Clever Geek Handbook

قصة اختراق واحد أو التعلم من أخطاء الآخرين





يجب أن يكون هناك اقتباس مهلك من نيتشه عن القوة ، لكننا لم نكتبه.



يمكن أن يحدث هذا يومًا ما لكل مسؤول نظام - يأتي للعمل في الصباح ، ويفحص البنية التحتية ويجد أنه على خادم الملفات ، بدلاً من بيانات المستخدم ، يوجد أرشيف وملف نصي يطلب فدية. ما يجب القيام به ، وكيفية العيش وكيفية منع التكرار ، نحن نفهم هذا المقال.



يتم النظر في حالة حدثت للبنية التحتية للشركة التي تم إنشاؤها على جهاز كمبيوتر يعمل بنظام Windows. لذلك ، اكتشف بطلنا في الصباح أنه على خادم الملفات ، بدلاً من ملفات المستخدم ، أرشيف data.zip و readme.txt. كان الأرشيف محميًا بكلمة مرور ، وكان للكتاب المدرسي متطلبات قياسية لنقل مبلغ كبير إلى محفظة بيتكوين ، وإرسال تأكيد بالتحويل إلى البريد المحدد واستلام كلمة مرور ردًا. كما ورثنا أجدادنا ، لم يدخلوا في مفاوضات مع الإرهابيين ، لكن الوقت مضى ، وكان لابد من استعادة البيانات.



عندما حدث الموقف ، نهضت مجموعة المهام:



  • استعادة البيانات
  • حدد طريق القرصنة
  • منع التكرار


مع استعادة البيانات ، كل شيء بسيط - النسخة الليلية هي كل شيء لدينا. فقط في حالة ، ذهبنا من خلال الأداة المساعدة لاستعادة الملفات المحذوفة ، ولكن دون جدوى ، من الواضح أن Eraser عملت على القرص. لذلك شرعنا في طرح نسخة احتياطية والانتقال إلى نقطة إنشاء مسار الاختراق.



نبدأ بفحص "الدليل". تواريخ إنشاء الملفات هي نفسها تقريبًا وتواريخ المنشئ - المسؤول المحلي ، لا شيء آخر مثير للاهتمام. دعنا ننتقل إلى نظام التشغيل. بالإضافة إلى المسؤول ، يمتلك المستخدمون مستخدم Kelly غير مفهوم وله حقوق إدارية. بالفعل أكثر إثارة للاهتمام! نحن ننظر إلى أبعد من ذلك. إعدادات الشبكة التي تم تغييرها - يتم تحديد عناوين Google على أنها DNS. كل هذا جيد وجيد ، لكن خادم الملفات لا يحتوي على اتصال مباشر بالإنترنت ، لذلك من غير الواضح كيف حصل المهاجم عليه. نعم ، يمكنك الوصول إلى الخادم عبر RDP ، لكن RDP هذا لا ينظر للخارج. نحن نتطلع أكثر.



الشركة لديها خادم طرفي للموظفين الذين يعملون عن بعد. نحن نفحصه. هناك الكثير من عمليات تسجيل الدخول بالقوة الغاشمة في سجلات الأمان ، ولكن لا شيء أكثر إثارة للشك. لا يوجد مستخدمون غير ضروريين في النظام ، لم يتم تغيير الإعدادات ، كل شيء نظيف.



نظرًا لأننا نتحدث عن الموظفين عن بُعد ، فإننا نرفع قوائم هؤلاء الموظفين ونرى كيف يتم إعداد أماكن عملهم. يعمل بعضهم على الخادم الطرفي الذي تم فحصه بالفعل ، والبعض الآخر على أجهزة الكمبيوتر الخاصة بهم. وهنا تم العثور على نقطة الدخول. على الكمبيوتر الشخصي لأحد المصممين ، كان هناك مستخدم محلي Kelly له حقوق إدارية وفي مجلد التنزيل الخاص به كان هناك مجموعة توزيع WinRar التي تم بها أرشفة البيانات وكان هناك ممحاة للمسح. حسنًا ، وجدنا النقطة ، لكن كيف صعدت إلى السيارة وكيف وصلت إلى خادم الملفات؟



كشف الفحص التفصيلي لجهاز المصمم أن المصادقة على مستوى الشبكة لم يتم تمكينها في إعدادات الوصول عن بعد ، بالإضافة إلى أن نظام التشغيل لم يتم تحديثه لفترة طويلة. لذلك ، من المفترض ، كان متجه الهجوم على النحو التالي: افحص المنفذ الذي يتدلى خلفه وصول RDP وتحقق منه بحثًا عن نقاط الضعف على مستوى التحقق من المستخدم. ثم ، باستخدام ثغرة أمنية في النظام ، قم بتنفيذ الكود الذي يبدأ المستخدم Kelly وتسجيل الدخول إلى جهاز الكمبيوتر. بعد ذلك ، يتم طرح أرشيفي على جهاز الكمبيوتر ، Eraser - والأمر متروك للبحث في البنية التحتية وتنفيذ الإجراءات الضارة. ومن الجدير بالذكر هنا أنه في هذه الحالة بالذات ، نزلت الشركة بثمن بخس - فقد دخل الموظفون فقط لوقت استعادة الملفات من نسخة احتياطية وهذا كل شيء. حسنًا ، المسؤول ، بالطبع ، وقع تحت التوزيع بسبب الإهمال.لكن يمكن للمهاجمين الذهاب إلى أبعد من ذلك - لا يمكن تشفير قواعد البيانات أو المستندات التي تحتوي على بيانات ، ولكن نقلها بعيدًا عن متناول اليد. وأخيرًا ، النسخ الاحتياطية نفسها - من الجيد أنهم لم يحصلوا عليها.



