O mais perigoso é o inimigo, do qual você não suspeita.
(Fernando Rojas) A
infraestrutura de TI de uma empresa moderna pode ser comparada a um castelo medieval. Muros altos, um fosso profundo e guardas nos portões protegem do inimigo externo, e praticamente ninguém observa o que acontece dentro dos muros da fortaleza. Da mesma forma, muitas empresas: fazem enormes esforços para proteger o perímetro externo, enquanto a infraestrutura interna permanece carente. O teste de penetração interna ainda é um processo exótico e não muito claro para a maioria dos clientes. Portanto, resolvemos contar sobre ele tudo (enfim, quase tudo) que você queria saber, mas tinha medo de perguntar.
O inimigo externo (um hacker assustador com um capuz preto) parece intimidador, mas uma grande parte dos vazamentos de informações corporativas são causados por insiders. De acordo com estatísticas de nosso centro de monitoramento Solar JSOC, os incidentes internos são responsáveis por aproximadamente 43% do número total de ameaças. Algumas organizações contam com proteções - geralmente mal configuradas - que podem ser facilmente contornadas ou desativadas. Outros não veem o insider como uma ameaça e fecham os olhos para as falhas na proteção da infraestrutura interna.
Os problemas que identificamos ao analisar o "mercado interno" vagam de empresa para empresa:
- senhas fracas e imutáveis para contas de serviço e privilegiadas;
- as mesmas senhas para uma conta de administrador regular e uma conta privilegiada;
- ;
- ;
- ;
- ;
- .
: Windows- Active Directory.
Globalmente, o teste de penetração revela como um invasor em potencial pode prejudicar a infraestrutura de TI de uma determinada empresa. Para fazer isso, especialistas em segurança cibernética realizando um teste de penetração simulam as ações de um hacker usando técnicas e ferramentas reais, mas sem prejudicar o cliente. Os resultados da auditoria ajudam a melhorar a segurança de uma organização enquanto reduzem os riscos do negócio. Esse teste tem duas direções: externa e interna. No primeiro caso, o "hacker branco" deve encontrar vulnerabilidades que possam penetrar na rede interna (ou seja, romper aquela mesma muralha).
O teste de penetração interno verifica o quão vulnerável a infraestrutura é a um insider ou intruso que tem acesso à rede local de uma organização. Eles serão capazes, se desejarem, de controlar a LAN, mover-se livremente por ela e influenciar a operação de servidores individuais? Esse trabalho é realizado na rede interna e, mais frequentemente, na posição de um funcionário com privilégios mínimos. Ao mesmo tempo, é possível (e necessário) verificar até mesmo os funcionários que possuem apenas acesso físico aos computadores (por exemplo, faxineiros, eletricistas, seguranças, entregadores, etc.).
O teste de penetração não deve revelar todas as vulnerabilidades existentes na empresa em todos os hosts da rede interna (isso pode ser feito usando um scanner de vulnerabilidade ou configurando corretamente as políticas de gerenciamento de vulnerabilidade). Ele tem uma tarefa completamente diferente: encontrar uma ou duas rotas que um invasor possa seguir para atacar com sucesso sua vítima. A execução do trabalho se concentra nas configurações de segurança e recursos do Windows. Em uma palavra, não será mais realizado, por exemplo, a varredura de portas abertas e a procura de hosts com atualizações desinstaladas.
Como isso acontece
O teste de segurança da infraestrutura interna ocorre em vários estágios:
Aqui está um exemplo de como um teste de penetração interna semelhante ocorreu na realidade no âmbito de um de nossos projetos:
- Primeiro, identificamos os compartilhamentos de arquivos que hospedavam os aplicativos da web;
- SA (Super Admin) MS SQL;
- MS SQL sqldumper.exe xp_cmdshell LSASS, :
- .
Como o teste de penetração interno considera apenas a infraestrutura interna (obviamente) de uma organização, não importa como um invasor obteve o acesso inicial à rede - importa como ele usou esse acesso. Portanto, o relatório final, elaborado com base nos resultados do penteste, descreve as vulnerabilidades que não foram descobertas, mas sim a história de como o especialista se movimentou na rede, quais os obstáculos e dificuldades que enfrentou, como os contornou e como concluiu a tarefa. Um especialista pode detectar várias falhas, mas para atingir o objetivo, será escolhida uma das mais ideais ou interessantes. Ao mesmo tempo, todas as vulnerabilidades detectadas "no caminho" também serão incluídas no relatório. Como resultado, o cliente receberá recomendações para corrigir deficiências e melhorar a segurança da infraestrutura interna.
Na verdade, o teste de penetração interna continua com o externo, respondendo à pergunta: "O que acontece depois que um cibercriminoso entra na rede?" Em comparação, a seguinte metodologia é geralmente usada no processo de teste de penetração de perímetro externo:
Quem entra na infraestrutura
Portanto, como o invasor entrou na rede não é importante, portanto, no estágio inicial de planejamento do teste de penetração interna, modelos de um invasor interno ou externo podem ser considerados.
- Modelo de insider. Um insider é um invasor interno motivado que tem acesso legítimo à infraestrutura de uma organização, limitado apenas pelas responsabilidades do trabalho. Por exemplo, um funcionário real que decidiu prejudicar sua empresa. Além disso, os funcionários dos serviços de apoio (seguranças, faxineiras, eletricistas, etc.) podem atuar como insiders, têm acesso legítimo ao escritório, mas não têm direitos de acesso à infraestrutura.
- Modelo de intruso externo. O modelo não se concentra em como o acesso foi obtido (vulnerabilidade de perímetro, vazamento de credencial, engenharia social ou outro) para a rede interna da organização. O ponto de partida é o fato de que o "forasteiro" já está lá dentro.
Depois de traçar um modelo de ameaça, a própria situação é simulada em que o performer terá acesso à infraestrutura:
- ;
- . , (Wi-Fi);
- . : , , ;
- «» , . (Command & Control), . , .
Ao mesmo tempo, o pentesting não é vagar sem rumo pela infraestrutura de outra pessoa. O "hacker branco" sempre tem uma meta definida pelo cliente. O cenário mais comum para o teste de penetração interna é obter privilégios de administrador de domínio. No entanto, na realidade, os invasores raramente procuram obter esses privilégios, pois isso pode atrair atenção desnecessária para eles. Portanto, na maioria dos casos, os privilégios de administrador de domínio não serão o objetivo, mas o meio para alcançá-lo. E o objetivo poderia ser, por exemplo, assumir o controle de uma rede corporativa, obtendo acesso a uma estação de trabalho e servidor ou a um aplicativo e banco de dados.
Quem precisa de tudo
Vale a pena para um cliente permitir que testadores de penetração entrem em sua rede corporativa? Definitivamente vale a pena. É aqui que se encontram os dados mais críticos e os principais segredos da empresa. Para proteger uma LAN, você precisa conhecer todos os seus cantos, fendas e deficiências. E o teste de penetração interna pode ajudar com isso. Ele permite que você veja os pontos fracos da infraestrutura ou verifique os controles de segurança configurados e melhore-os. Além disso, o teste de penetração interna é uma alternativa mais acessível para o Red Team. Bem, se a tarefa é demonstrar à gestão que os recursos alocados não são suficientes para garantir a segurança da infraestrutura interna, o teste de penetração interna permite comprovar esta tese com fatos.
Autor: Dmitry Neverov, especialista em análise de segurança, Rostelecom-Solar