Об исследовании
Уровень защищенности информационной инфраструктуры в организации нуждается в оценке со стороны опытных и квалифицированных специалистов. Прежде всего это необходимо для того, чтобы понять, сможет ли внешний или внутренний злоумышленник провести успешную атаку и реализовать недопустимое для бизнеса событие. Эта задача решается с помощью тестирования на проникновение.
Тестирование на проникновение, или пентест, — это работа по оценке защищенности информационной системы, которая подразумевает под собой моделирование реальных атак злоумышленников и подтверждение возможности нанести ущерб (финансовый, репутационный, или другой) организации во время настоящей атаки. Результаты проведения работ такого рода отражают текущие уязвимости и недостатки инфраструктуры и являются ключевыми для дальнейшего выстраивания системы защиты и организации мониторинга и реагирования на инциденты. Необходимо также уточнить, что поиск максимально возможного количества уязвимостей не является задачей классического тестирования на проникновения, потому что цель этой работы состоит в оценке возможности проникновения в систему или повышения привилегий с учетом выстроенной системы защиты информации, а для этого может быть достаточно одной уязвимости. Однако существует и анализ защищенности — другой вид работы по оценке защищенности, который решает задачу выявления максимального количества существующих недочетов, допущенных в ходе проектирования, разработки и эксплуатации систем или приложений.
Всего было проведено 28 проектов по тестированию на проникновение, 39% протестированных организаций входят в рейтинг RAEX-600.
Рисунок 1. Соотношение видов пентеста
Доли проектов
По умолчанию целью внешнего пентеста является получение доступа во внутреннюю сеть организации, а главная задача внутреннего пентеста — получить максимальные привилегии в инфраструктуре.
Рисунок 2. Распределение протестированных организаций по отраслям
Доли проектов
В выборку для исследования вошли те проекты, в которых на действия пентестеров не накладывались существенные ограничения и границы работ были достаточны для получения объективной оценки уровня защищенности. Отметим, что учитывались только те организации, которые разрешили использовать полученные обезличенные данные.
В итоговые отчеты о проведении работ входят уязвимости, которые были обнаружены при поиске векторов атак и использованы для достижения целей. В каждой главе вы можете найти соответствующие рекомендации по безопасности.
Ключевые результаты
В 96% проектов организации оказались не защищены от проникновения злоумышленников в их внутреннюю сеть. Лишь одна из них оказалась надежно защищена: исследователям удалось получить доступ только к демилитаризованной зоне (ДМЗ). Такой результат был достигнут благодаря ранее проведенным пентестам и качественной работе по устранению уязвимых мест.
Самое быстрое проникновение в ЛВС организации было осуществлено в первый день с момента начала работ. В среднем для специалистов нужно 10 дней, чтобы получить доступ в ЛВС.
Из организаций, в которых удалось провести внутреннее тестирование на проникновение, 100% не защищены от установления внутренним злоумышленником полного контроля над ИТ-инфраструктурой.
В 63% организаций злоумышленник с низкой квалификацией сможет проникнуть в ЛВС извне. Такую же долю составляют организации, в которых полный контроль над ИТ-инфраструктурой может получить внутренний низкоквалифицированный нарушитель.
В одном из проектов специалисты добились получения максимальных привилегий в домене Active Directory спустя 6,5 часов, в остальных этот показатель варьируется от 1 до 7 дней.
В 64% проектов злоумышленник мог бы получить несанкционированный доступ к важной конфиденциальной информации. В некоторых случаях эта информация являлась интеллектуальной собственностью или служебной перепиской сотрудников.
В каждом проекте удалось подтвердить возможность реализации как минимум одного недопустимого события, зачастую для этого не требовалось получения полного контроля над ИТ-инфраструктурой. Например, в организации, где специалисты не смогли получить доступ в ЛВС, была верифицирована возможность несанкционированного доступа к базе данных (БД) с персональными данными более 460 тысяч пользователей.
В 21% проектах были обнаружены следы компрометации, в том числе работающие веб-интерпретаторы командной строки или изменения в конфигурационных файлах. Это значит, что реальные злоумышленники ранее скомпрометировали ИТ-инфраструктуру организации.
