Когда мы говорим о кибератаках, мы часто думаем о вредоносной деятельности злоумышленников за пределами компании, в то время как число внутренних кибератак растет. В отчете Insider Threat Report 2019 говорится, что 59% опрошенных компаний подвергались таким атакам за последний год. Поэтому защита от таких атак изнутри не менее важна, чем защита от внешних атак.
Что такое внутренний пентест?
Во время внутреннего пентеста тесты проводятся изнутри компании или иногда через VPN. Чаще всего пентестеры приходят на территорию компании, приносят свое оборудование и ставят себя на место внутреннего злоумышленника.
Зачем проводить внутренний пентест?
Внутренний пентест позволяет измерить риск компрометации вашей внутренней сети. Речь идет о выявлении плохих конфигураций, определении внутренних уязвимостей, которые могут быть использованы злоумышленником, и измерении последствий для внутренней сети в случае компрометации. Затем предлагаются решения, позволяющие устранить недостатки.
В чем отличия от внешнего пентеста?
Первое отличие заключается в том, что безопасность большего количества элементов может быть проверена изнутри организации. Внешний злоумышленник имеет лишь ограниченное представление о внутренней сети объекта.
Второе заметное отличие заключается в том, что профиль атакующих не одинаков. Любой сотрудник и персонал, так или иначе связанный с компанией и ее помещениями (поставщики услуг, поставщики, гости и т. д.), может, намеренно или нет, стать источником атаки или утечки конфиденциальных данных. Их доступ к внутренней сети компании является потенциальным риском.
Третье отличие заключается в том, что возможны дополнительные атаки с применением социальной инженерии, например подброс USB-носителей.
Проведение внутреннего теста на проникновение
При подготовке внутреннего теста на проникновение первым шагом является определение сценария вторжения. Поставит ли пентестер себя на место стажера, сотрудника или посетителя? Будет ли у него доступ к проводному или Wi-Fi соединению? Будет ли у него доступ к гостевой сети или к сети, используемой сотрудниками? Можно выбрать несколько сценариев для проведения наиболее полного аудита.
Составление карты сети
Прибыв на место, пентестер начинает составлять карту сети, перечисляя все доступные серверы, прокси-серверы, маршрутизаторы, рабочие станции и другие узлы. Даже принтер может быть использован в злонамеренных целях, например, для перехвата распечатываемых документов.
Далее следует более тщательная идентификация машин. Необходимо определить их тип и роль в сети. После этого пентестер сканирует порты всех найденных хостов на предмет используемых сервисов. Также проводится перечисление пользователей сети.
Выявление уязвимостей
После сканирования портов изучаются версии используемых сервисов и операционных систем. Пентестер ищет те, которые уже не обновляются или не поддерживаются. Не обновлять оборудование — значит подвергать себя известным и часто документированным уязвимостям с проверенными атаками.
Аудит продолжается прослушиванием сетевого трафика с помощью анализатора пакетов, такого как Wireshark. Некоторые протоколы связи небезопасны, но продолжают использоваться. Аналогичным образом, коммуникации Wi-Fi должны быть зашифрованы, чтобы передаваемые данные не могли быть прочитаны злоумышленником. Такие методы шифрования, как WEP (Wired Equivalent Privacy) и некоторые версии WPA (Wi-Fi Protected Access), легко взламываются.
Затем пентестер проверяет, что различные сети герметично отделены друг от друга. Например, может оказаться, что в гостевых зонах забыты Ethernet-розетки, подключенные к корпоративной сети, что сводит на нет полезность выделенного Wi-Fi.
Эксплуатация уязвимостей
После того как все уязвимости перечислены, пентестер приступает к их эксплуатации, концентрируясь на наиболее представительных или интересных с точки зрения злоумышленника.
Из версий служб он может найти логины и пароли по умолчанию для различных служб и узлов. Часто они не изменяются. Перехватывая сетевой трафик (например, с помощью отравления ARP-кэша), иногда удается получить действительные учетные данные.