Итоги пентестов — 2022

Уровень защищенности от внешнего и внутреннего нарушителя в проанализированных организациях оказался преимущественно низким, то есть в организациях было подтверждено множество векторов атак, направленных на доступ к критически важным ресурсам, при этом для их использования потенциальному нарушителю не требуется высокая квалификация. В рамках внутреннего пентеста в 96% организаций уровень защищенности был оценен как низкий. При тестировании инфраструктуры с позиции внешнего нарушителя ситуация оказалась чуть лучше: уровень защищенности в 68% организаций низкий, а в 32% — ниже среднего.

Показателем высокого уровня информационной безопасности в организации служит применение подходов результативной безопасности. Первый шаг на пути к результативной безопасности — разработка перечня недопустимых событий, которые исключают нормальное функционирование организации; затем необходимо определить целевые и ключевые системы в ее инфраструктуре. Проведение пентеста с конкретными целями (объектами, доступ к которым необходимо продемонстрировать) позволяет проверить защищенность целевых и ключевых систем. Если в организации уже сформировалась зрелая система информационной безопасности и на ее поддержку выделяется достаточный бюджет, следующим шагом будет проведение работ по верификации недопустимых событий.

По умолчанию целью внешнего пентеста является получение доступа во внутреннюю сеть организации, а главная задача внутреннего пентеста — получить максимальные привилегии в инфраструктуре.

47% организаций в нашей выборке указали конкретные цели, которых нужно было достичь при проведении работ, причем 27% провели верификацию недопустимых событий. Например, компании, разрабатывающие ПО, обычно проверяют возможность проведения атак типа supply chain на их клиентов. В таком случае пентестеры будут искать пути к серверам разработчиков и исходному коду приложений для того, чтобы проверить и, в случае выявления, продемонстрировать возможность внедрения специального фрагмента кода в итоговую версию продукта. В случае успешного внедрения кода можно сделать вывод о том, что реальный злоумышленник таким же образом может внедрить деструктивный код в продукт компании.

Для того чтобы описать атаки, специалисты во всем мире используют матрицу Adversarial Tactics, Techniques & Common Knowledge (ATT&CK). Мы проанализировали векторы атак пентестеров и поместили 80 наиболее часто используемых техник на тепловую карту MITRE ATT&CK. Все техники и подтехники, отмеченные на карте, заслуживают внимания, ведь пентест — это имитация реальной атаки злоумышленников. Зная подходы киберпреступников, можно обеспечить превентивную защиту и уделить особое внимание мониторингу и реагированию на соответствующие инциденты. Отдельно мы бы хотели заострить внимание на технике exploit public-facing application. При тестировании на проникновение во внутреннюю сеть использование этой техники было успешным во всех проанализированных организациях, причем практически во всех случаях пентестеры эксплуатировали недостатки защиты веб-приложений. Реальные злоумышленники применяют схожий подход, поэтому мы советуем обеспечить надежную защиту веб-приложений.

Тепловая карта MITRE ATT&CK

Скачать тепловую карту

Итоги внешнего тестирования на проникновение

По результатам нашего исследования выяснилось, что в 96% организаций потенциальный злоумышленник может преодолеть сетевой периметр и проникнуть во внутреннюю сеть. Оставшиеся 4% — это одна организация из банковского сектора, где в ходе работ удалось получить доступ в демилитаризованную зону (ДМЗ), то есть в буферную зону между внешней и внутренней сетью. В этой организации неоднократно осуществлялись пентесты и была проведена тщательная работа над ошибками.

Рисунок 5. Результаты внешних пентестов (доли организаций)

В 96% организаций был получен доступ во внутреннюю сеть.

В среднем для проникновения во внутреннюю сеть требуется 5 дней и 4 часа, а самая быстрая атака была проведена за 1 час.

В 57% организаций существовал вектор проникновения, состоявший не более чем из двух шагов Шаг атаки – это действие нарушителя, которое позволяет ему получить информацию или привилегии, необходимые для дальнейшего развития атаки. , но в среднем для этого потребовалось бы четыре шага.

Рисунок 6. Минимальное число шагов для проникновения в локальную сеть (доли организаций)

Векторы низкой сложности были обнаружены в 53% организаций, то есть провести успешную атаку мог бы даже злоумышленник с низким уровнем подготовки, имеющий в своем распоряжении только публичные инструменты.

