كان العام 2020 ، كان الناس سعداء بقراءة مقال آخر حول مدى سوء فتح الرسائل من الغرباء ، خاصة مع المرفقات ، ومدى خطورة إدخال محركات أقراص فلاش مشبوهة في جهاز كمبيوتر ، وكيف قام قراصنة في بلد بعيد بتحويل ملايين الدولارات من حساب إلى حساب في أصابعهم. التحليلات ، التي قالت إن 7 من أصل 10 بنوك يمكن اختراقها بجهود اثنين من المتسللين في أمسيتين ، بدت شائعة للناس في عام 2020. أما بالنسبة للمستخدمين العاديين ، فلم يكونوا خائفين حتى: فهم ببساطة ينظرون إلى هذه الأخبار على أنها عالم Marvel منفصل ويطلبون أحيانًا من علماء الكمبيوتر المألوفين اختراق VK. وفهم خبراء الأمن فقط أن كل شيء لم يكن بسيطًا كما يبدو ...
في عام 2020 ، أصبحت كلمة "pentest" مألوفة بالفعل للكثيرين ، وتقوم جميع الشركات الناضجة بمثل هذا العمل بشكل منتظم. بل إن بعضهم شكلوا فريقًا من المتخصصين واختبارًا ذاتيًا كل يوم. يتزايد عدد أدوات أمن المعلومات (SIS) باستمرار ، ويتم توزيع أفضل ممارسات أمن المعلومات على الإنترنت مجانًا ، ويتم بناء عمليات أمن المعلومات وفقًا لأفضل المنهجيات. في الوقت نفسه ، لا يزال الفكر يكمن في أذهان الناس أنه لا يوجد شيء يعيق المتسللين: إذا كانوا بحاجة إلى شيء ، فإنهم سيحققونه. بصفتي متخصصًا في اختبار الاختراق المباشر ، أود أن أتحدث عن هذه الظاهرة اليوم.
"ما كان إنجازًا للأجيال السابقة هو عمل منتظم للجيل التالي"
قبل 10-15 سنة ، كان أمن المعلومات مرتبطًا بالمرح: يمكنك اختراق كل شيء ، وليس لديك شيء لذلك. كل شيء كان "مليئا بالثقوب" ، لكنه أخاف قلة من الناس. توصل المتسللون إلى الاهتمام وتفاخروا بمآثرهم للأصدقاء في البار. اليوم أصبح أمن المعلومات عملاً تجاريًا كبيرًا ، ولا يمكن اختراق شيء ما بسهولة وسرعة إلا عن طريق الصدفة ، والقيام بذلك "بخبرة" أمر مكلف.
أصبح عتبة الدخول إلى المجال العملي لأمن المعلومات أعلى: إذا كان بإمكان شخص ما أن يأتي إلى العميل في حالة بدنية سيئة ، وكرر مقطعي فيديو تم عرضهما على الإنترنت ، واختراق مؤسسة ، على سبيل المثال ، خذ وحدة تحكم المجال ، الآن يمكنك تحويل هذا إلى حد بعيد ليس في كل مكان. بدأت المشاكل تحدث في كل منعطف وفي كل منطقة ، جزئياً ، على الأقل لأنه تم اعتماد توصيات من البنتات السابقة. أدناه سوف أحلل المشاكل التي يمكن مواجهتها عند بدء العمل في اختبار الاختراق.
اختبار داخلي (أو موظف غير مخلص)
إتصال شبكة
دعنا نجري اختبار اختراق من الشبكة الداخلية: الآن لا يمكنك حتى الاتصال بمنفذ شبكة مؤسسة مثل هذا. جئت إلى أحد العملاء ، وأخذ جهاز كمبيوتر محمول ، واتصل بسلك بشبكة إيثرنت ولا شيء. أنت تفترض أنك بحاجة إلى تجاوز التحكم في الأجهزة المتصلة ، ومن الجيد إذا كنت بحاجة إلى العثور على عنوان MAC شرعي في مكان ما ، ولكن إذا كان مرتبطًا بمنفذ؟ ماذا لو كان عدد أجهزة MAC على منفذ واحد محدودًا؟ وإذا كان هناك 802.1x (Cisco ISE) مع الشهادات والتنميط المختص؟ ثم تحتاج إلى العثور على حساب مجال مع شهادة عميل بالإضافة إلى ذلك ، أو تعطل MITM لحركة مرور شخص آخر والتظاهر بأنك طابعة أو وكيل من خلال مضيف شرعي. اشعر بها؟ هذا ليس لك لطرق أصابعك بسرعة على لوحة المفاتيح ، كما هو موضح في الأفلام.
