Das Jahr war 2020, die Menschen waren erfreut, einen weiteren Artikel darüber zu lesen, wie schlecht es ist, Briefe von Fremden zu öffnen, insbesondere mit Anhängen, wie gefährlich es ist, zweifelhafte Flash-Laufwerke in einen Computer einzulegen, wie in einem fernen Land Hacker mit einem Fingerschnipp Millionen von Dollar von Konto zu Konto überwiesen haben. Die Analyse, wonach 7 von 10 Banken an zwei Abenden von zwei Hackern gehackt werden können, schien für die Menschen im Jahr 2020 alltäglich zu sein. Normale Benutzer hatten nicht einmal Angst: Sie nahmen solche Nachrichten einfach als separates Marvel-Universum wahr und baten gelegentlich bekannte Informatiker, VK zu hacken. Und nur Sicherheitsexperten haben verstanden, dass nicht alles so einfach ist, wie es scheint ...
Im Jahr 2020 ist das Wort "Pentest" vielen bereits bekannt, und alle reifen Unternehmen führen solche Arbeiten regelmäßig durch. Einige haben sogar einen Stab von Spezialisten gebildet und testen sich jeden Tag selbst. Die Anzahl der Informationssicherheitstools (ISS) nimmt ständig zu, die besten Methoden der Informationssicherheit werden kostenlos im Internet verbreitet, Informationssicherheitsprozesse werden nach den besten Methoden erstellt. Gleichzeitig bleibt der Gedanke in den Köpfen der Menschen, dass nichts Hacker behindert: Wenn sie etwas brauchen, werden sie es erreichen. Als Spezialist für direkte Penetrationstests möchte ich heute über dieses Phänomen sprechen.
"Was für die vorherigen Generationen eine Leistung war, ist ein regulärer Job für die nächsten"
Vor 10-15 Jahren war Informationssicherheit mit Spaß verbunden: Man konnte alles hacken und bekam nichts dafür. Alles war "voller Löcher", aber es erschreckte nur wenige Menschen. Die Hacker stießen auf Interesse und prahlten mit ihren Leistungen an Freunde an der Bar. Informationssicherheit ist bereits heute ein großes Geschäft, das Hacken von etwas kann nur zufällig einfach und schnell möglich sein, und es ist "fachmännisch" teuer.
Die Schwelle für den Eintritt in den praktischen Bereich der Informationssicherheit ist höher geworden: Wenn es sich früher jemand leisten könnte, nicht in der besten physischen Form zum Kunden zu kommen, wiederholen Sie ein paar im Internet angesehene Videos und hacken Sie die Organisation, nehmen Sie beispielsweise einen Domänencontroller. Dies ist jetzt weit möglich nicht überall. Probleme treten auf Schritt und Tritt und in jedem Bereich auf, zumindest teilweise, weil Empfehlungen von früheren Pentests angenommen wurden. Im Folgenden werde ich die Probleme analysieren, die auftreten können, wenn mit der Arbeit an einem Penetrationstest begonnen wird.
Interne Tests (oder illoyaler Mitarbeiter)
Netzwerkverbindung
Lassen Sie uns einen Penetrationstest vom internen Netzwerk aus durchführen: Jetzt können Sie nicht einmal mehr einfach eine Verbindung zum Netzwerkausgang eines Unternehmens herstellen. Sie kommen zu einem Kunden, nehmen einen Laptop heraus, verbinden sich mit einem Kabel mit Ethernet und ... nichts. Sie gehen davon aus, dass Sie die Kontrolle über angeschlossene Geräte umgehen müssen, und es ist gut, wenn Sie irgendwo eine legitime MAC-Adresse finden müssen, diese aber an einen Port gebunden ist? Was ist, wenn die Anzahl der MACs an einem Port begrenzt ist? Und wenn es 802.1x (Cisco ISE) mit Zertifikaten und kompetenter Profilerstellung gibt? Dann müssen Sie ein Domänenkonto mit einem Client-Zertifikat suchen, um MITM entweder in den Datenverkehr einer anderen Person zu stürzen und sich über einen legitimen Host als Drucker oder Proxy auszugeben. Fühlst du es? Dies ist nicht für Sie, um schnell mit den Fingern auf die Tastatur zu klopfen, wie in den Filmen gezeigt.
