Журнал "Директор по безопасности" Апрель 2020 | Page 10
АНАЛИТИКА
ТЕСТИРОВАНИЕ НА
ПРОНИКНОВЕНИЕ
В ОРГАНИЗАЦИЯХ
КРЕДИТНО-
ФИНАНСОВОГО
СЕКТОРА
В 2019 году эксперты Positive
Technologies провели десятки тестиро-
ваний на проникновение («пентестов»)
корпоративных информационных систем
организаций из разных отраслей. Раз-
личие в выборках для двух типов работ
объясняется тем, что каждая компания
могла проводить отдельно внешний
или внутренний пентест либо и тот, и
другой в комплексе.
ОСНОВНОЙ ЦЕЛЬЮ ПЕНТЕСТЕ-
РА ПРИ ПРОВЕДЕНИИ ВНЕШ-
НЕГО ТЕСТИРОВАНИЯ БЫЛО
ПРОНИКНОВЕНИЕ ИЗ ИНТЕРНЕ-
ТА В ЛОКАЛЬНУЮ КОРПОРА-
ТИВНУЮ СЕТЬ ОРГАНИЗАЦИИ,
А ПРИ ВНУТРЕННЕМ – ПОЛУЧЕ-
НИЕ МАКСИМАЛЬНО ВОЗМОЖ-
НЫХ ПРИВИЛЕГИЙ В КОРПО-
РАТИВНОЙ ИНФРАСТРУКТУРЕ
(КОМПРОМЕТАЦИЯ КОНТРОЛ-
ЛЕРОВ ДОМЕНОВ, ПОЛУЧЕНИЕ
ПРИВИЛЕГИЙ АДМИНИСТРА-
ТОРОВ ДОМЕНОВ ИЛИ ЛЕСА
ДОМЕНОВ 2). В ОТДЕЛЬНЫХ
ПЕНТЕСТАХ РУКОВОДСТВО ОР-
ГАНИЗАЦИИ СТАВИЛО ЗАДА-
ЧУ ПРОДЕМОНСТРИРОВАТЬ
ВОЗМОЖНОСТЬ ПОЛУЧЕНИЯ
КОНТРОЛЯ НАД КРИТИЧЕСКИ
ВАЖНЫМИ СИСТЕМАМИ (НА-
ПРИМЕР, СИСТЕМАМИ УПРАВ-
ЛЕНИЯ БАНКОМАТАМИ, SWIFT,
АРМ КБР, РАБОЧИМИ СТАНЦИ-
ЯМИ ТОП-МЕНЕДЖЕРОВ).
Ключевые результаты
Внешний злоумышленник может про-
никнуть из интернета в локальную сеть
семи из восьми протестированных
компаний. Общий уровень защищен-
ности сетевого периметра шести фи-
нансовых организаций был оценен как
крайне низкий (шесть – крайне низкий,
один – низкий; один – выше среднего).
Для проникновения во внутрен-
нюю сеть банка в среднем требуется
пять дней.
Во всех 10 организациях, где про-
водился внутренний пентест, удалось
получить максимальные привилегии в
корпоративной инфраструктуре.При-
чем в семи проектах полный контроль
был получен в результате продолжения
успешной внешней атаки из интернета.
В трех проектах стояла дополнительная
цель – продемонстрировать возмож-
ность хищения денежных средств банка
потенциальным злоумышленником, и
во всех трех проектах удалось проде-
монстрировать такую возможность.
Для получения полного контроля
над инфраструктурой банка внутрен-
нему злоумышленнику потребуется в
среднем два дня.
Общий уровень защищенности кор-
поративной инфраструктуры большин-
ства финансовых организаций от вну-
тренних атак оценивается как крайне
низкий (восемь – крайне низкий, два –
низкий).
В рамках трех внешних пентестов
и в двух внутренних были выявлены и
успешно применены шесть уязвимо-
стей нулевого дня в известном ПО.
Векторы проникновения
в локальную сеть
Злоумышленник может использовать
различные способы проникновения в
локальную сеть банков. Максимальное
количество разных векторов проник-
новения, которые были обнаружены в
рамках одного проекта – пять; мини-
мальное – один.
В одном из банков были выявлены
следы более ранних взломов на мно-
жестве ресурсов сетевого периметра.
Это значит, что банк не только уязвим,
а уже был атакован реальным злоу-
мышленником и не смог выявить атаку.
Сложность векторов проникновения
в банки нельзя оценить однозначно. В
некоторых случаях для атаки требует-
ся высокая квалификация хакера, как
например в векторах атаки с исполь-
зованием уязвимостей нулевого дня.
Злоумышленник должен быть готов не
только найти такую уязвимость, но и
разработать эксплойт. Но в большин-
стве организаций наряду со сложным
вектором атаки выявлялся и простой,
который более вероятно выбрал бы
потенциальный преступник. Высоким
уровнем сложности охарактеризованы
семь из всех обнаруженных векторов
проникновения в локальную сеть бан-
ков, низким – восемь, средним – один.
Большинство векторов атаки (44%)
основаны на эксплуатации уязвимостей
веб-приложений. Во многих случаях
для такой атаки потребуется обладать
привилегиями пользователя на сайте
(иметь личный кабинет), но из-за при-
менения простых паролей многими
пользователями эти привилегии зло-
умышленник может получить путем
подбора. А в некоторых системах воз-
можно просто зарегистрировать ново-
го пользователя, используя встроенные
механизмы приложения.
