«Корпоративные лаборатории» — программа профессиональной подготовки в области информационной безопасности, состоящая из теоретической (курсы-вебинары) и практической подготовки (работа в пентест-лабораториях). В данной статье будет рассмотрено содержание именно практической базы, составляющей порядка 80% от общей программы обучения.
Точка входа в корпоративную сеть
В современных реалиях взлом злоумышленниками корпоративной сети начинается с компрометации корпоративного сайта компании или учетной записи электронной почты, форма авторизации которой, зачастую, находится в пределах сайта или на поддомене. Получение доступа к веб-сайту компании позволяет злоумышленникам проводить дальнейшие атаки внутрь сети организации или уже на этом этапе извлекать финансовую выгоду:
В августе нынешнего года Jaspen Capital Partners и Андрею Супранонку наряду с другими лицами были выдвинуты обвинения во взломе корпоративных сетей компаний Business Wire, Marketwired и PR Newswire и в осуществлении мошеннической схемы, позволившей им в течение пяти лет похитить свыше 150 тыс. новостных пресс-релизов до их официальной публикации.
По данным Комиссии по ценным бумагам и биржам, таким образом злоумышленникам удалось нелегально заработать более $100 млн. Jaspen Capital Partners и Супранонок стали первыми, кто согласился на выплату компенсации. Стоит отметить, что в отличие от девяти других подозреваемых, уголовные обвинения им не предъявлялись.
Как сообщили в ведомстве, в период с 2010 по 2015 годы украинская компания использовала контракты на разницу цен для проведения торговых операций, основываясь на информации из пресс-релизов, похищенных у новостных изданий.
Взлом корпоративного сайта — наиболее часто встречаемая проблема безопасности. Как мы и писали ранее, на одном из первых мест стоит слабая парольная политика — многие привыкли ставить простые пароли в личной жизни, и переносят эту практику в корпоративный сектор. На втором месте — уязвимость веб-приложений.
Сайт вашей компании может быть атакован в любой момент времени — злоумышленники могут быть заинтересованы в получении доступа к критичной информации (коммерческая тайна, клиентская база и т.д.), вымогать средства за бесперебойную работу сайта или взломать сайт из хулиганских побуждений.
Ломают любые сайты
Как показывает практика, злоумышленники атакуют абсолютно любые сайты, невзирая на их принадлежность и уровень защиты:
Пресс-секретарь президента России Дмитрий Песков сообщил о том, что в единый день голосования, в воскресенье, 13 сентября, сайт Кремля подвергся кибератаке. Песков отметил, что защитной системе правительственного интернет-ресурса удалось сохранить работоспособность web-страницы, пишет РБК.
«Чуров вчера рассказывал о попытках взломать сайт Центризбиркома. В этой связи вам, наверное, будет интересно узнать, что где-то с 05:00 до 10:00 в воскресенье очень мощная атака проводилась одновременно и на сайт президента России. Защитные системы справились, хотя было нелегко, атака была достаточно мощной», — рассказал Песков журналистам. Пресс-секретарь также отметил, что ему пока неизвестно, кто является организатором кибератаки.
Больше всего злоумышленников привлекают крупные сайты, новостные порталы, интернет-магазины, СМИ и т.д. Помимо попыток извлечения выгоды из полученной с сайта информации могут быть атакованы посетители сайта, с помощью т.н. drive-by атак.
Иногда успешная атака может привести к огромным репутационным потерям. Из последних «громких» случаев: взлом итальянской компании Hacking Team, специализирующейся в области разработки наступательного кибер-оружия и средств эксплуатации.
Или пример с компанией Ashley Madison: хотя и очень сомнительный с моральной точки зрения бизнес, но приносящий неплохую прибыль. Взлом сайта показал что функционал сайта, по большей части оказался фикцией (женских анкет было ничтожно мало, а отвечали за них специально обученные люди), более того, компания не сдерживала свои обещания: в сеть попала личная информация даже тех пользователей, которые отдельно заплатили сервису за удаление всех данных о себе.
Защитные меры
Для предотвращения несанкционированного доступа к вашему веб-приложению необходимо придерживаться нескольких простых действий. В первую очередь это сконфигурированный веб-сервер, со всеми установленными актуальными обновлениями. Во вторую — выстроенная защита на основе WAF/IDS/IPS. И третья, не менее важная мера — это осведомленность персонала о современных угрозах и методах атаки. Но, как показывает практика, даже современные средства защиты можно обойти.
В «Корпоративных лабораториях PENTESTIT» мы рассматриваем основные векторы атак на веб-приложения, их природу, методы эксплуатации и меры противодействия. Для того, чтобы понять как защищать свои веб-приложения (не на уровне написания безопасного кода, хотя и это немаловажно), необходимо понимать как они могут быть атакованы. Даже грамотно написанное приложение может быть скомпрометировано: совокупность незначительных векторов может помочь злоумышленнику составить действенный сценарий атаки.
На первом этапе стажеры получают актуальную информацию о природе SQL-инъекций; основах XSS; обзор современных эффективных инструментов для эксплуатации веб-уязвимостей. Даже этот набор знаний позволяет получить необходимые навыки для проверки собственных веб-приложений на возможность эксплуатации уязвимостей. Для закрепления полученного теоретического материала стажеры выполняют практические задания в специализированной лаборатории тестирования на проникновения.
Прохождение этого этапа позволяет стажерам приступить к более серьезным темам эксплуатации веб-приложений:
расширенный воркшоп по SQL-инъекциям, включающий эксплуатацию в таких СУБД как: MySQL; MSSQL; PostgreSQL. Демонстрация наиболее актуальных разновидностей XSS в рамках большого воркшопа по XSS-атакам: активным, пассивным и dom-based.
Только совокупность защитных средств и мер, осведомленность ответственного персонала и понимание современных угроз могут позволить бизнесу защитить свои активы в виде бесперебойно работающих веб-приложений и надежной защите информации.
Практическая подготовка в пентест-лабораториях. Часть 1
Практическая подготовка в пентест-лабораториях. Часть 3
Практическая подготовка в пентест-лабораториях. Часть 4
Практическая подготовка в пентест-лабораториях. Часть 5