Scannen
Sie scannen wie gewohnt Subnetze (10.0 / 8, 172.16 / 12, 192.168 / 16), und alle Ports werden geschlossen oder gefiltert, und der Zugriff verschwindet vollständig. Dies sind unsere bevorzugten ITUs mit einer ordnungsgemäß konfigurierten Segmentierungsrichtlinie. Sie werden langsamer, verwenden Shadow-Intelligence-Techniken, aber Sie werden bei der Verwendung von Exploits aus dem Konzept gebracht: Es ist IDS / IPS, das bereits eingetroffen ist, und auf Wiedersehen, nicht autorisierter Zugriff.
Endpunkt
Ich habe mich auf den Weg zum Host gemacht, aber dann wird das Antivirus Sie entweder erledigen oder das SIEM wird Sie verbrennen. Wenn Sie die Shell erhalten haben, stellt sich heraus, dass sie nur eingeschränkte Rechte hat und alle aktuellen Patches für LPE ausgerollt sind. Außerdem ist der Prozess lsass.exe isoliert. Darüber hinaus sind die Mechanismen zur Erkennung abnormalen Benutzerverhaltens eingeschraubt. DLP wird eingeführt, wenn auch schlecht konfiguriert. Ihre Buchhalter, die PowerShell auf der Workstation ausführen, werden jedoch bereits bemerkt.
"Eisen"
Wenn Sie physisch versuchen, den PC eines anderen zu hacken, während ein Mitarbeiter krankgeschrieben ist, werden Sie feststellen, dass das BIOS kennwortgeschützt ist, die Festplatte mit einem Bitlocker in Verbindung mit einem PIN-Code und einem TPM-Modul verschlüsselt ist und nichts vom Computer extrahiert werden kann.
Domain-Angriffe
Ich habe ein Active Directory-Domänenkonto und Sie sind froh, dass Sie jetzt Ihre bevorzugten Angriffe auf AD ausführen werden: Kerberoasting, AS-REP-Roasting, Delegierungsangriffe, aber das war nicht der Fall. Alles wird bereitgestellt, Kennwörter sind nicht "brutal", Angriffe auf die Domäne werden von Microsoft ATA erkannt und veraltete Hosts werden in eine separate Domäne aufgeteilt. Außerdem wird die Architektur mit RedForest erstellt , und selbst ein Kompromiss der Domäne des Benutzers führt nicht zum gewünschten Ergebnis.
Externe Tests (Internet Hacker)
Sie versuchen, etwas auf dem externen Perimeter zu hacken, und es gibt bereits Anti-DDoS und WAF. Die Anwendung wurde nach den Prinzipien von SSDLC entwickelt und vor Produktionsbeginn getestet. Daten zwischen Client und Server werden verschlüsselt und Benutzereingaben werden auf verschiedene Arten überprüft. Manchmal wird eine Anwendung auf einem neuen Framework geschrieben und mit einer Reihe von Enterprise-Techs überlagert. Die Entwickler selbst haben gerade herausgefunden, wie ein Modul in sechs Monaten hinzugefügt werden kann. Wohin gehen Sie eine Woche lang mit der „Black-Box“ -Methode?
Mobiles Testen (Hacker mit Telefon)
Nehmen Sie eine mobile Anwendung, hier schützt die Plattform selbst die unglücklichen Entwickler bereits vor vielen Schüssen im Fuß. Der Verkehr in offener Form wird bald vollständig verboten. Bewusste Entwickler haben den Schwerpunkt auf den Schutz der Serverseite verlagert, denn wenn der Server keine "Lücken" implementiert, funktionieren sie nicht im Client. Diejenigen, die weiter gingen, beherrschten den OWASP-Testleitfaden, lernten, wie man Root-Geräte erkennt und SSL-Pinning implementiert. Und das war's, die Auswirkungen anderer Mängel sind unbedeutend.
Wi-Fi (Hacker mit Wi-Fi-Adapter)
Es macht keinen Sinn, zu viel darüber zu diskutieren. Entweder wird wpa2-Enterprise mit Client-Zertifikaten verwendet oder nicht. Jetzt ist wpa3 unterwegs, sogar der Serviceverkehr wird dort verschlüsselt und der Sitzungsschlüssel ist zuverlässig geschützt. Zunächst wird es natürlich Fehler bei der Implementierung geben, aber dies sind nicht mehr die Mängel des gesamten Protokolls.