Рисунок 7. Минимальная сложность вектора проникновения во внутреннюю сеть (доли организаций)

Методы проникновения во внутреннюю сеть

Основными точками входа во внутреннюю сеть стали уязвимости и недостатки конфигурации веб-приложений: такие векторы были выявлены во всех без исключения организациях (доступ к ДМЗ также был получен за счет недостатков защиты веб-приложения).

Рисунок 8. Недостатки защиты, которые позволили получить доступ в ЛВС (доли организаций)

Всего за 1 час пентестерам удалось обнаружить уязвимость, которая легла в вектор атаки, направленный на получение доступа в ЛВС. Эта атака стала самой быстрой среди всех атак в проектах по тестированию на проникновение в 2021–2022 годах.

Рисунок 9. Успешные атаки при проведении внешнего пентеста (доли организаций)

Легитимные действия сами по себе не являются вредоносными или деструктивными: обычные пользователи и системные администраторы совершают эти действия в повседневной жизни и в рамках своих обязанностей, однако они могут являться частью вектора атаки. Выделить среди подобных событий те, что были инициированы преступниками, — непростая задача для специалиста по информационной безопасности. Например, к легитимным действиям относятся: смена паролей пользователей, удаленное подключение к ресурсам системы, сбор информации о сети, домене и пользователях, создание дампа памяти процесса lsass.exe, загрузка файла на сервер с использованием встроенных функций приложения.

Рисунок 10. Легитимные действия, которые позволяли развить атаку в ходе внешнего пентеста

Чтобы выявить среди всех легитимных действий те, которые были инициированы нарушителем, следует внедрить обязательный мониторинг активности пользователей, особенно пользователей с повышенными привилегиями, например системных администраторов.

Также для защиты критически важных ресурсов следует внедрить двухфакторную аутентификацию. Этот шаг значительно усложнит злоумышленнику продвижение по сети и сократит возможности влияния на целевые и ключевые системы организации.

Опасности в веб-приложениях

В каждой исследованной организации был обнаружен хотя бы один вектор атаки, связанный с эксплуатацией уязвимостей или недостатков конфигурации веб-приложений (техника exploit public-facing application). Самым распространенным из таких векторов оказалась эксплуатация уязвимостей в CMS Bitrix: эти уязвимости стали отправной точкой для получения доступа во внутренние сети десяти организаций. Один из типовых векторов атаки приведен на рис. 11.

Компания 1С-Битрикс своевременно выпускает обновления безопасности, например для CVE-2022-27228. Рекомендуем регулярно проверять наличие новых обновлений безопасности и не откладывать их установку.

С рекомендациями по организации процесса управления уязвимостями можно ознакомиться в этой статье.

Второй по распространенности точкой проникновения были уязвимости в Microsoft Exchange. Они были использованы в пяти организациях. Замыкает тройку лидеров ПО WebTutor.

Рисунок 12. Уязвимое программное обеспечение, послужившее точкой входа в организацию (доли организаций)

Проверяйте наличие обновлений и своевременно устанавливайте их.

Среди всех векторов проникновения в ЛВС, включавших в себя уязвимости в веб-приложениях, 14% векторов эксплуатировали уязвимости нулевого дня. Всего при проведении внешних пентестов было выявлено четыре уязвимости нулевого дня.

Уязвимости нулевого дня в CMS Bitrix были использованы в 4 организациях. Другие уязвимости нулевого дня были обнаружены в ПО для проведения видеоконференций и CRM-системе. Positive Technologies придерживается принципов ответственного разглашения информации об уязвимостях. Обо всех выявленных уязвимостях отправляются уведомления производителю ПО.

Чаще всего критически опасные уязвимости были связаны с недостаточной строгостью парольной политики и отсутствием обновлений ПО. Критические уязвимости в коде веб-приложений были выявлены в 53% организаций.

Рисунок 13. Максимальный уровень опасности уязвимостей, выявленных во время внешнего пентеста (доли организаций)

Угрозы незащищенного периметра

В 96% организаций существовала угроза атак на ресурсы внутренней сети, а в 9 из 10 организаций потенциальный злоумышленник мог получить несанкционированный доступ к конфиденциальной информации.

Рисунок 14. Распространенные угрозы безопасности, выявленные в рамках внешних пентестов (доли организаций)

Проводите анализ защищенности веб-приложений, чтобы защитить периметр организации.

Среди конфиденциальной информации, к которой злоумышленники могли бы получить доступ, были сведения, составляющие коммерческую тайну. Злоумышленники могут использовать эту информацию, например для того чтобы потребовать у компании-жертвы выкуп за неразглашение или продать ее конкурентам жертвы.

