Практическая работа №1. Риски, угрозы и моделирование угроз корпоративной инфраструктуры

<h1>Практическая работа №1. Риски, угрозы и моделирование угроз корпоративной инфраструктуры</h1> Выполнил студент группы БСБО-05-20 Зотов Максим Леонидович <h2>1. Схема модели корпоративной инфраструктуры</h2> ![](https://i.imgur.com/SEnt4UR.png) <h2>2. Наиболее опасные места в корпоративной инфраструктуре</h2> * В первую очередь люди, у которых можно получить важные корпоративные данные с помощью социальной инженерии * Устарвшие версии ОС и антивирусов на пк (или же полное отсутствие последних) * Недостаточная защита паролей и учетных записей как у аккаунтов работников, так и у wifi сетей. * Недостатки в сетевой безопасности: уязвимые места включают открытые порты, неактуальные брандмауэры, уязвимые маршрутизаторы и коммутаторы. * Недостатки в управлении обновлениями: неактуальное ПО может иметь уязвимости, которые могут быть использованы злоумышленниками. * Недостаточная защита мобильных устройств: использование личных мобильных устройств для работы может создавать дополнительные уязвимости. <h2>3. Сценарии атак на инфраструктуру</h2> **1 Сценарий** Путём фишинга получаем доступ к ПК - получаем данные сотрудника в корпоративной сети(PC1, PC2, PC3, PC4) **1 Сценарий** Подключение к открытым или слабозащищённым WiFi сетям с дальнейшим перехватом трафика Атака через открытые Wi-Fi сети может происходить следующим образом: 1. Подключение к открытой Wi-Fi сети: Злоумышленник подключается к открытой Wi-Fi сети без пароля и начинает сканировать устройства, находящиеся в этой сети. 2. Подготовка атаки: Злоумышленник может использовать различные инструменты для сканирования сети, определения уязвимостей и поиска потенциальных жертв. 3. Выполнение атаки: Злоумышленник может использовать различные типы атак, такие как перехват трафика, Man-in-the-Middle (MITM) атаки, атаки на уязвимости устройств и т.д. Например, злоумышленник может использовать MITM атаку для перехвата учетных данных пользователей, вводимых на защищенных сайтах, таких как банки, социальные сети и т.д. 4. Уход с места преступления: Злоумышленник может быстро завершить атаку и отключиться от Wi-Fi сети, чтобы избежать обнаружения. *Последствия: Атака может привести к утечке конфиденциальной информации, взлому учетных записей, угрозам безопасности и конфиденциальности данных, а также потере репутации.* *Защита от атаки: Чтобы защититься от атак через открытые Wi-Fi сети, необходимо использовать только безопасные Wi-Fi сети, защитить устройства с помощью сильных паролей и обновлений, использовать виртуальные частные сети (VPN) и двухфакторную аутентификацию, а также обучать пользователей о возможных угрозах и методах защиты.* **2 Сценарий** Сбор общедоступной корпоративной информации через интернет или же личную встречу(например, собеседование). Как пример, на сайте организации можно найти ИНН, историю закупок, что позволит злоумышленнику прикинуть ежемесячный оборот организации, информацию о контрагентах, некоторые данные о сотрудниках и т.д. В дальнейшем злоумышленник могут использовать общедоступную информацию об организации чтобы попытаться убедить сотрудников предоставить им доступ к защищенной информации. Например, они могут отправить фишинговые сообщения с ложными запросами на данные или использовать обман для получения паролей. **3 Сценарий** В ходе сканирования злоумышленником доменов и поддоменов организации, была получена база ip адресов, открытых портов и впоследствии осуществлена DDoS атака на корпоративную сеть. Процесс DDoS-атаки на организацию может происходить следующим образом: 1. Подготовка: Злоумышленники анализируют целевую организацию, ее сетевую архитектуру и уязвимости, которые могут быть использованы для проведения DDoS-атаки. Затем они создают ботнет, состоящий из компьютеров, зараженных вредоносным ПО. 2. Запуск атаки: Злоумышленники направляют трафик от ботнета на серверы целевой организации. Это может происходить с помощью различных методов, например, с помощью утилит, которые способны генерировать большой объем сетевого трафика. 3. Перегрузка серверов: В результате направления большого объема трафика на серверы организации, они перегружаются и не способны обрабатывать запросы от реальных пользователей. Это приводит к тому, что организация становится недоступной для пользователей. 4. Распространение атаки: Злоумышленники могут использовать различные методы для распространения атаки, например, изменять параметры трафика и использовать различные IP-адреса, чтобы обойти механизмы защиты. 5. Окончание атаки: Атака может закончиться, когда злоумышленники прекращают направлять трафик на серверы организации, или когда администраторы сети принимают меры для блокировки атаки, например, используют механизмы фильтрации трафика или сервисы DDoS-защиты. ***Вывод: DDoS-атаки могут привести к серьезным проблемам с доступностью веб-сайта или приложения, которые могут нанести ущерб бизнесу. Важно предпринимать меры защиты, чтобы снизить вероятность проведения успешной DDoS-атаки.*** **4 Сценарий** В ходе сканирования злоумышленником доменов и поддоменов организации, были получены сведения об открытом ssh порте одного из коммутаторов в корпоративной сети Атака по открытому SSH порту может происходить следующим образом: 1. Сканирование: Злоумышленники сканируют сеть и ищут открытые порты SSH. Как правило, стандартный SSH порт равен 22. 2. Попытка подключения: Злоумышленники пытаются подключиться к серверу с помощью словаря паролей или брутфорса, используя различные комбинации логинов и паролей. В некоторых случаях, злоумышленники могут использовать скомпрометированные учетные записи. 3. Успешное подключение: Если злоумышленникам удается угадать правильную пару логин/пароль или использовать скомпрометированную учетную запись, они получают доступ к серверу через SSH. 4. Подготовка сервера: После получения доступа, злоумышленники могут выполнять различные действия на сервере, такие как установка вредоносного ПО, изменение конфигурации или создание новых пользователей. 5. Контроль сервера: Злоумышленники могут использовать полученный доступ для контроля сервера или использования его ресурсов для проведения дальнейших атак, например, DDoS-атак. *Защита от атаки: Чтобы защититься от атак по открытому SSH порту, необходимо использовать сильные пароли, установить двухфакторную аутентификацию, ограничить доступ к серверу с помощью IP-адресов и использовать инструменты мониторинга событий, чтобы своевременно обнаруживать атаки.* ***Вывод: Атаки по открытому SSH порту могут привести к серьезным последствиям, таким как утечка конфиденциальной информации, потеря контроля над сервером, ущерб бизнесу и т.д. Поэтому, важно обеспечивать безопасность SSH доступа к серверу.***