Тестирование на проникновение: насколько защищены ваши корпоративные системы?

Дорофеев Александр, CISSP,CISA управляющий консультант Агентство Информационной Безопасности «Атлант»

Кто из них хакер?

1 2 3

4 5 6

Наши герои

1.  Фрэнк Абигнейл; был приговорен к 12 годам лишения свободы за мошенничество.

2.  Саад Ичуафни; разыскивается ФБР за организацию и проведение DDOS-атак.

3.  Оуен Вокер; обвинялся в организации международной преступной хакерской группы, во взломе систем, создании бот-сетей. Был освобожден от заключения, так как не достиг совершеннолетия.

4.  Кевин Митник; неоднократно совершал преступления, связанные с проникновением в компьютерные сети.

5.  Дэвид Кернелл; предъявлено обвинение во взломе электронной почты американского политика Сары Палин.

6.  Джозеф МакЭлрой; приговорен к 200 часам общественных работ за проникновение в сеть государственного учреждения США. На момент проникновения ему было 16 лет.

Современные тенденции

•  доступность информации о методах взлома

•  доступность программных средств для проведения атак

•  использование методов взлома вирусами •  формирующийся рынок услуг по взлому •  большой общественный интерес

Статистика “хакерских” запросов поисковых

систем

Фраза Яндекс* Google* программы взлома

124728 ~32000

взлом паролей 84178 8100 взлом mail 17184 2900 взлом сайтов 11554 1600 взлом почтового ящика

5211 1300

эксплойт 1702 1300 exploit 10993 14800 Metasploit 606 590

* Рассматривались запросы только из России

Сложно ли запустить эксплойт?

Тестирование на проникновение

•  Имитация действий внешних и внутренних злоумышленников

•  Позволяет помимо серьезных уязвимостей выявить опасные комбинации “несерьезных” недостатков

•  Используется общедоступное программное обеспечение

•  Тестирование проводится на сетевом, системном и прикладном уровнях

Этапы тестирования

•  Идентификация цели •  Идентификация сервисов •  Поиск уязвимостей •  Использование уязвимостей •  Расширение привилегий

Почему внутреннее тестирование практически всегда успешно?

•  Использование слабых паролей •  Настройка систем по умолчанию •  Различные ошибки рядовых сотрудников, компрометирующие свои учетные записи и рабочие станции

•  Нерегулярное обновление ПО

Особенности тестирования бизнес-приложений

•  Как правило, используется тонкий клиент и требуется ручной анализ защищенности Web-приложения

•  Нельзя проводить тестирование на прикладном уровне, игнорируя сетевой и системный уровень

•  Нельзя забывать про рабочие станции пользователей.

Принудительное тестирование на проникновение: вирус Conficker

•  Использует уязвимость ms08_067 •  Подбирает пароли к административным ресурсам (qwerty, admin, test, qazwsxedc…)

•  Останавливает работу антивирусов, сниферов и т.д.

•  Блокирует доступ к различным Интернет-ресурсам

Вместо заключения

Если тестирование на проникновение не проводится самой компанией, то оно проводится злоумышленниками и современными вирусами

Ссылки

•  http://adorofeev.blogspot.com •  https://adwords.google.com/select/

KeywordToolExternal •  http://wordstat.yandex.ru/ •  http://vil.nai.com/vil/content/

v_153464.htm

Александр Дорофеев, СISSP, CISA управляющий консультант Агентство Информационной Безопасности «Атлант»

тел.: +7 (495) 795-66-80 e-mail: adorofeev@atlantco.ru www: www.atlantco.ru

Спасибо за внимание!