Помимо доступа злоумышленника во внутреннюю сеть, могут возникнуть и другие негативные последствия, например дефейс веб-приложения, изменение информации на официальных ресурсах или размещение вредоносного кода для атаки на клиентов жертвы, получение учетных данных сотрудников и доступ к корпоративным ресурсам и почте с последующей рассылкой спама и фишинга.

Краткие выводы по итогам внешних пентестов

Проанализировав полученные результаты, мы рекомендуем обратить внимание на парольную политику и безопасность веб-приложений. Именно эти два фактора позволили получить доступ во внутреннюю сеть множества организаций. С детальными рекомендациями по настройке парольной политики вы можете ознакомиться в главе «Проблемы в парольной политике». Для того чтобы обеспечить безопасность веб-приложений, мы рекомендуем регулярно проводить анализ защищенности, внедрить процесс управления уязвимостями и использовать межсетевые экраны уровня приложений для защиты от атак.

Итоги внутреннего тестирования на проникновение

Главная цель внутреннего тестирования на проникновение — оценить уровень защищенности ИТ-инфраструктуры от атак со стороны внутреннего нарушителя, имеющего возможность подключиться к локальной сети организации.

В 100% исследованных организаций удалось получить контроль над доменом.

Для получения максимальных привилегий в домене обычно требуется 5 дней, а самый короткий вектор атаки удалось реализовать всего за 1 час. В среднем вектор получения максимальных привилегий в домене состоял из 9 шагов.

Для реализации недопустимого для бизнеса события в среднем требовалось 10 дней.

Рисунок 15. Минимальное число шагов для получения максимальных привилегий в домене (доли организаций)

В среднем в одной организации было по два вектора получения максимальных привилегий в домене: высокой, средней и низкой сложности. В одной из исследованных организаций было выявлено пять векторов атак низкой сложности, направленных на получение максимальных привилегий в домене.

Рисунок 16. Минимальная сложность векторов атаки, направленных на получение максимальных привилегий в домене (доли организаций)

В 57% изученных организаций существовал простой способ получения контроля над инфраструктурой.

Низкая сложность характеризуется тем, что в этом случае нарушитель обладает лишь базовыми знаниями о проведении атак на информационные системы и может использовать общедоступные эксплойты или автоматизированное ПО для проведения атак.

Сложность вектора атаки определяется требуемой квалификацией нарушителя и количеством действий, которые необходимо совершить для достижения цели.

В одной компании пентестерам удалось скомпрометировать учетную запись администратора домена еще на этапе внешнего пентеста. Парольная политика оказалась слабым местом не только в этой компании: в 85% организаций были выявлены уязвимости критического и высокого уровня опасности, связанные с недостатками парольной политики. В 60% организаций обнаружены уязвимости критического и высокого уровня опасности, связанные с использованием устаревших версий ПО.

Рисунок 17. Максимальный уровень риска уязвимостей, выявленных во время внутреннего пентеста (доли организаций)

В одной из компаний для проникновения в ЛВС и получения максимальных привилегий в домене внешний злоумышленник мог бы, как в примере на рис. 18, воспользоваться доступной службой Autodiscover в ПО Microsoft Exchange для сбора информации об организации и последующего подбора учетных данных. Получив доступ к серверу во внутренней сети, он мог получить привилегии администратора домена буквально в 2 шага.

Мы рекомендуем внедрить строгую парольную политику, а также использовать двухфакторную аутентификацию для доступа к критически важным ресурсам.

В 93% организаций была произведена репликация учетной записи krbtgt и таким образом был получен NT-хеш пароля пользователя krbtgt. Обладая такими данными, в реальности злоумышленник может провести атаку типа golden ticket и таким образом получить доступ с привилегиями любого уровня. В рамках нашего исследования выяснилось, что потенциальный злоумышленник мог провести атаку типа golden ticket практически во всех организациях. Успешная атака позволяет получить доступ к любым ресурсам домена с привилегиями любого уровня. Однако в связи с тем, что пентест выполняется в строгих рамках, заранее оговоренных с представителями организации, атака не проводилась.

Если учетная запись krbtgt была скомпрометирована, необходимо произвести двукратную смену пароля для этой учетной записи, а также провести качественное расследование данного инцидента. Если невозможно с точностью определить, присутствует ли злоумышленник в вашей системе на момент проверки, советуем переустановить ОС на компьютерах, которые могли быть скомпрометированы.

