Am gefährlichsten ist der Feind, den Sie nicht vermuten.
(Fernando Rojas) Die
IT-Infrastruktur eines modernen Unternehmens kann mit einer mittelalterlichen Burg verglichen werden. Hohe Mauern, ein tiefer Wassergraben und Wachen vor den Toren schützen vor dem äußeren Feind, und praktisch niemand beobachtet, was innerhalb der Festungsmauern passiert. Ebenso viele Unternehmen: Sie unternehmen enorme Anstrengungen, um den Außenbereich zu schützen, während die interne Infrastruktur weiterhin benachteiligt ist. Interne Penetrationstests sind für die meisten Kunden immer noch ein exotischer und nicht sehr klarer Prozess. Deshalb haben wir beschlossen, alles über ihn zu erzählen (na ja, fast alles), was Sie wissen wollten, aber Angst hatten zu fragen.
Der externe Feind (ein gruseliger Hacker in einem schwarzen Hoodie) sieht einschüchternd aus, aber ein großer Teil der Lecks von Unternehmensinformationen ist auf die Schuld von Insidern zurückzuführen. Laut Statistiken unseres Solar JSOC-Überwachungszentrums machen interne Vorfälle ungefähr 43% der Gesamtzahl der Bedrohungen aus. Einige Organisationen verlassen sich auf Schutzfunktionen, die häufig falsch konfiguriert sind und leicht umgangen oder deaktiviert werden können. Andere sehen den Insider überhaupt nicht als Bedrohung an und blenden die Mängel beim Schutz der internen Infrastruktur aus.
Die Probleme, die wir bei der Analyse des "Binnenmarktes" feststellen, wandern von Unternehmen zu Unternehmen:
- schwache und unveränderliche Passwörter für Service- und privilegierte Konten;
- die gleichen Passwörter für ein reguläres und ein privilegiertes Administratorkonto;
- ;
- ;
- ;
- ;
- .
: Windows- Active Directory.
Penetrationstests zeigen weltweit, wie ein potenzieller Angreifer die IT-Infrastruktur eines bestimmten Unternehmens schädigen kann. Zu diesem Zweck simulieren Cybersicherheitsspezialisten, die einen Penetrationstest durchführen, die Aktionen eines Hackers mithilfe realer Techniken und Tools, ohne jedoch den Kunden zu schädigen. Die Ergebnisse des Audits tragen dazu bei, die Sicherheit eines Unternehmens zu verbessern und gleichzeitig die Geschäftsrisiken zu verringern. Solche Tests haben zwei Richtungen: externe und interne. Im ersten Fall muss der "weiße Hacker" Schwachstellen finden, die in das interne Netzwerk eindringen können (dh genau diese Festungsmauer durchbrechen).
Interne Penetrationstests prüfen, wie anfällig die Infrastruktur für einen Insider oder Eindringling ist, der Zugriff auf das lokale Netzwerk eines Unternehmens hat. Werden sie in der Lage sein, das LAN zu steuern, sich frei darin zu bewegen und den Betrieb einzelner Server zu beeinflussen, wenn sie dies wünschen? Solche Arbeiten werden im internen Netzwerk und häufiger von der Position eines Mitarbeiters mit minimalen Berechtigungen aus ausgeführt. Gleichzeitig ist es möglich (und notwendig), auch diejenigen Mitarbeiter zu überprüfen, die nur physischen Zugang zu Computern haben (z. B. Reinigungskräfte, Elektriker, Sicherheitspersonal, Kuriere usw.).
Ein Penetrationstest sollte nicht alle Schwachstellen im Unternehmen auf allen Hosts im internen Netzwerk aufdecken (dies kann mithilfe eines Schwachstellenscanners oder durch korrekte Konfiguration der Schwachstellenmanagementrichtlinien erfolgen). Er hat eine ganz andere Aufgabe: einen oder zwei Wege zu finden, denen ein Angreifer folgen kann, um sein Opfer erfolgreich anzugreifen. Die Arbeitsausführung konzentriert sich auf Sicherheitseinstellungen und Windows-Funktionen. Kurz gesagt, es wird nicht mehr ausgeführt, z. B. das Scannen offener Ports und das Suchen nach Hosts mit deinstallierten Updates.
Wie kommt es dazu
Interne Infrastruktursicherheitstests finden in mehreren Phasen statt:
Hier ist ein Beispiel dafür, wie ein ähnlicher interner Penetrationstest in der Realität im Rahmen eines unserer Projekte durchgeführt wurde:
- Zuerst haben wir die Dateifreigaben identifiziert, auf denen die Webanwendungen gehostet wurden.
- SA (Super Admin) MS SQL;
- MS SQL sqldumper.exe xp_cmdshell LSASS, :
- .