В 70% проектах по внешнему тестированию были найдены критически опасные уязвимости, связанные с использованием устаревшего ПО, в 19% проектах были обнаружены уязвимости, связанные с небезопасным кодом веб-приложений. Столько же организаций были подвержены критически опасным уязвимостям парольной политики. В 11% было подтверждено наличие критически опасных уязвимостей из-за некорректной конфигурации используемого ПО.
ДМЗ — буферная зона между интернетом и внутренней сетью.
Уровень защищенности организаций
Уровень защищенности от внешнего и внутреннего нарушителя в проанализированных организациях оказался преимущественно низким. Это означает, что в результате работ было подтверждено множество векторов атак, которые направлены на получение доступа к критически важным ресурсам компании и для использования которых не требуется высокая квалификация атакующих. В рамках внутреннего пентеста в 81% организаций уровень защищенности был оценен как низкий. При тестировании инфраструктуры с позиции внешнего нарушителя ситуация оказалась чуть лучше: уровень защищенности в 74% организаций низкий, а еще в 15% — ниже среднего.
Рисунок 3. Уровень защищенности информационных систем по результатам пентестов
Доли проектов
Общий уровень защищенности — это экспертная оценка, учитывающая количество выявленных векторов атак, в том числе потенциальных, уровень важности ресурсов, к которым был получен доступ, а также уровень сложности вектора атаки и необходимую квалификацию нарушителя.
Тестирование на проникновение — один из этапов обеспечения результативной кибербезопасности
Показателем высокого уровня зрелости и защищенности организации служит применение подходов результативной кибербезопасности. А тестирование на проникновение — один из видов работ по оценке защищенности информационных систем. Всего их может быть три: анализ защищенности, тестирование на проникновение и аудит информационной безопасности.
Разработка перечня недопустимых событий и сценариев их реализации, а также определение целевых систем, взлом которых непосредственно повлечет недопустимые последствия, — первый шаг на пути к результативной кибербезопасности. На втором шаге необходимо выявить ключевые системы и потенциальные точки проникновения — это позволит «приземлить» недопустимые события на инфраструктуру организации и понять, над чем злоумышленнику нужно получить контроль, чтобы реализовать недопустимое событие.
После выполнения этих шагов можно первично проверить систему на устойчивость к проникновению во внутреннюю сеть и получению полного контроля над внутренней инфраструктурой — на эти вопросы можно ответить с помощью проведения классического тестирования на проникновение или непрерывного тестирования на проникновение. Разница этих работ в том, что непрерывное идет целый год в несколько этапов, и в том, что в итоге формируется несколько отчетов по оценке защищенности от внешнего и внутреннего нарушителя (по каждому из них). Во время этих работ возможно верифицировать реализацию недопустимых событий.
В 75% проектов цели проведения работ были определены по умолчанию. В оставшейся четверти, заказчики определили их самостоятельно и наши исследователи верифицировали 90% таких недопустимых событий.
Рисунок 4. Доля верифицированных недопустимых событий, обозначенных заказчиками дополнительно
Популярные тактики и техники по матрице MITRE ATT&CK
Если рассматривать действия пентестеров с точки зрения матрицы MITRE ATT&CK, то можно получить следующую таблицу для 20 самых популярных тактик, техник и подтехник, которые использовались при проведении анализа защищенности и верификации недопустимых событий.
Статистика учитывает не все действия хакеров, а только те, которые относятся к успешным векторам.
