Практика №1. Риски, угрозы и моделирование угроз корпоративной инфраструктуры

Практика №1. Риски, угрозы и моделирование угроз корпоративной инфраструктуры === ### **`Выполнение задания`** #### Примерная модель корпоративной инфраструктуры: ![](https://i.imgur.com/w64ILHf.jpg) #### Наиболее опасные (или уязвимые места в корпоративной инфраструктуре): 1. Пароли и учетные записи - слабые пароли и учетные записи с правами администратора могут стать целью атак. 2. Сетевые уязвимости - недостаточно защищенные сети и открытые порты могут быть использованы для входа в систему. 3. Уязвимости ПО - непатченные уязвимости в программном обеспечении могут использоваться для атаки на систему. 4. Социальная инженерия - злоумышленники могут использовать обман и манипуляцию, чтобы получить доступ к системе. 5. Сетевые устройства, такие как маршрутизаторы, коммутаторы и брандмауэры, которые контролируют трафик в сети и могут стать уязвимыми к атакам DDoS и другим видам атак. #### Сценарии атак на корпоративную инфраструктуру: #### _`Сценарий 1: DDoS-атака`_ DDoS-атака - злоумышленник перегружает корпоративную сеть трафиком, что приводит к снижению скорости и доступности ресурсов. Цель атаки - нанесение ущерба бизнесу. Действия при DDoS-атаке могут быть различными в зависимости от технической реализации атаки, однако общие шаги могут быть такими: 1. Наблюдение за работой сайта или сервиса, который будет атакован. 2. Подбор ресурсов для масштабирования атаки (например, ботнеты). 3. Запуск атаки, которая может проходить в несколько этапов: - Отправка запросов на сервер в большом количестве. - Использование недостатков протоколов и программных обеспечений для организации атаки. - Использование уязвимостей в системе защиты от DDoS-атак. 4. Мониторинг результатов атаки и ее корректировка для увеличения нагрузки на целевой ресурс. 5. Окончание атаки, которая заключается в отключении ресурсов, используемых для атаки. В результате успешной DDoS-атаки сервер может перегрузиться, что приведет к снижению производительности или невозможности работы ресурса. Кроме того, такая атака может привести к дополнительным расходам на реставрацию работоспособности системы. #### _`Сценарий 2: Атака через открытый порт`_ Атака на уязвимости в сети через открытый порт - это процесс эксплуатации уязвимостей в системе, который запущен на хосте и связан с открытым сетевым портом. Целью атаки может быть получение несанкционированного доступа к системе, кража конфиденциальной информации или уничтожение данных. Некоторые действия, которые могут быть проведены в сценарии атаки на открытый порт в сети: 1. Идентификация открытых портов: Хакер может использовать инструменты, такие как сканер портов, для обнаружения открытых портов в сети. 2. Анализ уязвимостей: Когда хакер обнаруживает открытый порт, он может использовать специальные инструменты для обнаружения уязвимостей, связанных с этим портом. Эти инструменты могут использоваться для идентификации слабых мест в системе, которые могут быть использованы для проведения атаки. 3. Поиск эксплойтов: Хакер может использовать специализированные инструменты для поиска эксплойтов, которые могут использоваться для атаки открытого порта. Эти инструменты могут помочь хакеру получить удаленный доступ к системе, внедрить вредоносный код или запустить другие атаки. 4. Перехват трафика: Хакер может использовать специальные инструменты для перехвата трафика, который проходит через открытый порт. Это может помочь хакеру получить доступ к конфиденциальным данным, таким как логины и пароли. 5. Установка бэкдоров: Если хакеру удается получить удаленный доступ к системе через открытый порт, он может установить бэкдор, который позволит ему сохранять постоянный доступ к системе в будущем. 6. Скрытие следов: Хакер может попытаться скрыть свои следы, чтобы избежать обнаружения. Он может стереть следы своих действий, изменить логи или маскировать свою активность с помощью специальных инструментов. После успешной эксплуатации уязвимости, злоумышленник может получить удаленный доступ к системе, а также устанавливать вредоносное ПО для дальнейшего контроля над системой или для кражи конфиденциальной информации. В некоторых случаях, злоумышленник может использовать атаку на уязвимости в сети через открытый порт, чтобы запустить DDoS-атаку на хосте, которая может привести к падению сервисов и систем. #### _`Сценарий 3: Фишинг атака`_ Целевой-фишинг (spear phishing) - это наиболее распространенный тип атаки, при котором злоумышленник заранее изучает список целевых пользователей и формирует персонализированные сообщения, которые выглядят легитимными. Они могут содержать электронные письма от начальства, сервисные запросы или другую информацию, которая может показаться пользователю важной. Примерное описание действий злоумышленников при атаке целевым фишингом: 1. Получение информации о цели: злоумышленник собирает информацию о своей цели, включая ее должность, роль в организации, контактные данные и другую открытую информацию в Интернете. 