Практическая работа №1. Риски, угрозы и моделирование угроз корпоративной инфраструктуры.

# Практическая работа №1. Риски, угрозы и моделирование угроз корпоративной инфраструктуры. *Выполнил студент группы БСБО-08-19, Харитонов Алексей. Предмет: Тестирование на проникновение.* ## Задание 1. Создать файл в draw.io и построить модель коорпоративной инфраструктуры или построить домашнюю. ## Выполнение. ![](https://i.imgur.com/GyabfmQ.png) Рисунок 1. В приложении draw.io была создана диаграмма корпоративной инфраструктуры, которая представлена на **рисунке 1**. На данной диаграмме Изображены 3 LAN сети, которые имеют выход в интернет через роутер и защиту Firewall. ## Задание 2. Уязвимые места корпоративной сети Обозначить наиболее опасные или уязвимые места в корпоративной инфраструктуре. ## Выполнение. Одним из наиболее уязвимых мест в корпоративной инфраструктуре является пользователь(обычный сотрудник, администратор, менеджер и т.д). Уязвимые места внутри инфраструктуры касаются не только пользователей, но также и установленного программного обеспечения на компьютерах, находящихся внутри инфраструктуры. Таким образом, наиболее уязвимыми местами в корпоративной инфраструктуре являются: сотрудники организации, ПО находящиеся на компьютерах в инфраструктуре, а также уязвимости операционных систем, которые используются в инфраструктуре организаций, и уязвимости протоколов. **Разновидности угроз:** * **_1 класс. Потенциальный источник угрозы, который может находиться:_** * непосредственно в информационной системе (ИС) * в пределах видимости ИС (например, устройства для несанкционированной звукозаписи) * вне зоны видимости ИС (перехват данных в процессе их отправки куда-либо) * **_2 класс. Воздействие на ИС, которое может нести:_** * активную угрозу (троян, вирус) * пассивную угрозу (копирование конфиденциальной информации злоумышленником) * **_3 класс. Метод обеспечения доступа, который может быть реализован:_** * напрямую (кража паролей) * посредством нестандартных каналов связи (например, уязвимости операционной системы) ## Задание №3. Пример сценариев атаки **Первый сценарий:** * _Пример:_ Внешний нарушитель может подключиться к протоколу удаленного доступа подключиться к корпоративной сети при помощи: RSH, SSH, RDP. * _Цели:_ При помощи этого можно сделать подбор учетных данных, при использовании программы для подбора учетных данных и словаря. **Вторй сценарий:** * _Пример:_ При телефонном разговоре с сотрудником организации, в ходе разговора с подставным админом сети, был получен логин и пароль от учетной записи сотрудника. * _Цели:_ Получения доступа к аккаунту сотрудника при помощи ``социальной инженерии``, для дальнейших манипуляций в системе. **Третий сценарий:** * _Пример:_ В ходе изучения сайта компании, могут быть найдены поля ввода данных, которые не защищены от SQL инъекций. * _Цели:_ При помощи SQL инъекций можно просто дропнуть базу данных, а при создании хорошего запроса можно и вывести список логинов и паролей пользователей сайта.