Практика №1. Риски, угрозы и моделирование угроз корпоративной инфраструктуры

# Практика №1. Риски, угрозы и моделирование угроз корпоративной инфраструктуры -- В [draw.io](http://draw.io/) создать пустой файл; -- Построить примерную модель корпоративной инфраструктуры в одном из инструментов. Если нет примеров - можно построить домашнюю; -- Обозначить, на ваш взгляд, наиболее опасные (или уязвимые места в корпоративной инфраструктуре); -- Придумать 3-5 сценариев атаки на корпоративную инфраструктуру с указанием целей атак; ## Модель небольшой корпортивной инфраструктуры При помощи интернет-ресурса draw.io была построена малая корпоративная инфраструктура. Она состоит из нескольких рабочих мест, пяти виланов для того, чтобы разграничивать отделы, коммутаторов, роутеров, гостевую/рабочую сеть и серверы. Также на выходе из сети установлен файервол. Сделано это для фильтрации трафика и безопасности сети. Кроме того, Wi-Fi-роутер поддерживает функции файервола для особого контроля за беспроводной сетью. Для распечаток и быстрых передач бумажных файлов были предусмотрены сканеры и принтеры. ![](https://i.imgur.com/mhUIjaa.png) Если что-то не знакомо, то можете прочитать основные понятия ниже: * Сетевой коммутатор или свич -- это устройство, предназначенное для соединения нескольких узлов компьютерной сети в пределах одного сегмента сети. В отличие от концентратора, который распространяет трафик от одного подключенного устройства ко всем остальным, коммутатор передаёт данные только непосредственно получателю, исключение составляет широковещательный трафик всем узлам сети. Это повышает производительность и безопасность сети, избавляя остальные сегменты сети от необходимости (и возможности) обрабатывать данные, которые им не предназначались. * Маршрутизатор – это устройство пакетной сети передачи данных, предназначенное для объединения сегментов сети и её элементов и служит для передачи пакетов между ними на основе каких-либо правил. Маршрутизаторы работают на сетевом (третьем) уровне модели OSI в качестве узловых устройств для различных технологий: IP, ATM, Frame Relay и мн. др. * VLAN (Virtual Local Area Network, виртуальная локальная сеть) — это функция в роутерах и коммутаторах, позволяющая на одном физическом сетевом интерфейсе (Ethernet, Wi-Fi интерфейсе) создать несколько виртуальных локальных сетей. VLAN используют для создания логической топологии сети, которая никак не зависит от физической топологии. * Брандмауэр – это сетевое устройство, которое отслеживает входящие и исходящие пакеты в сетях и блокирует или разрешает их в соответствии с правилами, установленными для определения того, какой трафик разрешен, а какой – нет. ## Обозначить, на ваш взгляд, наиболее опасные (или уязвимые места в корпоративной инфраструктуре) В любой (крупной или домашней) сети лучше быть защищённым от различных атак, связанных с проникновением. Если злоумышленник пройдёт через сетевой периметр, то 50% успеха уже у него в кармане, поскольку во внутренней сети куда больше возможностей для развития атак самых разных направлений. Проникнув внутрь, злоумышленник может похитить конфиденциальные данные, внедрить вредоносное и шпионское программное обеспечение, детально изучить инфраструктуру и развить атаку на IT-ресурсы компании. И если это не так часто касается домашней сетевой структуры, поскольку хакеров интересуют деньги побольше и информация поважнее, то в компаниях информационная безопасность - одна из самых важных и актуальных тем. Для начала, чтобы обезопасить внешний периметр сети, необходимо определить самые уязвимые места в структуре. К примеру, рассмотрев схему ваше, можем установить, что самые опасные места в ней это: * Устаревшее ПО Необходимо помнить, что чем более старая версия поддерживается на устройствах, тем больше к ней уже написано уязвимостей и взломов. Особенно, когда данные версии более не поддерживаются и не обновляются производителем. В этих случаях необходимо проверять актуальность ПО и устанавливать стабильные версии, починенные от мелких или серьёзных багов. * Использование открытых протоколов Используя отсутствие защиты важных данных, передаваемых по протоколам без шифрования, злоумышленник может перехватить чувствительную информацию, в