الأخطر هو العدو الذي لا تشك فيه.
(فرناندو روخاس)
يمكن مقارنة البنية التحتية لتكنولوجيا المعلومات لشركة حديثة بقلعة من العصور الوسطى. تحمي الجدران العالية والخندق المائي العميق والحراس عند البوابات من العدو الخارجي ، وعمليًا لا أحد يراقب ما يحدث داخل أسوار الحصن. وبالمثل ، فإن العديد من الشركات: تبذل جهودًا هائلة لحماية المحيط الخارجي ، بينما تظل البنية التحتية الداخلية محرومة. يعتبر اختبار الاختراق الداخلي عملية غريبة وغير واضحة للغاية بالنسبة لمعظم العملاء. لذلك ، قررنا أن نخبر عنه كل شيء (حسنًا ، كل شيء تقريبًا) تريد أن تعرفه ، لكننا كنا خائفين من السؤال.
يبدو العدو الخارجي (متسلل مخيف يرتدي سترة سوداء) مخيفًا ، لكن جزءًا كبيرًا من تسرب معلومات الشركة يرجع إلى خطأ المطلعين. وفقًا لإحصاءات مركز مراقبة JSOC الخاص بنا ، تمثل الحوادث الداخلية حوالي 43 ٪ من إجمالي عدد التهديدات. تعتمد بعض المؤسسات على وسائل الحماية - التي غالبًا ما يتم تكوينها بشكل خاطئ - والتي يمكن تجاوزها أو تعطيلها بسهولة. والبعض الآخر لا ينظر إلى المطلعين على أنه تهديد على الإطلاق ويغضون الطرف عن العيوب في حماية البنية التحتية الداخلية.
المشاكل التي نحددها عند تحليل "السوق الداخلية" تنتقل من شركة إلى أخرى:
- كلمات مرور ضعيفة وغير قابلة للتغيير للخدمة والحسابات المميزة ؛
- نفس كلمات المرور لحساب مسؤول عادي وحساب مميز ؛
- ;
- ;
- ;
- ;
- .
: Windows- Active Directory.
على الصعيد العالمي ، يكشف اختبار الاختراق عن مدى قدرة مهاجم محتمل على إلحاق الضرر بالبنية التحتية لتكنولوجيا المعلومات لشركة معينة. للقيام بذلك ، يقوم متخصصو الأمن السيبراني بإجراء اختبار اختراق لمحاكاة تصرفات المتسلل باستخدام تقنيات وأدوات حقيقية ، ولكن دون الإضرار بالعميل. تساعد نتائج التدقيق على تحسين أمان المؤسسة مع تقليل مخاطر العمل. هذا الاختبار له اتجاهان: خارجي وداخلي. في الحالة الأولى ، يجب على "الهاكر الأبيض" اكتشاف نقاط الضعف التي يمكنها اختراق الشبكة الداخلية (أي اختراق جدار الحصن).
يتحقق اختبار الاختراق الداخلي من مدى ضعف البنية التحتية أمام شخص من الداخل أو متطفل لديه إمكانية الوصول إلى الشبكة المحلية للمؤسسة. هل سيكونون قادرين ، إذا رغبوا في ذلك ، على التحكم في الشبكة المحلية والتحرك بحرية حولها والتأثير على تشغيل الخوادم الفردية؟ يتم تنفيذ هذا العمل على الشبكة الداخلية ، وفي كثير من الأحيان من منصب موظف مع الحد الأدنى من الامتيازات. في الوقت نفسه ، من الممكن (والضروري) التحقق حتى من هؤلاء الموظفين الذين لديهم وصول مادي فقط إلى أجهزة الكمبيوتر (على سبيل المثال ، عمال النظافة ، والكهربائيون ، وحراس الأمن ، والسعاة ، وما إلى ذلك).
يجب ألا يكشف اختبار الاختراق عن جميع نقاط الضعف الموجودة في الشركة على جميع المضيفين على الشبكة الداخلية (يمكن القيام بذلك باستخدام ماسح الثغرات الأمنية أو عن طريق تكوين سياسات إدارة الثغرات الأمنية بشكل صحيح). لديه مهمة مختلفة تمامًا: العثور على طريق أو طريقين يمكن للمهاجم اتباعهما من أجل مهاجمة ضحيته بنجاح. يركز تنفيذ العمل على إعدادات الأمان وميزات Windows. باختصار ، لن يتم تنفيذ ذلك بعد الآن ، على سبيل المثال ، فحص المنافذ المفتوحة والبحث عن مضيفين مع تحديثات غير مثبتة.
كيف يحدث هذا
يتم إجراء اختبار أمان البنية التحتية الداخلية على عدة مراحل: فيما
يلي مثال على كيفية إجراء اختبار اختراق داخلي مماثل في الواقع في إطار أحد مشاريعنا:
- أولاً ، حددنا مشاركات الملفات التي استضافت تطبيقات الويب ؛
- SA (Super Admin) MS SQL;
- MS SQL sqldumper.exe xp_cmdshell LSASS, :
- .