الآن أهم شيء هو كيف لا تصبح بطلًا لمثل هذا المقال. كل شيء بسيط حقًا هنا: الشيء الرئيسي هو اليقظة. تحقق بنفسك من القائمة المرجعية:



  • تحتوي جميع أنظمة التشغيل على آخر التحديثات
  • السيطرة على جميع نقاط الدخول إلى البنية التحتية
  • لا تستخدم كلمات مرور بسيطة
  • لمصادقة كلمة المرور ، انشر سياسة لاستخدام كلمات المرور الآمنة فقط
  • قم بتوسيع تسجيل الدخول عن طريق الشهادات إن أمكن
  • إعادة تسمية الحسابات الإدارية حيثما أمكن ذلك
  • استخدم مبدأ الامتياز الأقل
  • جدار الحماية الداخلي
  • مضاد فيروسات الشركات
  • نسخ البيانات دون اتصال
  • مراقبة الاهتمام المتزايد بمحيطك والرد


ما المقصود بهذه التوصيات.



لا تضيف التحديثات على أنظمة التشغيل الوظائف فحسب ، بل تضيف أيضًا الثغرات الأمنية التي يمكن أن يستغلها المهاجمون. من المهم أن تفهم أنه لا يجب عليك تحديث نظام التشغيل فحسب ، بل يجب عليك تحديث جميع البرامج المستخدمة في مكان العمل.



من خلال التحكم في نقاط الخروج إلى الخارج ، فإننا نعني أنك بحاجة دائمًا إلى معرفة من ولأي سبب وكيف يدخل إلى شبكة الشركة من الداخل. يجب ألا تكون هناك مواقف عندما يخرج RDP من آلة المحاسب على منفذ قياسي.



تمت كتابة المئات والآلاف من المقالات والمنشورات والملاحظات حول الحاجة إلى استخدام كلمات مرور آمنة. لكن يتم تقسيم الأشخاص إلى أولئك الذين تم اختيار كلمات المرور الخاصة بهم وأولئك الذين قاموا بتغييرها إلى كلمات مرور أكثر أمانًا. دعنا نقول ذلك مرة أخرى - الطول من ثمانية أحرف ، والاستخدام الإلزامي للأحرف الكبيرة والصغيرة والأرقام والأحرف الخاصة. من الناحية المثالية ، استخدم المولد ، الذي يوجد الكثير منه ، سواء في الشبكة أو مدمج في أقرب مدير كلمات مرور.



وعندما نتحدث عن كلمات مرور آمنة ، يجب ألا تكون السياسة استشارية ، بل إلزامية. تمكّن سياسة مجموعة Active Directory البرامج النصية لإجبار المستخدمين على تغيير كلمة المرور الخاصة بهم على فترات زمنية محددة. بالإضافة إلى ذلك ، يتم تعيين سياسة للحد الأدنى لطول كلمة المرور وعدد كلمات المرور المستخدمة ، بحيث لا يستخدم المستخدم كلمتين من كلمات المرور الآمنة للسياسة ، ببساطة قم بتغييرهما عندما تصبح قديمة.



كلمات المرور القوية جيدة بالطبع ، لكنها أفضل - الوصول إلى الشهادة. نعم ، من الصعب نشرها ، وغير مريح في بعض الأماكن ، لكنها آمنة. فكر في الأمر ، ربما تكون تكلفة تنفيذ البنية التحتية للمفاتيح العمومية أقل من تكلفة استعادة البيانات المفقودة في هجوم المتسللين.



تساعد إعادة تسمية السجلات الإدارية في مواجهة هجمات القاموس على حسابات مثل المسؤول والمسؤول والمسؤول والمسؤول ، الموجودة في الأنظمة افتراضيًا ونادراً ما يتم حظرها. إعادة تسمية الحسابات الإدارية إلى مجموعة عشوائية من الأحرف والأرقام ستمنع مثل هذا الهجوم. بالطبع ، سوف تستلزم هذه الخطوة المقدمة ، إن لم يكن مدير كلمات المرور العالمي ، فعلى الأقل سجل كلمات المرور.



