# Практика №1. Риски, угрозы и моделирование угроз корпоративной инфраструктуры 1. В draw.io создать пустой файл. Построить примерную модель корпоративной инфраструктуры в одном из инструментов. Если нет примеров - можно построить домашнюю.  2. Обозначить, на ваш взгляд, наиболее опасные или уязвимые места в корпоративной инфраструктуре. 1) Использование устаревших версий ПО. Вот лишь некоторые распространенные примеры устаревших версий различных систем и их уязвимостей: • Windows Server 2003 SP1, SP2 (CVE-2012-0002); • nginx 1.3.11 (CVE-2013-2028); • PHP 5.3.8, 5.3.28, 5.5.1 и множества других версий (CVE-2014-3515, CVE-2011-3379, CVE-2013-6420), ProFTPD FTP Server 1.3.3a (CVE-2011-4130, CVE-2010-4221), OpenSSH Server 4.3 (CVE-2006-5051, CVE-2006-5052). До сих пор можно встретить даже Windows XP с известной уязвимостью (CVE-2008-4250). 2) Недостаточно хорошо настроенный Firewall. Например, Firewall никак не ограничивает доступ к узлам по протоколам удаленного управления. 3) Использование интерфейсов удаленного доступа и администрирования, например SSH, RDP, Telnet. Это позволяет любому внешнему злоумышленнику проводить атаки на подбор учетных данных для подключения к соответствующим сервисам. 4) Открытые сетевые порты 80/TCP и 443/TCP на периметре организации. Как правило, на этих сетевых портах работают приложения под управлением веб-серверов Apache HTTP Server, Apache Tomcat, nginx и других. Узнав какой используется веб-сервер и его версию, злоумышленник сможет подобрать необходимые эксплойты. 5) Незащищённые гостевые Wi-fi. 6) Недостаточная фильтрация и проверка входных данных. Это может вылиться в такие вещи как SQL-инъекции, XSS, LFI, RFI, RCE и т.д. 7) Человеческий фактор. Недостаточная осведомлённость сотрудников в сфере ИБ и несоблюдение политик информационной безопасности. Политики безопасности многих организаций запрещают сотрудникам посещать сомнительные ресурсы, скачивать торренты, устанавливать мессенджеры, использовать утилиты для удаленного доступа. Эти меры призваны поддерживать безопасность на приемлемом уровне, однако сотрудники могут ими пренебрегать. Основным способом проникновения в корпоративную инфраструктуру является подбор учетных данных, это связано с тем, что сотрудники зачастую устанавливают простые пароли, в том числе для учетных записей, используемых для администрирования систем. 3. Придумать 3-5 сценариев атаки на корпоративную инфраструктуру с указанием целей атак. **Сценарий 1.** Цель атаки: нарушить работу организации Злоумышленник брутфорсит узел с помощью ботнета (например, ботнет Dark Nexus), который компрометирует устройства посредством эксплуатации уязвимостей в ПО и подбора учетных данных для подключения по Telnet, после чего эти устройства используются для DDoS-атак. **Сценарий 2.** Цель: выполнение произвольных команд на ос Суть атаки заключается в том, чтобы сотрудник подобрал подброшенную нами флешку и подключил к своему компьютеру, который расположен где‑то в корпоративной сети. После того как флешку вставят в USB-порт, она выполнит залитый в нее код посредством запрограммированных нажатий клавиш, что впоследствии откроет удаленный доступ злоумышленнику. **Сценарий 3.** Цель: получить доступ к ОС для выполнения произвольных команд Злоумышленник использует уязвимость CVE-2019-19781 в ПО Citrix ADC. Citrix ADC — программно-ориентированное решение для доставки приложений и балансировки нагрузки, специально разработанное, чтобы повысить скорость работы традиционных, облачных и веб-приложений, независимо от того, где они размещены. В случае ее эксплуатации злоумышленник получает прямой доступ в локальную сеть компании из интернета. Для проведения такой атаки не требуется доступ к каким-либо учетным записям, а значит, выполнить ее может любой внешний нарушитель. Данная уязвимость позволяет внешнему неавторизованному злоумышленнику не только получить доступ к опубликованным приложениям, но и проводить атаки с сервера Citrix на другие ресурсы внутренней сети атакуемой компании. **Сценарий 4.** Цель: кража конфиденциальной информации Злоумышленник находит на периметре организаций открытый сетевой порт 25/TCP, на котором доступна служба отправки электронной почты SMTP. Данные по протоколу SMTP передаются в открытом виде, поэтому злоумышленник перехватывает трафик, читает корпоративную переписку, а так как не была отключена возможность выполнять команды VRFY, EXPN и RCPT TO, то злоумышленник по ответам SMTP-сервера подбирает адреса электронной почты. Затем он использует вытащенные адреса для фишинговых рассылок, прикрепляя не вызывающую подозрений ссылку, при нажатии на которую будет тайно загружено вредоносное ПО, которое внедрится в систему жертвы, маскируясь под настоящий исполняемый файл. Работая в фоновом режиме, такая программа будет перемещаться в сети с целью кражи конфиденциальной информации, такой как банковские счета, номера социального страхования, учетные данные пользователей и т.д.