Тактика | Техника | Подтехника | Доля проектов (%) |
Initial Access | Exploit Public-Facing Application | 79 | |
Execution | Command and Scripting Interpreter | Unix Shell | 61 |
Discovery | System Network Configuration Discovery | 54 | |
Persistence | Server Software Component | Web Shell | 50 |
Discovery | System Information Discovery | 50 | |
Execution | Command and Scripting Interpreter | Windows Command Shell | 46 |
Initial Access | Valid Accounts | Domain Accounts | 46 |
Discovery | File and Directory Discovery | 43 | |
Discovery | System Owner/User Discovery | 43 | |
Credential Access | Brute Force | Password Guessing | 39 |
Credential Access | Brute Force | Password Spraying | 39 |
Discovery | Remote System Discovery | 36 | |
Credential Access | OS Credential Dumping | DCSync | 32 |
Privilege Escalation | Exploitation for Privilege Escalation | 32 | |
Discovery | Account Discovery | Email Account | 32 |
Discovery | Account Discovery | Domain Account | 32 |
Discovery | Permission Groups Discovery | Domain Groups | 29 |
Initial Access | External Remote Services | 29 | |
Initial Access | Valid Accounts | Local Accounts | 29 |
Privilege Escalation | Valid Accounts | Domain Accounts | 29 |
Итоги внешнего тестирования на проникновение
Результаты исследования отчетов по тестированию на проникновение показали, что уязвимыми к внешнему нарушителю оказались 96% исследуемых ИТ-инфраструктур. В оставшихся 4% удалось получить доступ только в ДМЗ. В этих организациях неоднократно осуществлялись пентесты и была проведена тщательная работа над ошибками.
Рисунок 5. Результаты внешних пентестов
Доли проектов
Было установлено, что 27% векторов проникновения в ЛВС состояли из одного или двух шагов, однако в среднем требуется четыре шага.
Шаг атаки — это действие нарушителя, которое позволяет ему получить информацию или привилегии, необходимые для дальнейшего развития атаки.
Рисунок 6. Доли векторов, в которых удалось установить доступ в ЛВС за определенное количество шагов
Так как в одном проекте могли быть найдены несколько векторов доступа в ЛВС, то стоит рассмотреть каждую группу векторов для отдельного проекта и выбрать из нее тот, который содержит минимальное количество шагов.
Рисунок 7. Доли проектов, в которых можно было получить доступ в сеть за определенное минимальное число шагов
42% протестированных систем оказались уязвимы к доступу в ЛВС за один или два шага. Среднее значение — четыре шага.
Векторы низкой сложности были обнаружены в 58% проектов. Вектор низкой сложности — это последовательность действий, при которой потенциальный злоумышленник может использовать стандартные и свободно доступные инструменты анализа защищенности для реализации недопустимого события.
Рисунок 8. Минимальная сложность вектора проникновения во внутреннюю сеть в каждом проекте
Доли проектов
Наибольшее количество критически опасных уязвимостей было вызвано наличием устаревшего ПО в информационных системах организаций, в то же время недостатки парольной политики и небезопасный код веб-приложений также довольно частые причины их возникновения.
Рисунок 9. Максимальный уровень опасности уязвимостей, выявленных во время внешнего пентеста
Доли проектов
Методы проникновения во внутреннюю сеть
Основными причинами успешного проникновения во внутреннюю сеть стали недостатки парольной политики, уязвимости в коде веб-приложений (в том числе сторонних продуктов) и недостатки конфигурации сервисов, находящиеся на периметре сети (например, VPN, Citrix). Одним из частых недостатков конфигурации таких систем является отсутствие двухфакторной аутентификации или недостаточная проверка авторизации пользователей.
Рисунок 10. Техники по матрице MITRE ATT&CK, которые позволили получить доступ в ЛВС
Доли от общего количества
Чтобы реализовать недопустимое событие, необязательно нужен доступ в ЛВС: для этого злоумышленнику достаточно проэксплуатировать одну или несколько уязвимостей, чтобы добраться до критически важных систем и реализовать недопустимое для бизнеса событие. Каждая уязвимость в информационной системе должна быть найдена и исправлена. В ходе проведения внешних пентестов в 2023 году было найдено 423 уязвимости, из которых 34% имели критический и высокий уровень опасности.
Рисунок 11. Уровень опасности найденных уязвимостей
Доли от общего количества
Рисунок 12. Количество уязвимостей из каждой категории, которые были найдены в инфраструктурах заказчиков
Стоит отметить, что уязвимости, возникшие вследствие использования устаревшего ПО (в том числе ПО с веб-интерфейсами), зачастую приводили к получению доступа в ЛВС и к последующим угрозам безопасности.