Действия пентестеров во внутренней сети

Во всех тестируемых организациях пентестеры проводили атаки, направленные на подбор учетных данных (техника brute force), для того чтобы продвигаться по внутренней сети организации и подключаться к различным ресурсам. В качестве основных подтехник использовались password spraying (49%) и password guessing (33%), чуть реже использовалась подтехника password cracking (16%).

Рисунок 19. Соотношение использованных пентестерами подтехник техники credential access: brute force

Password spraying: атака, направленная на подбор пароля с помощью ранее подготовленного списка популярных словарных паролей и списка идентификаторов пользователей. Злоумышленник берет один пароль и начинает подбирать для него идентификатор. Такой метод помогает избежать блокировки учетной записи.

Password guessing: атака, направленная на перебор паролей к учетной записи. Для облегчения задачи могут использоваться словари паролей, ранее скомпрометированные пароли, сведения о парольной политике организации.

Password cracking: атака, направленная на восстановление пароля по имеющейся хеш-сумме или другим полученным материалам, например если для хранения паролей используется обратимое кодирование.

Помимо подбора, пентестеры собирали учетные данные из обычных файлов пользователей (79%), реплицировали данные из Active Directory (93%), находили их в дампе памяти процесса lsass.exe (68%) и получали в рамках атаки Kerberoasting (36%).

Рисунок 20. Способы получения учетных данных (доли организаций)

Один из примеров атаки Kerberoasting представлен на рис. 21. В рамках этого вектора были задействованы уязвимости, связанные с подменой имени в Active Directory (CVE-2021-42278) и подделкой запросов к службе KDC (CVE-2021-42287). Обе эти уязвимости были направлены на повышение привилегий.

Для продвижения по внутренней сети и подключения к ресурсам чаще всего применялись сценарии атак с использованием похищенных аутентификационных данных pass the hash (93%) и pass the ticket (39%), подключения к общим сетевым ресурсам (71%), протоколам удаленного доступа RDP (61%) и SSH (57%).

Рисунок 22. Основные техники, использованные для продвижения по внутренней сети (доли организаций)

Внедрите системы мониторинга событий, чтобы вовремя отслеживать атаки.

Для того чтобы повысить привилегии в инфраструктуре, потенциальные злоумышленники обычно могут воспользоваться скомпрометированными локальными (68%) или доменными (93%) учетными записями пользователей или уязвимостями ПО (89%). В 32% организаций использовались манипуляции с токенами доступа, например злоумышленник мог бы дублировать токен доступа для существующего пользователя и действовать от его лица.

Рисунок 23. Основные техники и подтехники, использованные пентестерами для повышения привилегий (доли организаций)

Если рассматривать успешные атаки в целом, то на первом месте оказались подбор учетных данных и легитимные действия: эти способы применялись в каждой организации.

Рисунок 24. Успешные атаки в рамках внутренних пентестов (доли организаций)

Среди легитимных действий чаще всего встречались действия, направленные на сбор данных об узлах сети и об уязвимых версиях ПО (доля таких действий среди всех атак составила 36%). На втором месте загрузка файлов (17%); под файлами мы подразумеваем программное обеспечение, которое требовалось пентестерам для развития атаки. На третьем месте удаленное подключение к ресурсам организации (12%). Для этих целей пентестеры зачастую использовали общедоступные протоколы, например RDP, SSH.

Рисунок 25. Легитимные действия в системе в рамках внутренних пентестов (доли среди всех атак)

Если рассматривать атаки с точки зрения матрицы MITRE ATT&CK, то первая пятерка техник связана с подбором учетных данных и их последующим использованием, а также с изучением файлов и директорий на серверах организаций. Именно они встречались во всех организациях.

Угрозы во внутренней сети и недопустимые последствия атак

При проведении внутреннего пентеста в 100% организаций была доказана возможность получить полный контроль над ресурсами домена. Получить доступ к конфиденциальной информации оказалось возможно в 68% организаций. В качестве конфиденциальной информации выступали, например, персональные данные клиентов, базы знаний.

Рисунок 26. Топ-3 угроз безопасности, обнаруженных при проведении внутренних пентестов (доли организаций)

Для организаций — поставщиков программного обеспечения особенно актуальной оказалась угроза, связанная с проведением атаки типа supply chain. В результате такой атаки устройства клиентов могут быть инфицированы вредоносным программным обеспечением или их конфиденциальная информация может быть украдена злоумышленниками.

