Практика №1. Риски, угрозы и моделирование угроз корпоративной инфраструктуры

БСБО-05-19 Галюк Галина # Практика №1. Риски, угрозы и моделирование угроз корпоративной инфраструктуры #### Модель корпоративной инфраструктуры: ![](https://i.imgur.com/nV9lQ2R.png) #### Наиболее уязвимые места в корпоративной инфраструктуре: 1. Сотрудники (если они считаются уязвимыми местами). 2. Устаревшие версии ОС ПК. 3. Незапароленные гостевые wifi. 4. Неправильное подключение устройств (камеры слежения не должны быть в основной сети). #### Сценарии атак на инфраструктуру: *Сценарий 1* 1. На первом этаже организации была развернутая незапароленная wifi точка с названием free-orgname-wifi. 2. В течение недели к точке подключилось n-кол-во сотрудников компании, а также посетителей. 3. Более чем в 50% случаев злоумышленнику удалось заполучить личные данные подключенных пользователей (пароли, логины и т.д.). 4. С помощью данных от учетных записей сотрудников удалось получить доступ к ряду ресурсов компании. Результат: получен доступ к важным ресурсам. АТАКА ЗАВЕРШЕНА Целью данной атаки была кража личных данных *Сценарий 1.2* 1. Сбор информации из открытых источников. На сайте организации были фотографии, контактные данные экспертных составов, руководителей. В результате поисков в сети было найдено некоторое количество дополнительной информации о сотрудниках, в том числе адреса эл. почты и номера телефонов. Найдены документы о закупках (позволило частично узнать об устройствах организации). Выяснено что требуется сотрудник в отдел ИТ. В описании вакансии было написано, с каким ОС и приложениями придется работать, а также наименования оборудования в организации. 2. При сборе информации было выяснено, что рабочие почты сотрудников называются по одному образцу (например, fam_name.@orgdomain.ru). Злоумышленник создал копию почты начальника отдела поддержки пользователей. С данной почты была произведена фишинговая рассылка со следующей информацией: ресурс N переносится в M, ваш аккаунт будет перенесен, пройдите по ссылке для проверки его работоспособности. 3. Часть сотрудников перешла по ссылке 4. Более чем в 50% случаев злоумышленнику удалось заполучить личные данные подключенных пользователей (пароли, логины и т.д.). 5. С помощью данных от учетных записей сотрудников удалось получить доступ к ряду ресурсов компании. Результат: получен доступ к важным ресурсам. АТАКА ЗАВЕРШЕНА Целью данной атаки была кража личных данных *Сценарий 2* 1. Сбор информации из открытых источников. На сайте организации были фотографии, контактные данные экспертных составов, руководителей. В результате поисков в сети было найдено некоторое количество дополнительной информации о сотрудниках, в том числе адреса эл. почты и номера телефонов.Найдены документы о закупках (позволило частично узнать об устройствах организации. Выяснено что требуется сотрудник в отдел ИТ. В описании вакансии было написано, с каким ОС и приложениями придется работать, а также наименования оборудования в организации. 2. Злоумышленник пришел на собеседование, которые проходило частично в кабинете ИТ и частично в самой серверной.В кабинете ИТ незаметно была сфотографирована карта сети (висела на стене) и выявлена другая мелкая информация. Была возможность пообщаться с сотрудниками без руководителя. Из личных разговоров были выяснены недостатки сети, т.к. недовольные работой сотрудники готовы жаловаться на любые огрехи.Во время части собеседования, проходящего в серверной, в процессе разговоров и наблюдений была собрана информация об устройствах, за что отвечает какой сервер, производители этих серверов и т.д. 3. Злоумышленник решает воздействовать на недовольного работой сотрудника и подкупает его Результат: сотрудник продаёт базу данных ip-адресов, пароли и логины учётных записей сотрудников и так далее. Злоумышленник сливает в интернет купленные и добытые данные. АТАКА ЗАВЕРШЕНА Целью атаки была кража данных и заработок на них *Сценарий 3* 1. Злоумышленник сканирует домены и поддомены организации: выясняет ip-адреса; сканирует их на наличие открытых портов; отделяет веб ресурсы; сканирует ip-ареса для получения информации об устройстве (например, ОС) 2. DDOS атака по ip-адресам, в результате чего некоторые сервисы и устройства не могут нормально функционировать Результат: частично парализована работа. АТАКА ЗАВЕРШЕНА Целью атаки было парализовать работу компании *Сценарий 4* 1. Злоумышленник сканирует домены и поддомены организации: выясняет ip-адреса; сканирует их на наличие открытых портов; отделяет веб ресурсы; сканирует ip-ареса для получения информации об устройстве (например, ОС) 2. Эксплуатация уязвимостей старых ОС 3. Был получен доступ к одному из компьютеров, в результате чего у злоумышленника получилось забрутфорсить пароль админа Результат: были украдены данные с компьютера, а так же скачено вредоносное ПО для дальнейшего подрыва работы. АТАКА ЗАВЕРШЕНА Цель атаки: кража данных и порча рабочего процесса *Сценарий 5* 1. Злоумышленник сканирует домены и поддомены организации: выясняет ip-адреса; сканирует их на наличие открытых портов; отделяет веб ресурсы; сканирует ip-ареса для получения информации об устройстве (например, ОС) 2. Выявлен открытый SSH порт одного из коммутаторов 3. Злоумышленник подключился к нему и подправил на своё усмотрение настройки и оборвал существующие подключения Результат: парализована работа целого этажа, и, например, к коммутатору теперь можно подключиться только напрямую. АТАКА ЗАВЕРШЕНА Целью атаки было парализовать работу компании на сколько это фозможно