Использование популярных продуктов, содержащих уязвимости, может поставить под угрозу любую компанию, поэтому оперативное устранение уязвимостей играет решающую роль: информация о трендовых уязвимостях, применяющихся злоумышленниками в атаках, в течение 12 часов поступает в систему управления уязвимостями MaxPatrol VM. Это позволяет вовремя среагировать и принять меры по устранению наиболее опасных из них, тем самым защитить инфраструктуру компании.
Если посмотреть на долю уязвимостей, связанных с небезопасной конфигурацией, среди всех уязвимостей с высокой и критической степенью опасности — эта категория не представлена в таком же отношении (8%), как она же среди всех уязвимостей с любым уровнем опасности (28%). В то время как уязвимости нулевого дня, доля которых составляет от всех чуть менее 4%, среди опасных имеют уже 8%.
Рисунок 13. Доля уязвимостей из каждой категории, которые представляют критический и высокий уровень опасности для организаций
Тем не менее каждая уязвимость должна быть исправлена. Для примера приведена атака с эксплуатацией недостатков парольной политики, которая может привести потенциального злоумышленника к получению данных учетной записи и к последующему развитию атаки вплоть до доступа в ЛВС.
Во время каждой атаки проводится разведка и исследование внутренней инфраструктуры, что выглядит как легитимные действия — сами по себе они не являются вредоносными или деструктивными. Надо отметить, что такой результат достигается путем очень точных и аккуратных действий со стороны пентестеров.
В 63% векторах наши исследователи получили необходимую информацию для дальнейшего развития атаки, используя технику System Network Configuration Discovery («исследование сетевой конфигурации»), в 48% — System Information Discovery («просмотр текущей конфигурации системы»), в 40% — File And Directory Discovery («исследование файловой системы»).
Обычные пользователи и системные администраторы могут совершать эти действия в повседневной жизни и в рамках своих обязанностей, однако они могут являться частью вектора атаки. Выделить среди подобных событий те, которые были инициированы атакующими, — непростая задача для специалиста по информационной безопасности. Для этого следует внедрить обязательный мониторинг активности всех пользователей и систем, которые находятся в инфраструктуре. Такое возможно с помощью:
- журнала событий ОС, в том числе событий, связанных с аудитом безопасности и входом в систему;
- журнала событий приложений;
- журнала событий контроллера домена.
Дальнейшая обработка этой информации и возможность обнаружить и предотвратить атаку осуществляется благодаря:
- системе управления событиями информационной безопасности (SIEM);
- системе анализа сетевого трафика (NTA);
- системе обнаружения вторжений (IDS);
- системе предотвращения вторжения (IPS);
- межсетевым экранам уровня приложений (WAF);
- межсетевым экранам нового поколения (NGFW);
- решению для обнаружения и реагирования на события, связанные с вредоносной активностью на конечных узлах (EDR), и их современной расширенной версии (XDR).
Опасности в веб-приложениях компаний и в продуктах поставщиков
Как описано выше, большую угрозу безопасности для организации представляют решения, разработанные сторонними компаниями. Ниже приведены примеры уязвимого ПО, которое стало причиной проникновения специалистов в инфраструктуру заказчиков.
По нашим прогнозам, в 2024 году главным трендом станут атаки на цепочки поставок как следствие компрометации ПО в ИТ-компаниях. Это может затронуть предприятия из всех секторов экономики, где используется стороннее ПО.
Рисунок 15. Доля отдельных уязвимых продуктов, найденных во время внешнего пентеста
Вместо названия продукта, приведена его категория
В таблице приведены известные уязвимости продуктов сторонних поставщиков ПО, которые чаще других эксплуатировались исследователями для получения доступа к системам. Для всех этих уязвимостей были выпущены пакеты обновлений.
Место по частоте эксплуатации | Идентификатор | Тип уязвимости | Продукт | Оценка по CVSS |
1 | CVE-2022-41082 | Уязвимость удаленного выполнения кода | Microsoft Exchange Server | CVSS — 8,0 (высокий) |
2 | CVE-2022-27228 | Уязвимость удаленного выполнения кода неаутентифицированным злоумышленником | Bitrix Site Manager | CVSS — 9,8 (критический) |
3 | CVE-2022-41040 | Уязвимость, связанная с несанкционированным повышением привилегий | Microsoft Exchange | CVSS — 8,8 (высокий) |
4 | CVE-2021-4034 | Уязвимость локального повышения привилегий | pkexec | CVSS — 7,8 (высокий) |
5 | CVE-2022-41080 | Уязвимость, связанная с несанкционированным повышением привилегий | Microsoft Exchange | CVSS — 8,8 (высокий) |
Кроме того, во время внешнего пентеста специалистами Positive Technologies было найдено 16 уязвимостей нулевого дня в ПО, из которых шесть имеют критический уровень опасности по системе оценки CVSS 3.1.
