количество, а также обеспечивать высокий уровень защищенности ключевых и целевых систем.

3. Усиленный мониторинг

Важным инструментом в защите является мониторинг событий ИБ не только для конечных точек, но и в сетевом трафике. Необходимо учитывать, что злоумышленник будет стремиться упростить свой вектор атаки, искать быстрые пути достижения цели, подстраиваться под бизнес-процессы для сокрытия своих действий, а значит он будет атаковать ключевые системы. Усиленный харденинг и расширенный мониторинг событий ИБ в точках проникновения, на ключевых и целевых системах — это эффективные способы защиты от реализации недопустимых событий. Расширенный мониторинг позволит повысить вероятность обнаружения преступника даже на тех системах, на которых по каким-либо причинам не были обеспечены усиленные меры защиты или не были установлены обновления. Особенно важно включать расширенный мониторинг событий ИБ на ключевых системах, задействованных одновременно в нескольких критически важных бизнес-процессах.

4. Удлинение цепочки атаки

Успеет ли служба ИБ принять меры по реагированию в случае выявления атаки зависит от того, насколько длинный путь необходимо проделать злоумышленнику для реализации недопустимых событий. Чем короче цепочка, тем меньше возможностей у защищающейся стороны. Чтобы остановить атаку вовремя, до того, как будет реализовано недопустимое событие, необходимо устранить все самые короткие пути злоумышленника от точек проникновения до целевой системы. Удлинение цепочки атаки происходит за счет корректной сегментации сетей, добавления ключевых систем на пути злоумышленника, отдаления точек проникновения от целевой системы на расстояние как минимум нескольких шагов атаки.

Инфраструктура каждой организации уникальна. Где-то в результате одной атаки злоумышленник может реализовать одновременно несколько недопустимых событий, а в каких-то компаниях для достижения цели атакующему придется постараться. Выбирая подходящий баланс предложенных мер, каждая организация может с разумными затратами своевременно обнаружить и остановить злоумышленника и тем самым исключить реализацию недопустимых для бизнеса событий.

1. В исследование вошли 45 проектов, для которых клиенты дали согласие на анализ результатов и публикацию в обезличенном виде.
2. Недопустимые события формулировались индивидуально для каждой организации с указанием значений недопустимого ущерба. В рамках исследования мы объединили такие события в перечисленные категории.
3. Оценка дана на основании проектов по верификации недопустимых событий.
4. Верификация недопустимых событий происходит согласно заранее обозначенным критериям. Работы производятся в реальной инфраструктуре компании и прекращаются за один шаг до наступления недопустимого события без нанесения вреда бизнес-процессам.
5. Уязвимости обнаружены экспертами Positive Technologies.
6. Уязвимость обнаружена экспертами Positive Technologies.
7. Так как работы по тестированию на проникновение и имитации целенаправленных кибератак проводятся методом «черного ящика», уязвимости ПО могут не использоваться в атаках при существовании более простого или более скрытного варианта компрометации, но при этом присутствовать во всех исследованных системах.