Da interne Penetrationstests nur die interne (offensichtliche) Infrastruktur eines Unternehmens berücksichtigen, spielt es keine Rolle, wie ein Angreifer den ersten Zugriff auf das Netzwerk erhalten hat - es spielt keine Rolle, wie er diesen Zugriff verwendet hat. Daher beschreibt der Abschlussbericht, der auf den Ergebnissen des Pentests basiert, die nicht entdeckten Schwachstellen, aber die Geschichte, wie sich der Spezialist durch das Netzwerk bewegt hat, mit welchen Hindernissen und Schwierigkeiten er konfrontiert war, wie er sie umgangen hat und wie er die Aufgabe erledigt hat. Ein Spezialist kann mehrere Fehler erkennen, aber um das Ziel zu erreichen, wird einer der optimalsten oder interessantesten ausgewählt. Gleichzeitig werden alle "unterwegs" festgestellten Sicherheitslücken in den Bericht aufgenommen. Infolgedessen erhält der Kunde Empfehlungen zur Behebung von Mängeln und zur Verbesserung der Sicherheit der internen Infrastruktur.
Tatsächlich setzt der interne Penetrationstest den externen fort und beantwortet die Frage: "Was passiert, nachdem ein Cyberkrimineller in das Netzwerk gelangt ist?" Im Vergleich dazu wird bei der Prüfung des Penetrationstests am Außenumfang normalerweise die folgende Methode verwendet:
Wer betritt die Infrastruktur?
Daher ist es nicht wichtig, wie der Angreifer in das Netzwerk gelangt ist. In der Anfangsphase der Planung interner Penetrationstests können daher Modelle eines Insiders oder eines externen Angreifers berücksichtigt werden.
- Insider-Modell. Ein Insider ist ein motivierter interner Angreifer, der legitimen Zugriff auf die Infrastruktur eines Unternehmens hat und nur durch die Verantwortlichkeiten des Jobs eingeschränkt ist. Zum Beispiel ein echter Mitarbeiter, der beschlossen hat, seinem Unternehmen Schaden zuzufügen. Mitarbeiter von Unterstützungsdiensten (Sicherheitspersonal, Reinigungskräfte, Elektriker usw.) können als Insider fungieren. Sie haben legitimen Zugang zum Büro, aber keine Zugriffsrechte auf die Infrastruktur.
- Externes Eindringlingsmodell. Das Modell konzentriert sich nicht darauf, wie der Zugriff auf das interne Netzwerk des Unternehmens erlangt wurde (Sicherheitslücke in der Perimeter-Software, Verlust von Anmeldeinformationen, Social Engineering oder etwas anderes). Ausgangspunkt ist die Tatsache, dass der "Außenseiter" bereits drinnen ist.
Nach dem Kompilieren eines Bedrohungsmodells wird die Situation selbst simuliert, in der der Darsteller Zugriff auf die Infrastruktur erhält:
- ;
- . , (Wi-Fi);
- . : , , ;
- «» , . (Command & Control), . , .
Gleichzeitig ist es nicht ziellos, Penetrationstests in der Infrastruktur eines anderen durchzuführen. Der "weiße Hacker" hat immer ein vom Kunden gesetztes Ziel. Das häufigste Szenario für interne Penetrationstests ist die Erlangung von Domänenadministratorrechten. In der Realität versuchen Angreifer jedoch selten, solche Privilegien zu erhalten, da dies unnötige Aufmerksamkeit auf sie lenken kann. In den meisten Fällen sind Domänenadministratorrechte daher nicht das Ziel, sondern das Mittel, um dies zu erreichen. Das Ziel könnte beispielsweise sein, ein Unternehmensnetzwerk zu übernehmen, Zugriff auf eine Workstation und einen Server oder auf eine Anwendung und eine Datenbank zu erhalten.
Wer braucht das alles?
Lohnt es sich für den Kunden überhaupt, Penetrationstester in sein Unternehmensnetzwerk zu lassen? Auf jeden Fall wert. Hier befinden sich die wichtigsten Daten und die wichtigsten Geheimnisse des Unternehmens. Um ein LAN zu schützen, müssen Sie alle Ecken und Winkel und Mängel kennen. Interne Penetrationstests können dabei helfen. Sie können Schwachstellen in der Infrastruktur erkennen oder konfigurierte Sicherheitskontrollen überprüfen und verbessern. Darüber hinaus sind interne Penetrationstests eine kostengünstigere Alternative zum Red Team. Wenn die Aufgabe darin besteht, dem Management zu zeigen, dass die zugewiesenen Mittel nicht ausreichen, um die Sicherheit der internen Infrastruktur zu gewährleisten, können Sie diese These mit dem internen Penetrationstest mit Fakten untermauern.
Autor: Dmitry Neverov, Experte für Sicherheitsanalysen, Rostelecom-Solar