Исследователи PT SWARM непрерывно проводят анализ защищенности разных веб-приложений и продуктов, за 2023 год было зарегистрировано 32 новых уязвимости в базе CVE, которые они обнаружили.
Помимо недостатков безопасности, возникающих из-за использования уязвимого стороннего ПО, исследователи обнаружили 37 уязвимостей в веб-приложениях заказчиков. Среди них 15 имели критическую и высокую степень опасности.
Рисунок 16. Доля каждого типа уязвимостей, найденных в веб-приложениях заказчиков
Внедрение SQL-кода может привести к таким серьезным последствиям, как потеря конфиденциальной информации, уничтожение данных, несанкционированный доступ или загрузка вредоносного кода. Половина из этих уязвимостей получили критический уровень опасности.
Краткие выводы по итогам внешних пентестов
Проанализировав результаты работ по внешнему тестированию на проникновение, мы рекомендуем обратить особое внимание на своевременные обновления безопасности ПО, работающего в информационной системе, используемую парольную политику, исходный код веб-приложений, потенциально содержащий серьезные уязвимости, а также безопасную настройку сервисов, работающих в инфраструктуре. Все эти недостатки безопасности использовались исследователями для получения доступа во внутреннюю сеть организаций. С детальными рекомендациями по настройке парольной политики вы можете ознакомиться в главе «Проблемы в парольной политики».
Для того чтобы обеспечить безопасность веб-приложений, мы рекомендуем регулярно проводить анализ защищенности, внедрить процессы безопасной разработки и управления уязвимостями, использовать межсетевые экраны уровня приложений для защиты от атак. Для максимального снижения риска, который могут нести решения поставщиков, рекомендуем своевременно обновлять используемое ПО, отслеживать уведомления о новых обнаруженных уязвимостях и патчах безопасности.
Итоги внутреннего тестирования на проникновение
Главная цель внутреннего тестирования на проникновение — оценить уровень защищенности ИТ-инфраструктуры от атак со стороны внутреннего нарушителя, имеющего возможность подключиться к локальной сети организации.
В 100% проектов, в которых проводилось внутреннее тестирование на проникновение, удалось получить контроль над доменом.
В 81% проектов общий уровень защищенности был определен как низкий.
Самое быстрое получение максимальных привилегий в домене Active Directory — 6,5 часов после начала проведения работ по внутреннему пентесту.
Рисунок 17. Количество шагов, требуемое для получение максимальных привилегий в домене Active Directory
Доля от общего количества векторов
Каждый вектор состоит примерно из 11 шагов. В среднем в каждом проекте было обнаружено два вектора, которые имели различные уровни сложности, поэтому для определения минимального количества шагов для получения управления над контроллером домена учитываются наиболее короткие векторы атаки.
Учитывается количество шагов, которое нужно и для доступа в ЛВС.
Рисунок 18. Минимальное количество шагов, требуемое для получения максимальных привилегий в домене Active Directory в каждом проекте
Доля от общего количества проектов
В подавляющем большинстве проектов были обнаружены векторы атаки низкой (38%) и средней (50%) сложности.
Рисунок 19. Сложность векторов атаки, направленных на получение максимальных привилегий в домене Active Directory
Доли проектов
Низкая сложность векторов атаки характеризуется тем, что нарушитель обладает лишь базовыми знаниями о проведении атак на информационные системы и использует общедоступные эксплойты и автоматизированное ПО.
Например, такие векторы атак могут быть основаны на эксплуатации двух уязвимостей в Microsoft Exchange — для удаленного выполнения кода (CVE-2022-41082) и для повышения привилегий (CVE-2022-41080) — с помощью общедоступных эксплойтов. В некоторых случаях инфраструктура оказывалась уязвимой к эксплуатации уязвимости Zerologon, что приводило к получению привилегий администратора в одно действие.