يتم المسح
يمكنك بدء المسح ، كالعادة ، للشبكات الفرعية (10.0 / 8 ، 172.16 / 12 ، 192.168 / 16) ، ويتم إغلاق جميع المنافذ أو تصفيتها ، ثم يتم فقد الوصول تمامًا. هذه هي الاتحادات المفضلة لدينا مع سياسات التجزئة بشكل صحيح. أنت تبطئ ، وتستخدم أساليب الاستطلاع المشبوهة ، ولكن يتم طردك عند استخدام برمجيات إكسبلويت: فقد وصل بالفعل IDS / IPS ، وداعًا ، ودخول غير مصرح به.
نقطة النهاية
لقد شققت طريقي إلى المضيف ، ولكن بعد ذلك إما أن ينهيك برنامج مكافحة الفيروسات ، أو أن SIEM سوف يحرقك ، وإذا حصلت على الغلاف ، اتضح أن له حقوقًا محدودة ، ويتم طرح جميع التصحيحات الحالية لـ LPE ، بالإضافة إلى أن عملية lsass.exe معزولة. بالإضافة إلى ذلك ، تم وضع آليات للكشف عن سلوك المستخدم الشاذ ، تم تنفيذ DLP ، وإن كان تكوينها سيئًا ، ولكن سيتم تشغيل PowerShell على محطة عمل المحاسب بالفعل.
"حديد"
إذا حاولت فعليًا اختراق جهاز كمبيوتر شخص آخر بينما يكون الموظف في إجازة مرضية ، فستجد أن BIOS محمي بكلمة مرور ، ومحرك الأقراص الصلبة مشفر باستخدام bitlocker مع رمز PIN ووحدة TPM ، ولا يمكن استخراج أي شيء من الكمبيوتر.
هجمات المجال
لقد حصلت على حساب مجال Active Directory ويسعدك أنك ستقوم الآن بهجماتك المفضلة على AD: Kerberoasting ، AS-REP Roasting ، هجمات التفويض ، ولكن لم يكن هذا هو الحال. يتم توفير كل شيء ، وكلمات المرور ليست "وحشية" ، ويتم الكشف عن الهجمات على المجال بواسطة Microsoft ATA ، ويتم فصل المضيفين الذين عفا عليهم الزمن في مجال منفصل ، بالإضافة إلى ذلك ، تم تصميم البنية باستخدام RedForest ، وهذا كل شيء ، حتى اختراق نطاق المستخدم لن يحقق النتيجة المرجوة.
اختبار خارجي (إنترنت هاكر)
أنت تحاول اختراق شيء ما في المحيط الخارجي ، ومضاد DDoS و WAF موجود بالفعل ، تم تطوير التطبيق وفقًا لمبادئ SSDLC واختباره قبل إصداره في الإنتاج. يتم تشفير البيانات بين العميل والخادم ويتم التحقق من صحة أي إدخال للمستخدم بعدة طرق. في بعض الأحيان تتم كتابة تطبيق على إطار عمل جديد ومتراكب مع مجموعة من الفنيين في المؤسسة ، اكتشف المطورون أنفسهم في ستة أشهر فقط كيفية إضافة وحدة نمطية ، أين تذهب حولك باستخدام طريقة الصندوق الأسود لمدة أسبوع؟
اختبار المحمول (مخترق مع الهاتف)
دعنا نأخذ تطبيقًا للجوال ، هنا المنصة نفسها تحمي بالفعل المطورين المحتملين من العديد من اللقطات في القدم. سيتم حظر حركة المرور في النموذج المفتوح قريبًا تمامًا. قام المطورون الواعون بتحويل التركيز إلى حماية جانب الخادم ، لأنه إذا لم يقم الخادم بتنفيذ "ثقوب" ، فلن يعمل في العميل. أولئك الذين ذهبوا أبعد من ذلك ، أتقنوا دليل اختبار OWASP ، وتعلموا كيفية اكتشاف أجهزة الجذر وتنفيذ تثبيت ssl. هذا كل ما في الأمر ، فإن التأثير الناجم عن أوجه القصور الأخرى غير مهم.