том числе учетные данные привилегированных пользователей, и получить несанкционированный доступ к ресурсам. * Словарные идентификаторы и пароли Использование словарных паролей остается одной из главных проблем безопасности организаций. Хакеры могут осуществлять подбор паролей для учетных записей по умолчанию (таких как Administrator, admin, root); подбор паролей для учетных записей, имена которых удалось получить за счет эксплуатации различных уязвимостей на предыдущих этапах; подбор паролей на базе хеш-значений; восстановление учетных данных из зашифрованных значений и другие методы. * Доступность сети и слабая настройка Firewall. Беспроводные сети открывают злоумышленнику путь в корпоративную локальную сеть. Надежная парольная политика позволяет сократить количество возможных векторов атаки, но не дает полноценной защиты. Если сотрудники подключаются к корпоративной беспроводной сети через свои личные устройства, то у вас нет возможности контролировать защищенность каждого из них. Телефон, планшет, ноутбук могут быть уже заражены вредоносным или шпионским ПО. Более того, как корпоративные, так и личные устройства могут использовать устаревшие версии прошивок или программного обеспечения, которые содержат целый ряд общеизвестных уязвимостей. К радости потенциального злоумышленника. Для того, чтобы управлять данной уязвимостью - необходимо надёжно настроить Firewall, не позволяя незарегистрированным устройствам в сети действовать неосторожно. Кроме того, сама по себе плохо сформированная настройка Firewall может привести к ужаснейшим последствиям. * Социальная инженерия Пробравшись на территорию компании, злоумышленник оставляет на рабочем месте сотрудника зараженные носители информации. Какой-нибудь любопытный и неосведомленный сотрудник попробует проверить их на своем рабочем устройстве. И вот злодей уже получил доступ к инфраструктуре. Стоит внимательно отслеживать подозрительные действия и рабочее место каждого из сотрудников. В данной сети уязвимыми местами являются: 1. Плохо настроенный файрвол - критическое место при проникновении через периметр. Если не настроить его должным образом, то любой хакер, даже начинающий, сможет проникнуть в сеть без каких-либо проблем. 2. Личные устройства работников и клиентов. Когда сотрудник подключает свой телефон, планшет или ноутбук к корпоративной сети и использует их для доступа к конфиденциальным данным, это открывает целый мир возможностей для кибератак. Таким образом, кража таких устройств - это возможность, которой воспользуются некоторые злоумышленники. Некоторые могут даже прибегнуть к использованию более сложной стратегии, основанной на похожих приложениях, которые обманом заставляют пользователя раскрывать личную информацию. 3. Wi-Fi. Плохо защищенная сеть Wi-Fi позволяет подключаться близлежащим устройствам в обход брандмауэра. Кроме того, некоторые сети устанавливают точки доступа без пароля, что создает два риска. Во-первых, любой, кто находится поблизости, может получить доступ. Во-вторых, Wi-Fi без пароля не зашифрован, и устройства легко доступны для считывания входящего и исходящего трафика. 4. Сервера базы данных и файлов. * Некоторые сервера настраиваются без должного внимания к привилегированию. Таким образом, если злоумышленник получит доступ к любому компьютеру, то может узнать важные данные даже через обычного работника. * SQL-инъекция и NoSQL-инъекция. Основной формой атак внедрения в базы данных. Атакуют реляционные серверы баз данных (RDBMS), использующие язык SQL. Базы данных NoSQL, такие как MongoDB, RavenDB или Couchbase восприимчивы к атакам NoSQL-инъекций. Атаки инъекций SQL и NoSQL действуют в обход элементов управления вводом данных в веб-приложениях, чтобы передать команды движку базы данных для раскрытия ее данных и структур. В крайних случаях успешная инъекционная атака может дать злоумышленнику неограниченный доступ к сердцу базы данных. 5. Любой маршрутизатор или коммутатор с хилой настройкой станет отличным интструментом в руках злоумышленника. 6. Человеческий фактор в выборе паролей, нарушения правил компании или невнимательности. 