نظرًا لأن اختبار الاختراق الداخلي لا يأخذ في الاعتبار سوى البنية التحتية الداخلية (من الواضح) لمنظمة ما ، فلا يهم كيف حصل المهاجم على الوصول الأولي إلى الشبكة - لا يهم كيف استخدم هذا الوصول. لذلك ، فإن التقرير النهائي ، الذي تم إعداده بناءً على نتائج pentest ، يصف نقاط الضعف التي لم يتم اكتشافها ، ولكن تاريخ كيفية انتقال الاختصاصي عبر الشبكة ، وما هي العقبات والصعوبات التي واجهها ، وكيف تحايل عليها وكيف أنهى المهمة يمكن للمتخصص اكتشاف العديد من العيوب ، ولكن لتحقيق الهدف ، سيتم اختيار أحد أكثر العيوب الأمثل أو إثارة للاهتمام. في الوقت نفسه ، سيتم أيضًا تضمين جميع نقاط الضعف التي لوحظت "على الطريق" في التقرير. نتيجة لذلك ، سيتلقى العميل توصيات لتصحيح أوجه القصور وتحسين أمان البنية التحتية الداخلية.
في الواقع ، يستمر اختبار الاختراق الداخلي في الاختبار الخارجي ، مجيبًا على السؤال: "ماذا يحدث بعد دخول مجرم إلكتروني إلى الشبكة؟" بالمقارنة ، عادة ما تستخدم المنهجية التالية في عملية اختبار اختراق المحيط الخارجي:
من يدخل البنية التحتية
لذا ، فإن كيفية دخول المهاجم إلى الشبكة ليست مهمة ، لذلك ، في المرحلة الأولى من التخطيط لاختبار الاختراق الداخلي ، يمكن النظر في نماذج لمهاجم داخلي أو مهاجم خارجي.
- نموذج من الداخل. المطلع هو مهاجم داخلي متحمس لديه وصول شرعي إلى البنية التحتية للمؤسسة ، مقيدًا فقط بمسؤوليات الوظيفة. على سبيل المثال ، موظف حقيقي قرر الإضرار بشركته. أيضًا ، يمكن لموظفي خدمات الدعم (حراس الأمن وعمال النظافة والكهربائيون ، وما إلى ذلك) العمل كمطلعين ، ولهم وصول شرعي إلى المكتب ، لكن لا يمكنهم الوصول إلى البنية التحتية.
- نموذج الدخيل الخارجي. لا يركز النموذج على كيفية اكتساب الوصول (ضعف البرامج المحيطية أو تسرب بيانات الاعتماد أو الهندسة الاجتماعية أو أي شيء آخر) إلى الشبكة الداخلية للمؤسسة. نقطة البداية هي حقيقة أن "الدخيل" موجود بالفعل في الداخل.
بعد تجميع نموذج التهديد ، تتم محاكاة الموقف نفسه ، حيث يتمكن المؤدي من الوصول إلى البنية التحتية:
- ;
- . , (Wi-Fi);
- . : , , ;
- «» , . (Command & Control), . , .
في الوقت نفسه ، لا يعتبر pentesting تجولًا بلا هدف حول البنية التحتية لشخص آخر. "الهاكر الأبيض" دائمًا لديه هدف يحدده العميل. السيناريو الأكثر شيوعًا لاختبار الاختراق الداخلي هو الحصول على امتيازات مسؤول المجال. ومع ذلك ، في الواقع ، نادرًا ما يسعى المهاجمون للحصول على مثل هذه الامتيازات ، لأن هذا قد يلفت الانتباه غير الضروري إليهم. لذلك ، في معظم الحالات ، لن تكون امتيازات مسؤول المجال هي الهدف ، بل هي الوسيلة لتحقيق ذلك. وقد يكون الهدف ، على سبيل المثال ، السيطرة على شبكة الشركة ، والوصول إلى محطة عمل وخادم ، أو إلى تطبيق وقاعدة بيانات.
من يحتاج كل شيء
هل من المجدي أن يسمح العميل لمختبري الاختراق بالدخول إلى شبكة الشركة الخاصة بهم؟ بالتأكيد يستحق ذلك. هذا هو المكان الذي توجد فيه البيانات الأكثر أهمية والأسرار الرئيسية للشركة. لحماية شبكة LAN ، تحتاج إلى معرفة جميع الزوايا والشقوق وعيوبها. ويمكن أن يساعد اختبار الاختراق الداخلي في ذلك. يسمح لك برؤية نقاط الضعف في البنية التحتية أو التحقق من عناصر التحكم الأمنية المكونة وتحسينها. بالإضافة إلى ذلك ، يعد اختبار الاختراق الداخلي بديلاً ميسور التكلفة للفريق الأحمر. حسنًا ، إذا كانت المهمة هي أن تثبت للإدارة أن الأموال المخصصة ليست كافية لضمان أمن البنية التحتية الداخلية ، فإن اختبار الاختراق الداخلي يسمح لك بدعم هذه الأطروحة بالحقائق.
المؤلف: ديمتري نيفيروف ، خبير التحليل الأمني ، Rostelecom-Solar