Bonus
Noch ein zusätzlicher Faktor: Alle GIS beginnen sich jetzt zu einem Ökosystem zu vereinen, und sobald Sie eine Kante berühren, beginnt das gesamte Web zu zittern. Wenn ich nur die Lösungsfamilie von Cisco und Microsoft als Pentester betrachte, habe ich bereits Angst vor dem Schmerz der Versuche, die Arbeit in den folgenden Jahren zu verbergen. Darüber hinaus erscheinen "Autotester" auf dem Markt, beispielsweise PenTera- oder Cymulate-Lösungen, die bald beginnen werden, einen Teil des Brotes aus Pentestern zu entnehmen. Und es gibt immer noch Startups für Informationssicherheit mit maschinellem Lernen, neuronalen Netzen und Pseudo-KI. Bisher sieht alles feucht aus, aber für ein paar Jahre ...
Jemand wird sagen, dass dies eine ideale Situation ist und es immer Lücken geben wird, und ich werde darauf antworten. Wenn ich beobachte, wie die Informationssicherheit in Unternehmen reift, komme ich zu dem Schluss, dass die "Kosten" für Hacking in zwei Jahren selbst für erfahrene Spezialisten recht hoch sein werden ... Ich denke, dass es in naher Zukunft so selten sein wird, eine Bank aus der Ferne zu hacken, wie sie 2020 physisch auszurauben (kennen Sie viele erfolgreiche Fälle in letzter Zeit?).
Womit bin ich gelandet? Die Sicherheit wird immer komplexer, und vielleicht werden die Probleme in diesem Bereich in Zukunft besser beherrschbar. Aber sollten wir einfach unsere Augen schließen und auf die Zukunft warten? Nein, wir müssen Schritte unternehmen, um diese Zukunft aufzubauen.
5 Tipps für Unternehmen
- « » .
nmap Nessus, , . , . , , , , . , , .
: 10 , . , , , , . - .
, ( ) - , - . . . - Red Teaming continuous pentest.
, , ? ? , , -- ? Red Teaming , «» , , (3-9 ). - .
, : , . - .
. 100500 - . , , .
- .
. Bug Bounty GitHub CTF, . , — . - .
. , , . , . telegram- twitter. - , «» , . - Sei in der Community.
Bilden Sie einen professionellen sozialen Kreis: Es ist viel effizienter, etwas zusammen zu tun, als alleine in einem Schrank zu sitzen. In Filmen bricht ein einzelner Hacker in die Welt ein, aber in Wirklichkeit gibt es eine APT mit klaren Rollen und Aufgaben für alle: einer scannt, ein anderer nutzt, der dritte analysiert, der vierte zieht Geld ab. Seien Sie offen und teilen Sie Ihr Wissen, denn andere haben bereits 100 Mal das getan, was Sie planen, und umgekehrt können Sie ihnen helfen, die Zeit für Routine zu verkürzen und sie für Kreativität freizugeben.
Was ist für normale Benutzer zu tun?
Es ist unwahrscheinlich, dass Sie diesen Artikel lesen, aber dennoch. Sicherheit unter Kontrolle: Warten Sie nicht auf das Wetter am Meer, überlegen Sie sich ein normales Passwort, nehmen Sie an Sensibilisierungskursen für Informationssicherheit teil und befolgen Sie einfach deren Ratschläge. Vertrau mir, es ist nicht schwer.
Schlussfolgerungen
Ich habe diesen Artikel geschrieben, um nicht zu zeigen, wie gut alles in der Informationssicherheit ist, sondern um sicherzustellen, dass nicht alles so schlecht ist, wie viele es gewohnt sind zu denken. Negative Nachrichten ermöglichen es uns, uns zu entwickeln und besser zu werden, aber antworten Sie: Wir sind sicherer als vor 10 Jahren? Wenn nicht, wer von Ihnen kann beispielsweise VK hacken: kein Benutzer, kein XSS, sondern nur die gesamte Infrastruktur?