7. На удивление, даже принтер может стать проблемой. На некоторых принтерах была найдена уязвимость, которая позволяет через отправку на печать специально оформленного PDF-документа вызвать переполнение буфера в обработчике шрифтов и добиться выполнения своего кода на уровне прошивки. Атака может быть совершена как на локально подключённые принтеры, так и на сетевые системы печати. ## Придумать 3-5 сценариев атаки на корпоративную инфраструктуру с указанием целей атак **1. Сценарий №1** Цель: получить данные одного или нескольких работников организации Представляем обычный день рядового сотрудника. Приехал на работу, зашёл на своё рабочее место и желает подключить свои устройства к рабочей Wi-Fi-сети. Проделывает всё как обычно, выбирая необходимую сеть из списка. Спустя какое-то время он и не будет подозревать, что, пока он работал, его устройства переподключились уже не к рабочему модему. Произошла атака и теперь "рабочая" Wi-Fi-сеть - это злоумышленник, предоставляющий свои беспроводные сетевые услуги. Как это произошло и чем это чревато? Хакер создал поддельную точку доступа с более сильным сигналом, после чего применил к сети атаку Deauth (отключают все устройства на всех точках доступа). Таким образом рабочий модем перестает обслуживать существующих клиентов. Во время этого жертва не теряет соединение и пытается снова подключится к одноименной сети, попадая уже на оборудование атакующего. Далее при подключении точка доступа спрашивает данные для авторизации. Наш работник, считая, что переподключается к своей точке доступа без опаски их вводит. В результате атаки злоумышленник получает данные для авторизации. ![](https://i.imgur.com/t2r8fVA.png) :::success Как с этим можно бороться? Делайте регулярные проверки на наличие в сети посторонних устройств и регулярно сканируйте свою инфраструктуру на предмет уязвимостей. Объясните своим коллегам, что необходимо просмотреть нет ли в списке сетей с одинаковыми названиями. Если такие имеются, то они обязаны доложить администратору о странностях. ::: **2. Сценарий №2** Цель: при помощи эксплоитов подключиться к ПК Так получилось, что в данной компании уже давно не обновлялось ПО. В итоге, на них написано уже большое количество уязвимостей и эксплоитов. Некоторые из них позволяют удаленно выполнять код (например, направленные на переполнение буфера), из-за чего происходит отказ в обслуживании систем. Например, существует такое понятие, как Heartbleed. Эта уязвимость встречается там, где сервис поддерживает SSL-соединения или если на узле используется nix-образная ОС, уязвимая версия библиотеки OpenSSL позволит читать участки памяти серверного процесса. В таких участках памяти могут в открытом виде находиться критически важные данные: учетные данные пользователей, пользовательские сессии, ключи доступа и прочее. ![](https://i.imgur.com/ZD2v2Td.png) :::success Для предотвращения подобных атак рекомендуется своевременно обновлять ПО и устанавливать обновления безопасности для ОС. Кроме того, желательно не раскрывать версии применяемых систем. ::: **3. Сценарий №3** Цель: заразить сеть вредоносными ПО для создания уязвимостей и будующих действий Социальная инженерия является одной из наиболее серьёзных проблем, поскольку над ней очень тяжело установить контроль. Кто знает какие друзья у наших сотрудников, есть ли у них личный интерес в предоставлении своих данных и доступа или они просто слишком сострадательны и не могут не перейти по письму с "помощью 20 бездомным пёсикам". В данном случае в письмах могут содержаться трояны, вредоносные ссылки и т.п. При переходе по ним или заполнении форм своими данными, сеть может в один момент быть заражена, пока сотрудник об этом даже не подозревает. ![](https://i.imgur.com/yfFLAFD.png) :::success Сотрудники сами могут выявить некоторую часть атак, проводимых методами социальной инженерии. Здесь важна бдительность: нужно всегда проверять адрес отправителя, не переходить по сомнительным ссылкам и не запускать приложенные к письму файлы, если нет уверенности в безопасности их содержимого. Кроме того, ни при каких обстоятельствах нельзя сообщать никому свои учетные данные, в том числе администраторам и сотрудникам службы безопасности. Существуют более сложные в выявлении методы атак. Письма, к примеру, могут приходить от доверенного лица. Для защиты рекомендуем использовать