Сложность вектора атаки определяется требуемой квалификацией нарушителя и количеством шагов, которые необходимо пройти для достижения цели.
Основными причинами низкого уровня защищенности заказчиков стали устаревшие версии используемого ПО, небезопасная конфигурация компонентов IT-систем и недостатки парольной политики. Важно отметить, что во время внутреннего пентеста исследователям безопасности удалось обнаружить критически опасную уязвимость в коде веб-приложений, что не является массовым явлением для подобного рода работ.
Рисунок 20. Максимальный уровень опасности уязвимостей, выявленных во время внутреннего пентеста
Доля от общего количества проектов
Несмотря на то что среди уязвимостей, которые вызваны небезопасной конфигурацией, критически опасных не так много (6%), комбинация из нескольких уязвимостей с меньшей степенью риска из этой категории может привести к получению максимальных привилегий в домене Active Directory. На рисунке ниже изображен вектор, где специалисты вначале обнаруживают работающую службу регистрации сертификатов, а потом проводят атаку PetitPotam. С лучшими практиками по настройке конфигурации, устойчивой к атакам, основанным на ретрансляции протокола NTLM на службы сертификации (AD CS), можно ознакомиться на сайте Microsoft.
Действия пентестеров во внутренней сети
Когда исследователи получили доступ во внутреннюю сеть, следующим этапом атаки для них стало закрепление в системе. Иначе говоря, им нужно было найти способ, при котором они без лишних усилий могли бы постоянно получать доступ к системам организации.
Для удобной работы с операционной системой узла, находящегося в ЛВС, часто создается веб-интерпретатор. Он представляет собой скрипт, написанный на одном из языков программирования и вызывающий функцию для взаимодействия с ОС, в которую передана команда для выполнения. Таким образом исследователь или злоумышленник может закрепиться на периметре сети. В трех проектах были обнаружены следы компрометации в виде размещения таких веб-интерпретаторов злоумышленниками. Во всех случаях скрипт был написан на языке программирования PHP. Исследователи Positive Technologies использовали подобную технику в 14 проектах. Однако часто ее относят к внешнему тестированию на проникновение.
Среди техник, которые традиционно присутствуют на этапе внутреннего тестирования на проникновение, стоит выделить Account Manipulation, подтехнику Local Account техники Create Account и подтехнику Domain Accounts техники Valid Accounts. Напомним, что статистика учитывает не все действия хакеров на проекте, а только те, которые относятся к успешным векторам.
Рисунок 22. Техники, чаще других используемые для закрепления в системе
Количество векторов атаки
После закрепления в инфраструктуре злоумышленники обычно ищут способ повышения привилегий (если они уже ими не обладают). В большинстве случаев, наши исследователи успешно использовали техники: Valid Accounts, Exploitation for Privilege Escalation и Abuse Elevation Control Mechanism.
Рисунок 23. Техники, чаще других используемые для повышения привилегий в системе
Доли проектов
Можно заметить, что выше приводится подтехника Valid Accounts: Domain Accounts – это означает, что у исследователей были учетные данные от существующих в домене аккаунтов. Возникает вопрос, как они получали существующие учетные записи в инфраструктуре. На рисунке 24 приведены действия исследователей, которые были использованы для получения учетных данных:
Рисунок 24. Техники, использованные исследователями в рамках тактики Credential Access
Доли от общего количества
Для более детального понимания самой массовой эксплуатируемой техники OS Credential Dumping (получение учетных данных ОС на скомпрометированном узле) стоит посмотреть на подтехники, которые использовались в ее рамках.
Рисунок 25. Подтехники, которые использовались в рамках OS Credential Dumping
Доли от общего количества
DCSync — это атака, суть которой заключается в том, что злоумышленник выдает себя за контроллер домена. В основе атаки лежит заложенная возможность репликации данных между контроллерами домена, во время которой среди прочего передаются и учетные данные.