Wi-Fi (مخترق مزود بمحول Wi-Fi)
لا فائدة من مناقشته كثيرا. يتم استخدام إما wpa2-enterprise مع شهادات العميل أم لا. الآن wpa3 في طريقه ، حتى حركة مرور الخدمة مشفرة هناك ، ومفتاح الجلسة محمي بشكل موثوق. في البداية ، بالطبع ، ستكون هناك أخطاء في التنفيذ ، ولكن هذه لم تعد أوجه القصور في البروتوكول بأكمله.
علاوة
عامل إضافي آخر: بدأت جميع نظم المعلومات الجغرافية في التوحد في نظام بيئي واحد ، وبمجرد لمس حافة واحدة ، يبدأ الويب بالكامل في الاهتزاز. بمجرد النظر إلى مجموعة حلول سيسكو ومايكروسوفت ، كبطل ، كنت خائفة بالفعل من كل آلام محاولات العمل السري في السنوات اللاحقة. علاوة على ذلك ، تظهر "أجهزة اختبار ذاتي" في السوق ، على سبيل المثال ، PenTera أو حلول Cymulate ، والتي ستبدأ قريبًا في أخذ بعض الخبز من pentesters. ولا تزال هناك شركات ناشئة لأمن المعلومات مع التعلم الآلي والشبكات العصبية والذكاء الاصطناعي المستقبلي. حتى الآن ، يبدو كل شيء رطبًا ، ولكن لبضع سنوات ...
سيقول شخص ما أن هذا وضع مثالي ، وستكون هناك دائمًا ثغرات ، وسأجيب على ذلك ، بملاحظة كيف ينضج أمن المعلومات في الشركات ، استنتج أنه في غضون عامين ستكون "تكلفة" القرصنة عالية جدًا حتى بالنسبة للمتخصصين ذوي الخبرة . أعتقد أنه في المستقبل القريب ، سيكون اختراق أحد البنوك عن بعد نادرًا مثل سرقته فعليًا في عام 2020 (هل تعرف العديد من الحالات الناجحة الأخيرة؟).
ماذا انتهى بي؟ أصبح الأمن أكثر تعقيدًا ، وربما ، في المستقبل ، ستصبح المشاكل في هذا المجال أكثر قابلية للتحكم. ولكن هل يجب أن نغلق أعيننا وننتظر المستقبل قادم؟ لا ، يجب أن نتخذ خطوات لبناء هذا المستقبل بالذات.
5 نصائح للشركات
- « » .
nmap Nessus, , . , . , , , , . , , .
: 10 , . , , , , . - .
, ( ) - , - . . . - Red Teaming continuous pentest.
, , ? ? , , -- ? Red Teaming , «» , , (3-9 ). - .
, : , . - .
. 100500 - . , , .
- .
. Bug Bounty GitHub CTF, . , — . - .
. , , . , . telegram- twitter. - , «» , . - كن مع المجتمع.
تكوين دائرة اجتماعية مهنية: إن القيام بشيء معًا أكثر فعالية من الجلوس بمفردك في خزانة. هذا هو قرصان وحيد في الأفلام التي تكسر العالم ، ولكن في الواقع هناك APT بأدوار ومهام واضحة للجميع: مسح واحد ، استغلال آخر ، التحليلات الثالثة ، الرابع يسحب المال. كن منفتحًا وشارك المعلومات ، لأن الآخرين فعلوا بالفعل ما تخطط له 100 مرة ، وبالعكس ، يمكنك مساعدتهم على تقليل وقت الروتين وتحريره للإبداع.
ماذا تفعل للمستخدمين العاديين
من غير المحتمل أن تقرأ هذه المقالة ، ولكن لا يزال. الأمان تحت السيطرة: لا تنتظر الطقس عن طريق البحر ، وتأتي بكلمة مرور عادية لنفسك ، خذ دورات توعية في مجال أمن المعلومات واتبع نصائحهم. صدقني ، هذا ليس صعبًا.
الاستنتاجات
لقد كتبت هذا المقال ليس لإظهار مدى جودة كل شيء في أمن المعلومات ، ولكن للتأكد من أن كل شيء ليس سيئًا كما اعتاد الكثيرون على التفكير. تسمح لنا الأخبار السلبية بالتطور والتحسن ، ولكن الإجابة: نحن أكثر أمانًا مما كان عليه قبل 10 سنوات؟ حسنًا ، إذا لم تفعل ذلك ، فمن يمكنه الاختراق ، على سبيل المثال ، VK: ليس مستخدمًا ، وليس رمي XSS ، ولكن فقط البنية التحتية بأكملها؟