антивирусные решения, способные проверять файлы, получаемые по электронной почте, до того, как их откроют сотрудники. ::: **4. Сценарий №4** Цель: при помощи модифицированного USB провести атаку на корпоративную сеть USB кажется и довольно глупым сценарием, но очень мощным. Казалось бы, откуда у сотрудника может внезапно оказаться флешка с вирусом или эксплоитом? На самом деле всё гораздо проще. При помощи социальной инженерии можно представиться тем же электриком, которого сказали пропустить на входе. Многие охранники не обращают внимания на подобные инциденты, разрешая подобным рабочим проходить даже без карты доступа практически в любое место здания. Оказавшись внутри компании - нужно найти любой свободный компьютер и воспользоваться вредоносным USB. Воспользовавшись сценарием выше, можно выбирать из множества различных решений. Один из таких инструментов -- WHID Injector. По сути, это Rubberducky с возможностью удаленного подключения. Благодаря поддержке Wi-Fi его уже не надо заранее программировать на определенный род деятельности: преступник может управлять устройством дистанционно, что дает ему возможность действовать по ситуации и работать в разных операционных системах. Миниатюрные USB-устройства можно запрограммировать так, чтобы они выдавали себя за определенную модель HID-устройства. Так можно обходить политики безопасности в компаниях, где требуют использовать мыши и клавиатуры только определенных производителей. В инструментах вроде WHID Injector также может быть микрофон, который используется для прослушки и наблюдения за сотрудниками. Одного такого устройства может быть достаточно, чтобы скомпрометировать всю сеть целиком, если она не сегментирована надлежащим образом. ![](https://i.imgur.com/5XsJeDW.png) :::success Обеспечьте безопасность на физическом уровне, чтобы посторонний не смог подключить USB-устройство к системе управления. Заблокируйте неиспользуемые USB-порты физически, также желательно исключить возможность извлечения уже подключенных HID-устройств. Проинструктируйте сотрудников, чтобы они были в курсе возможных угроз, в том числе со стороны вредоносных USB-устройств. Сегментируйте сеть и сконфигурируйте права доступа таким образом, чтобы злоумышленники не смогли добраться до систем управления критически важной инфраструктурой. ::: **5. Сценарий №5** Цель: при помощи сетевого принтера провести атаку на корпоративную сеть, заполнив его буфер и выполнив скрипт из коноли Последним разберём самый забавный сценарий с атакой на принтер. Вроде кажется, принтер да принтер, что с ним можно сделать? Но самая большая опасность кроется в том, что многие модели принтеров различных производителей поддерживают недокументированный функционал по удаленному обновлению прошивки. Причем зачастую данное действие не вызывает обязательного запроса административного пароля. Таким образом, злоумышленник может выполнить обновление оригинальной прошивки специально модифицированной версией. Современные модели печатных устройств ничем не отличаются от выделенного сервера -- они обладают своей ОС, под управлением которой работают различные сетевые службы (FTP, Web, NFS). Зачастую их реализация выполнена весьма примитивно, а сами сервисы являются устаревшими версиями, что таит в себе много незакрытых уязвимостей. Хакер либо получит несанкционированный доступ к данным, хранящимся в памяти принтера/МФУ и соберёт накопленные годами данные из внутренней памяти принтера, либо запустит какой-нибудь скрипт, который будет внедрять червей, как это писалось выше, либо будет использован как расшифровщик зашифрованных данных при их сопоставлении с выведенными на печать документами. ![](https://i.imgur.com/7zxhE4b.png) :::success Эффективное противодействие атакам, направленным на оргтехнику, возможно лишь с использованием комплекса, состоящего как минимум из сканера уязвимостей и системы предотвращения вторжений. Для усиления контроля сюда также можно добавить решение, которое бы обеспечивало блокировку попыток выполнения недоверенного кода на самих устройствах. В этом случае расширяется защитный "фундамент", ведь защита может быть распространена не только на печатные устройства, но и на другие классы оборудования, в том числе серверы и рабочие станции. :::