LSA secrets — злоумышленники пытаются получить доступ к LSA — хранилищам, в которых система хранит важные учетные данные, включая пароли учетных записей пользователей и служб.
LSASS memory — преступники хотят получить доступ к памяти процесса LSASS, который отвечает за разные подсистемы аутентификации Windows. В его памяти могут содержаться очень важные данные, например NT-хеши или билеты Kerberos.
NTDS — хакеры намереваются получить доступ к файлу NTDS.dit, представляющему собой базу данных объектов в Active Directory и связей между ними.
Для перемещения внутри периметра, в том числе и с использованием учетных данных, полученных на предыдущем шаге, исследователи использовали следующие техники
Рисунок 26. Техники, чаще других используемые для перемещения в инфраструктуре
Доли проектов
Стоит обратить внимание, что в большинстве случаев для перемещения используются протоколы удаленного доступа, такие как SSH и RDP.
Pass the hash — это атака, суть которой заключается в том, чтобы вместо стандартной аутентификации, в которой нужно указать логин и пароль в открытом виде для доступа к учетной записи, злоумышленник передает логин и хеш пароля. Как итог, злоумышленник получает доступ к системе от имени скомпрометированной учетной записи.
Угрозы во внутренней сети и недопустимые последствия атак
Рисунок 27. Топ-3 угроз безопасности, обнаруженных при проведении внутренних пентестов
Доли проектов
Важно отметить, что в проекте полный контроль над ресурсами можно получить не только на одном домене. Например, наши исследователи в ходе проведения внутренних пентестов взяли под контроль в общем 31 домен. Контроль над критически важными системами подразумевает, что исследователи верифицировали возможность недопустимого события в обозначенных заказчиком целевых системах.
В ходе проведения работ исследователями было верифицировано 90% недопустимых событий, обозначенных заказчиками дополнительно.
Среди таких событий были, например, привилегированный доступ к целевым системам, утечка кодовой базы или ее безвозвратная потеря, хищение определенной информации или ее компрометация, вывод денежных средств или получение финансовый выгоды путем, не заложенным в логику приложения.
Краткие выводы по итогам внутренних пентестов
При проведении внутренних пентестов во всех организациях удалось получить максимальные привилегии в домене. Кроме того, была верифицирована возможность реализации большинства (90%) недопустимых событий. Из верифицированных недопустимых событий, которые выделяли сами заказчики, можно отметить следующие: получение доступа к отдельным информационным системам и сетевым сегментам, встраивание кода в исходный код заказчика, получение прав пользователей в бизнес-сегментах, получение определенной конфиденциальной информации.
Отдельное внимание стоит уделить разделу с подбором учетных данных. В 33 успешных векторах атак была применена техника Brute Force. Следует также обезопасить системы от подтехник OS Credential Dumping. Мы рекомендуем тщательно проверить свою инфраструктуру на наличие индикаторов компрометации, которые упомянуты выше. Качественные системы мониторинга могут помочь вам обнаружить перемещение злоумышленников по вашей сети во время атаки.
Кроме того, обращаем внимание на то, что необходимо укреплять защиту и обеспечивать мониторинг не только целевых, но и ключевых систем, ведь они являются промежуточным звеном в цепочке реализации недопустимого для организации события.
Проблемы парольной политики
Как было отмечено ранее, недостатки парольной политики являются одними из ключевых звеньев в большом количестве векторов атак. Злоумышленники могут воспользоваться техникой Brute Force и, если они успешно подберут пару логин — пароль, получить привилегии пользователей-жертв.
В результате внешнего тестирования на проникновение 56% векторов атак, направленных на получение доступа в ЛВС, содержали технику Brute Force. Такое же значение зафиксировано и во время внутренних пентестов у доли векторов, реализующих эскалацию привилегий в домене. Однако если взять все проекты, где была успешно применена эта техника, то доля возрастает до 72%. Это означает, что в 7 из 10 инфраструктур возможно успешно подобрать учетные данные для получения несанкционированного доступа к информации.
Всего было выявлено 128 уязвимостей, связанных с недостатками парольной политики. Среди них 14 — критического уровня опасности, 16 — высокого. Подобного рода недостатки характерны не только для доменных учетных записей, но и для отдельного ПО, например для различных серверов СУБД, платформ виртуализации и систем мониторинга инфраструктуры.