يعلمنا مبدأ الامتياز الأقل عدم منح حقوق غير ضرورية لأداء المهام المعينة. الخدمة التي ، على سبيل المثال ، تنظف ملفات تعريف المستخدمين من الملفات المؤقتة ، في الواقع لا تحتاج إلى حقوق إدارية لخادم الملفات ؛ إنها تحتاج فقط إلى حقوق حذف الملفات في مخزن ملفات التعريف. علاوة على ذلك ، فهي للإزالة. لست بحاجة إلى إذن لتغيير الملفات أيضًا. سيوفر لك ذلك من المشكلة التي ستنشأ في حالة اختراق بيانات الاعتماد ، وكلا من حسابات الخدمة ، وتقليل الهجوم بشكل عام على البنية التحتية الخاصة بك.



يناسب مبدأ الامتياز الأقل أيضًا وجود جدار حماية نشط على أجهزة وخوادم المستخدم. نترك فقط ما هو ضروري ، ونوقف أو نمنع الباقي. إذا كان ذلك ممكنا ، فإننا لا نرد على الاتصالات الواردة. لا شيء أكثر من شعارك.



استخدم مضاد فيروسات. نعم ، يشكو المستخدمون ومسؤولو النظام دائمًا من أن برامج مكافحة الفيروسات تتداخل مع عملهم ، وتبطئ الأداء ، وهذا يعد إهدارًا إضافيًا لأموال الشركة وقوة الحوسبة لأجهزة الكمبيوتر. لكن الافتقار إلى برامج مكافحة الفيروسات سيلعب دوره عاجلاً أم آجلاً وسيبدأ المستخدم يومًا ما بتشغيل الملف من الرسالة وسيكلف فك تشفير الملفات أكثر بكثير من ترخيص شركة لمجمع مضاد فيروسات.



ذكر أعلاه أنه من الجيد أننا لم نصل إلى النسخ الاحتياطية بأنفسنا. يجب أن يكون لديك دائمًا نسخة يتم إخراجها من البنية التحتية ويجب أن يكون الوصول إلى هذه النسخ محدودًا قدر الإمكان. إن الاحتفاظ بهذه النسخ محدثة أمر مكلف ، لكن المستخدمين سيكونون أكثر سعادة بالملفات القديمة حتى ربع السنوية مقارنة بفقدان البيانات بالكامل.



وأخيرًا ، اقرأ سجلات الوصول - فهي تحتوي على الكثير من الأشياء المثيرة للاهتمام. يعد تنفيذ نظام منع التطفل مكلفًا ، ولكن يمكنك فعل الكثير بيديك. تحليل العناوين التي يأتي منها فحص المنفذ أو القوة الغاشمة لبيانات الاعتماد. افحص أجهزة وخوادم المستخدمين بانتظام بحثًا عن البرامج الضارة.



بالطبع ، حتى الالتزام الكامل بهذه التوصيات لن يمنحك ضمانًا بنسبة 100٪ ضد الاختراقات ، لكنها على الأقل ستقلل من نسبة المخاطرة. ولا تنس تدريب موظفيك ، لأنه حتى أكثر الأنظمة أمانًا لا حول لها ولا قوة مع عدم فهم عواقب بعض الإجراءات. إذا أدخل أحد الموظفين حساباته في نموذج تصيد احتيالي ، فبغض النظر عن مدى أمان النظام ، فقد تم اختراق الموظف بالفعل. إذا كان الوصول من جهاز مصاب ، فأنت تقوم أنت بنفسك بتشغيل البرامج الضارة في شبكتك. كن حذرًا دائمًا ، فإن إهمال السلامة يمكن أن يسبب ضررًا كبيرًا ليس فقط للموظف ، ولكن أيضًا للشركة ككل.



الآن قليلا عن سبب عدم القيام بذلك في هذه الحالة. هنا ، أيضًا ، كل شيء بسيط ، مثل قلم TM - تم نشر مكان عمل المصمم باستخدام تجميع مقرصن. من فضلك لا ترتكب مثل هذه الأخطاء القاتلة. أولاً ، إنه غير قانوني ، وثانيًا ، أنت تهدر المزيد من الموارد عندما تقوم بتنظيف عواقب هذا الإهمال للبنية التحتية لتكنولوجيا المعلومات لديك. اعتني بنفسك وببياناتك. وإذا كان لديك شيء تضيفه إلى قائمة المراجعة أو في الموقف بشكل عام ، فأنت مرحب بك في التعليقات.





إعلان



تقدم شركتنا خوادم آمنة مع حماية DDoS مجانية. القدرة على استخدام خادم Windows مرخص في الخطط ذات 2 غيغابايت من ذاكرة الوصول العشوائي أو أعلى ، وإنشاء نسخ احتياطية للخادم تلقائيًا أو بنقرة واحدة.



نحن نستخدم محركات خوادم فائقة السرعة من Intel ولا نوفر على الأجهزة - فقط المعدات ذات العلامات التجارية وبعض أفضل مراكز البيانات في روسيا والاتحاد الأوروبي. اسرع للتحقق.





More articles:


All Articles