Выводы
Уровень защищенности корпоратив-
ной инфраструктуры банков от це-
ленаправленной атаки со стороны
как внешнего, так и внутреннего зло-
умышленника, достаточно низкий. В
компаниях, в которых не обеспечены
эффективный мониторинг событий
ИБ и реагирование на выявленные ин-
циденты, нарушитель может не толь-
ко получить контроль над ключевыми
системами, но и проводить атаки, на-
целенные на хищение денег. Поэтому
мы рекомендуем регулярно проводить
тестирование на проникновение и тре-
нинги сотрудников ИБ в рамках «red
teaming». Это позволит обнаруживать
и своевременно устранять потенци-
альные векторы атак на критически
важные ресурсы, а также отработать
действия служб ИБ в случае выявления
реально кибератаки, проверить эф-
фективность используемых средств за-
щиты и мониторинга.
В рамках тестирования моделиро-
вались атаки внешнего и внутреннего
злоумышленников на элементы корпо-
ративной информационной системы
финансовых организаций без исполь-
зования социальной инженерии и уяз-
вимостей беспроводных сетей.
Лес доменов – это группа деревьев
доменов, которые устанавливают дву-
сторонние доверительные отношения
между доменами.
За один этап или шаг атаки мы
принимаем успешное действие нару-
шителя, которое позволяет ему полу-
чить информацию или привилегии
необходимые для дальнейшего разви-
тия атаки. В общем случае число ша-
гов может равняться числу различных
уязвимостей, которые необходимо
проэксплуатировать злоумышленнику
последовательно, чтобы достичь по-
ставленной цели.
ИССЛЕДОВАНИЕ КОМПАНИИ
POSITIVE TECHNOLOGIES
ДОЛЯ УСПЕШНЫХ ВЕКТОРОВ
ПРОНИКНОВЕНИЯ В ЛОКАЛЬНУЮ
СЕТЬ (ПО КАТЕГОРИЯМ)
6%
ИСПОЛЬЗОВАНИЕ
УЯЗВИМОСТИ
НУЛЕВОГО ДНЯ
25%
ПОДБОР
УЧЕТНОЙ ЗАПИСИ
ДЛЯ УДАЛЕННОГО
УПРАВЛЕНИЯ
25%
ИСПОЛЬЗОВАНИЕ НЕДОСТАТКА
КОНФИГУРАЦИИ В КОМБИНАЦИИ
С УЯЗВИМОСТЯМИ ПО
44%
ЭКСПЛУАТАЦИЯ УЯЗВИМОСТИ
ВЕБ-ПРИЛОЖЕНИЯ В
КОМБИНАЦИИ
С ПОДБОРОМ УЧЕТНОЙ
ЗАПИСИ
ДОЛЯ УСПЕШНЫХ АТАК РАЗНЫХ
ТИПОВ
22%
ЭКСПЛУАТАЦИЯ
ИЗВЕСТНОЙ
УЯЗВИМОСТИ ПО
25%
АТАКА
НА ВЕБ-
ПРИЛОЖЕНИЕ
17%
5%
ЛЕГИТИМНОЕ
ДЕЙСТВИЕ
АТАКА
НА ИНФРАСТРУКТУРНЫЕ
СЛУЖБЫ
31%
ПОДБОР
УЧЕТНЫХ
ДАННЫХ
РАСПРЕДЕЛЕНИЕ ВСЕХ
УСПЕШНЫХ АТАК ПО
КАТЕГОРИЯМ (ДОЛЯ АТАК)
24%
ДРУГОЕ
13%
ИСПОЛЬЗОВАНИЕ
АРХИТЕКТУРНЫХ
ОСОБЕННОСТЕЙ ОС
14%
ПОДБОР УЧЕТНЫХ ДАННЫХ
49%
ЛЕГИТИМНОЕ
ДЕЙСТВИЕ
УСПЕШНЫЕ АТАКИ РАЗНЫХ
ТИПОВ (ЧИСЛО КОМПАНИЙ)
ИСПОЛЬЗОВАНИЕ АРХИТЕКТУРНЫХ
ОСОБЕННОСТЕЙ NTLM 6
ИСПОЛЬЗОВАНИЕ АРХИТЕКТУРНЫХ
ОСОБЕННОСТЕЙ ОС 7
ЭКСПЛУАТАЦИЯ ИЗВЕСТНОЙ УЯЗВИМОСТИ ПО 8
ИСПОЛЬЗОВАНИЕ АРХИТЕКТУРНЫХ
ОСОБЕННОСТЕЙ KERBEROS 9
ПОДБОР УЧЕТНЫХ ДАННЫХ 10
ЛЕГИТИМНОЕ ДЕЙСТВИЕ 10
0
2
4
6
8
10
4
3
2
4 4
1
5
6
7
8
УГРОЗЫ ДЛЯ СЕТЕВОГО ПЕРИ-
МЕТРА ФИНАНСОВЫХ ОРГА-
НИЗАЦИЙ (ЧИСЛО КОМПАНИЙ)
0
2
3
7
ПОДОБРАННЫЕ ПАРОЛИ
НА СЕТЕВОМ ПЕРИМЕТРЕ ПО
КАТЕГОРИЯМ (ДОЛЯ ПАРОЛЕЙ)
8%
ДРУГИЕ
3%
СЛОВАРНЫЙ
ПАРОЛЬ
41%
СОСЕДНИЕ
КЛАВИШИ
48%
МЕСЯЦ, ГОД