Опираясь на матрицу MITRE ATTACK, специалисты использовали несколько подтехник прямого перебора (Password Guessing, Password Spraying и Password Cracking) в следующем соотношении.
Password Guessing — атака, направленная на перебор паролей учетной записи. Для облегчения задачи могут использоваться словари паролей, ранее скомпрометированные пароли, сведения о парольной политике организации.
Password Spraying — атака, направленная на подбор пароля с помощью заранее подготовленного списка популярных словарных паролей и списка идентификаторов пользователей. Злоумышленник берет один пароль и начинает подбирать для него идентификатор. Такой метод помогает избежать блокировки учет...
Доля каждой подтехники, используемой специалистами во время брутфорс-атаки.
Рисунок 28. Техники, используемые в ходе Brute Force
Доли от общего количества
Какие же пароли удалось скомпрометировать? В целом их можно поделить на несколько категорий:
простые и словарные пароли (12345678, Qwerty123, Aa12345678, 123qweASD);
короткие пароли (123456, 123, 111111);
название компании (******2022);
по умолчанию (123, change-on-install, 111111).
Отдельно нужно отметить, что в некоторых случаях ключевым являлось то, что в системе отсутствовала система двухфакторной аутентификации. Были случаи, когда человек мог переиспользовать пароль несколько раз.
Для решения проблем, связанных с парольной политикой, мы предлагаем:
Установить требования к минимальной сложности пароля и исключить использование словарных комбинаций.
Использовать пароль, содержащий не менее восьми символов, а также буквы разных регистров, знаки, цифры.
Придумать уникальные пароли для различных учетных записей и ресурсов, а также исключить возможность повторения как минимум трех последних паролей.
Создавать не пароли, а парольные фразы — это простой способ действительно усложнить пароль.
Установить время жизни пароля.
Использовать парольные менеджеры.
В зависимости от ИТ-инфраструктуры многофакторную аутентификацию рекомендуется использовать:
Для всех сервисов внешнего периметра без исключения и в первую очередь для сервисов VPN и RDG, а также страниц аутентификации почтовых или мультимедиасистем.
Критически важных внутренних сервисов, компрометация которых может привести к недопустимым событиям и нанести значительный ущерб организации (например, для минимизации возможности реализации недопустимого события «Хищение денежных средств» вход в систему «1С» должен быть защищен с помощью второго фактора).
Внутренних сервисов, которые хранят (или могут хранить) чувствительную информацию и (или) могут существенно помочь злоумышленнику в изучении инфраструктуры и перемещении внутри периметра (например, к таким сервисам относятся системы help desk и менеджеры паролей).
Систем управления инфраструктурой (например, серверами управления CI/CD).
Доступа к серверам хранения исходных кодов (например, к серверам хранения Ansible Playbooks, GitLab, MS Team Foundation Server).
Доступа к интерфейсам администрирования средств защиты информации (например, решений класса SIEM, AF, NAD, DLP, консоли управления антивирусом).
Подтверждения особо важных действий.
Если для приложения на внешнем периметре невозможно использовать MFA, рекомендуется убрать его с внешнего периметра и предоставить к нему доступ через VPN.
Заключение
Тестирование на проникновение традиционно показывает достаточно низкий уровень защищенности организаций. В ходе проведения этих работ наши исследователи помогают выявлять небезопасные места в ключевых и целевых системах, тем самым информируя компании о возможности реализации недопустимого события со стороны реальных злоумышленников. Как и в 2022 году, доля уязвимых к внешнему нарушителю компаний осталась прежней – 96%. В тех организациях, в которых был получен доступ к внутренней сети, установить полный контроль над ресурсами домена удалось в 100% случаев. В 2022 году этот показатель также был максимальным.
Необходимо отметить, что те организации, которые регулярно проводят пентесты и принимают соответствующие меры по обеспечению безопасности по их результатам, в итоге выходят на более высокий уровень защищенности.
Систематически проверяйте эффективность внедренных мер защиты, а также готовность службы ИБ выявлять и останавливать атаки на ранних этапах — до наступления недопустимых последствий.