Эта работа была проведена специалистами компании «Лайтигард» в начале 2020 года.
Заказчик работ в соответствии с текущими нормативными требованиями – коммерческое банковское учреждение. Целью работы являлась оценка уровня защищенности внешнего контура (периметра) и внутренней инфраструктуры.
Основные результаты работ по проекту
Проведение тестирование на проникновение всегда является сложной работой и требует почти всегда хорошо налаженного взаимодействия специалистов Заказчика и Исполнителя. К тому же очень часто Заказчик настаивает или просит проводить работы вне рабочих часов, или ограничивает возможность проверку ряда информационных систем. Позиция Заказчика понятна – есть непрерывный бизнес, который останавливать нельзя. В конце концов не Регулятор отвечает по коммерческим договорам перед клиентами. Но и позиция Исполнителя тоже понятна. Нас можно просить о чем-то, а вот настоящие взломщики будут работать тогда, когда считают нужным и проверять то, что считают нужным. Да, они будут соблюдать определенную маскировку (волка в овечьей шкуре), но когда будут в двух шагах от куска золота, то не пощадят никого. Об этом рекомендуется не забывать.
Внешний периметр у любой российской организации всегда защищен лучше, чем внутренняя инфраструктура. Доверие к людям и компонентам внутри инфраструктуры всегда является базой для успешнего проникновения изнутри. Поэтому так и популярен метод фишинга – именно через вредоносный e-mail сегодня и происходят основное проникновение внутрь организации (предприятия). Далее злоумышленник оказывается на рабочей станции пользователя организации и начинается пентест. Перед Исполнителем ставится чуть более сложная задача – им дают внести реальный или виртуальный компьютер, но зато начиненными всеми боевыми средствами, и начать пентест.
Что мы видим традиционно (и в этой работе — пусть и не полностью):
1) сильную защиту внешнего периметра
2) если нет сложных веб сервисов или веб приложений, то редко атаки снаружи бывают успешными
3) есть сильная парольная политика, но забывают кого-то, в итоге получаем слабые пароли и возможность зайти уже через кого-то
4) почти всегда забывают проводить регулярную инвентаризации ИТ инфраструктуры – а затем обнаруживаются давно забытые системы, неверные конфигурации и т.д.
5) большой набор разных средств и систем – головная боль ИТ администраторов и администраторов безопасности, но всегда удача для взломщика
6) наличие разных средства защиты для разных систем – к сожалению, это часто делается особенно для старых систем, так как современные средства защиты являются одними из самых прожорливых по части потребления ресурсов, и тогда имеем более слабую защиту для старых систем, но часто и новые средства защиты не оправдывают наших ожиданий
7) есть сильная доменная политика безопасности, но при использовании старых систем приходится снижать требования по безопасности – и если это будет найдено, то этим непременно воспользуются
8) MS17-010 и другие уязвимости, трудно закрываемые на старых системах и часто можно найти и на новых – если найдут, то достаточно одного раза чтобы сработало – особенно опасно это на контроллерах AD и других серверах, где можно найти информацию обо всех ресурсах предприятия и доступ к аутентификационной информации всех
9) документы по доступу к ресурсам, пароли в документах, кэшах броузерах – ну не должно это быть, особенно для администраторов – только защищенное хранилище, а веб для доступа всюду только на хорошо защищенном компьютере (мобильные устройства – крайне плохо для безопасности)
10) всегда защищать доступ по IPMI и другим средствам удаленного доступа к физическому устройству – если злоумышленник получит доступ к этим сервисам, то это аналогично, как если бы он сидел рядом с этими устройствами
По результатам проведенных работ Заказчику был передан подробный отчет с детальными рекомендациями и планом по устранению найденных недостатков в защите ИТ инфраструктуре.
Перечень результатов:
В результате выполненных работ специалистам Исполнителя удалось:
— выявить эксплуатируемые уязвимости;
— получить привилегированные права доступа во внутренней информационной инфраструктуре Заказчика;
— получить доступ к критичным бизнес-системам и критичной информации;
— получить доступ к АРМ работников;
— получить доступ к файловым серверам;
— получить полный доступ на контроллере домена;
— получить доступ к файлам рабочих столов пользователей;
— получить доступ к информации на файловых серверах;
— получить финансовые сведения компании и клиентов;
— обнаружить потенциальные уязвимости для внешних узлов.
В результате выполненных работ специалистам Исполнителя не удалось:
— осуществить проникновение во внутреннюю сеть через внешние узлы (внешнее тестирование на проникновение)
Сроки работ: начало 2020
Конечный заказчик : коммерческий банк
Технологии