2. Формирование персонализированного сообщения: злоумышленник использует собранную информацию, чтобы создать легитимное и персонализированное сообщение, скрывая свою настоящую идентичность. 3. Отправка фишингового сообщения: злоумышленник отправляет сообщение на электронную почту или другой канал связи, который используется целью. Сообщение может содержать ссылки на вредоносные веб-сайты или вложения, которые могут вызвать инфицирование системы цели. 4. Компрометация учетных данных: если жертва переходит по ссылке или открывает вложение, злоумышленник может перенаправить ее на поддельный сайт, который выглядит как обычный сайт, включая страницы авторизации. Там жертва будет подгонять свои учетные данные, например, логин и пароль, и злоумышленник получит доступ к конфиденциальной информации. 5. Завершение атаки: после того, как злоумышленник получает необходимую информацию, он может использовать ее для различных целей, например, продажи конкурентам или использования в преступном деле. Он также может продолжать атаку, собирая дополнительную информацию или находя другие уязвимости в системе. #### _`Сценарий 4: Атака на уязвимые учетные записи`_ Атака на уязвимость учетных записей (англ. Account takeover attack) — это тип кибератак, при котором злоумышленник получает несанкционированный доступ к учетной записи пользователя, используя информацию, полученную из различных источников, таких как перехват сетевого трафика или атаки методом социальной инженерии. Примерные действия атаки на слабые учетные записи в корпоративной сети могут выглядеть следующим образом: 1. Сбор информации о потенциальной жертве: злоумышленник может использовать различные методы сбора информации, такие как поиск информации из социальных сетей, почтовых ящиков и баз данных, которые также могли быть украдены из других открытых источников, перехват сетевого трафика, сканирование открытых портов, поиск уязвимостей в приложениях, фишинг-атаки, для получения информации о том, какие учетные записи используются жертвой, какой тип аутентификации используется, какие приложения чаще всего используются и так далее. 2. Подбор пароля: после того, как злоумышленник получил информацию об учетной записи жертвы, он может приступить к подбору пароля. Для этого он может использовать различные методы, такие как перебор словаря, брутфорс и т.д. В случае, если у жертвы используется слабый пароль, то злоумышленнику не составит труда взломать учетную запись. 3. Получение доступа к учетной записи: после того, как злоумышленник получил доступ к учетной записи жертвы, он может использовать ее для различных целей, например, для получения доступа к конфиденциальным данным, финансовым ресурсам, пересылки спам-сообщений, распространения вредоносного ПО. #### _`Сценарий 5: Физический доступ`_ Злоумышленние может получить физический доступ к устройству, используя методы социальной инженерии. Социальная инженерия - это использование психологических методов взаимодействия с людьми для получения конфиденциальной информации, доступа к системам или выполнения нежелательных действий. Например, злоумышленник может обратиться к работнику IT-отдела и выдать себя за сотрудника. Вот пример получения доступа к устройству в сети: 1. Злоумышленник, выдающий себя за сотрудника ИТ-отдела, может позвонить настоящему сотруднику в компании, выдавая свою личность за техническую поддержку, и объяснить, что у них возникли проблемы с устройством, которое находится в непосредственной близости от сотрудника. 2. Далее злоумышленник может убедительно обосновать необходимость проверки устройства, и попросить сотрудника разблокировать его и предоставить ему физический доступ для устранения проблемы. 3. Также он может использовать фальшивое удостоверение или подделанный пропуск для доступа в зону, где находится устройство, или попросить у сотрудника доступ к зоне в рамках ремонтных работ или обслуживания. 4. Как только злоумышленник получает физический доступ к устройству, он может легко получить доступ к информации на этом устройстве, и, возможно, к информации в корпоративной сети.