Как мы уже говорили ранее, в 47% организаций были поставлены конкретные цели пентеста, а в 27% из них была проведена верификация недопустимых событий. Кража критически важной информации, доступ к учетным записям топ-менеджеров организаций, хищение денежных средств, остановка ключевых бизнес-процессов — все это примеры недопустимых событий, которые чаще всего фигурировали в отчетах.

Интересный факт: нарушить работу государственной информационной системы можно за 6 дней, а похитить денежные средства из финансового учреждения можно меньше чем за месяц. В общей сложности вероятность реализации была доказана для 42 из 47 обозначенных недопустимых событий. В среднем для того, чтобы реализовать недопустимое событие, злоумышленникам потребовалось бы 10 дней. За две недели злоумышленникам удалось бы реализовать 75% событий.

Рисунок 27. Основные виды ущерба в случае реализации недопустимых для организаций событий (доли среди всех верифицированных событий))

В основном все эти недопустимые события могли привести к ущербу для репутации (61%) и регуляторным санкциям (57%), а также к финансовым потерям (39%). Стоит отметить, что одно событие может повлиять на разные аспекты деятельности организации. Например, в случае внедрения вредоносного кода в продукт компании жертва может столкнуться с репутационными последствиями и недополученной прибылью из-за ухода клиентов и выплаты неустоек и штрафов.

Порой для реализации недопустимого события потенциальным злоумышленникам даже не требовалось получать максимальные привилегии в домене жертвы. Пример такой атаки вы видите на рис. 28.

Вся атака в этом случае была проведена в два простых шага: 1) анализ веб-приложения организации, 2) использование уязвимости и загрузка веб-интерпретатора командной строки.

Краткие выводы по итогам внутренних пентестов

При проведении внутреннего пентеста во всех организациях удалось получить максимальные привилегии в домене, а верификация недопустимых событий показывает, что в течение месяца реальный злоумышленник может реализовать 89% событий, которые окажут серьезное негативное влияние на деятельность организации.

Чаще всего в ходе исследований эксперты использовали техники, связанные с подбором и последующим использованием учетных данных сотрудников, а также техники, направленные на исследование инфраструктуры и привилегий пользователей, например account discovery, permission groups discovery, domain trust discovery. Эти техники позволяли им «бесшумно» продвигаться по инфраструктуре. Обратите на них особое внимание. Обнаружить подобные атаки можно с помощью систем мониторинга событий. Вовремя выявив аномалию, специалисты выиграли бы время и успели предпринять действия для недопущения атаки.

Однако до внедрения систем мониторинга и выстраивания процесса управления уязвимостями следует обратить внимание на парольную политику: в 100% организаций доменные учетные записи сотрудников были скомпрометированы.

Также обращаем внимание на то, что укреплять защиту и обеспечивать мониторинг необходимо не только для целевых систем Информационная система, воздействие на которую может привести к недопустимому для бизнеса событию. , но и для ключевых Информационная система, взлом которой существенно упростит последующий сценарий атаки для компрометации целевых систем. , ведь они являются промежуточным звеном в цепочке реализации недопустимого для организации события.

Проблемы в парольной политике

Скачать инфографику по парольной политике

Если обобщить существующие проблемы в парольных политиках проанализированных организаций, то можно выделить 4 основные проблемы:

• простые и словарные пароли;
• короткие пароли;
• переиспользование паролей;
• отсутствие двухфакторной аутентификации.

Для решения этих проблем мы предлагаем:

• Установить требования к минимальной сложности пароля и исключите использование словарных комбинаций.
• Минимальная длина пароля — 10 символов для обычных пользователей и 12 — для привилегированных.
• Используйте уникальные пароли для различных учетных записей и ресурсов, а также исключите возможность повторения как минимум трех последних паролей.
• Перейдите на двухфакторную аутентификацию или используйте технологию SSO (single sign-on).

Заключение

Тестирование на проникновение традиционно показывает достаточно низкий уровень защищенности организаций. Кибератака может привести к негативным последствиям для каждой организации, где проводились исследования. В то же время мы отмечаем, что организации, которые регулярно проводят проверки защищенности и качественную работу над ошибками, в итоге выходят на более высокий уровень. Мы рекомендуем обратить особое внимание на распространенные недостатки защиты и техники атак, указанные в данном отчете, и в первую очередь обеспечить безопасность целевых и ключевых систем инфраструктуры. Регулярно проверяйте эффективность внедренных мер защиты, а также готовность службы ИБ выявлять и останавливать атаки на ранних этапах — до наступления недопустимых последствий.