14.05.2025 10:03
ptsecurity 1 894 Источник

В современных киберугрозах фокус злоумышленников смещается c массовых рассылок в сторону таргетированных атак с применением нейросетей и социальной инженерии. В то же время ИТ-инфраструктуры становятся все более масштабными и сложными: больше данных, больше устройств и распределенных систем.

В таких условиях ручные методы анализа и периодические аудиты безопасности попросту не поспевают за злоумышленниками, а значит нужно искать новые подходы, которые будут работать на опережение. Так мы пришли к разработке цифровой модели инфраструктуры, в которой можно прогнозировать маршруты действий хакеров еще до атак.

В серии статей мы расскажем про управление маршрутами атак (Attack Path Management):

  • как мы разрабатываем технологию моделирования угроз Threat Modeling Engine (TME), которая лежит в основе нашего продукта MaxPatrol Carbon,

  • с какими сложностями сталкиваемся,

  • какие алгоритмы используем для расчета потенциальных путей компрометации,

  • какие есть особенности анализа опасности маршрута и оценки времени, необходимого для достижения хакером своей цели и реализации недопустимого для компании события, — и другие вопросы по теме.

Начнем с проблематики.

Что же не так с текущими подходами

Для разработки решения, которое позволит понять как хакер может передвигаться внутри инфраструктуры при атаке, нам нужно было выяснить, почему привычные методы проактивного усиления защиты не работают и какие в принципе проблемы есть у организаций по части анализа защищенности.

Проблема 1. Отсутствие полной карты инфраструктуры

Многие организации не проводят тщательный аудит инфраструктуры и имеют в своих сетях активы, о наличии которых даже не подозревают. Как следствие, злоумышленник может получить первоначальный доступ через веб-сервер из внешней сети, где после изменения конфигурации оказался открыт порт, на котором доступен сервис с известной уязвимостью, позволяющей удалённо выполнять команды.

Что нужно. Карта всех цифровых активов с их взаимосвязями, которая дает понимание, что это за устройство, в какой сети оно находится, кто имеет к нему доступ и как он реализован, какие приложения используются, присутствуют ли на нем критичные для бизнеса данные. В общем, просто списка серверов, рабочих станций и сетевого оборудования точно недостаточно.

Проблема 2. Непонятно, какие уязвимые места критичны для конкретной организации

Если мы рассматриваем реальную ИТ-инфраструктуру любой компании, то неизбежно сталкиваемся с множеством уязвимых мест — начиная с уязвимостей в операционных системах и приложениях, заканчивая наличием неизвестных активов, ошибками конфигураций, слабыми паролями и избыточными привилегиями пользователей.

Не все уязвимые места, которыми потенциально может воспользоваться хакер, представляют одинаковую угрозу: одни могут быть относительно простыми для эксплуатации, но не представлять значительной опасности, тогда как другие требуют больше усилий для реализации, однако способны нанести серьезный ущерб бизнесу. Ну и, конечно, есть отдельная категория уязвимостей — те, которые есть, при этом организация не готова их устранять.

Что нужно. Выяснить, какие уязвимые места конкретной инфраструктуры позволяют хакеру достичь своей цели быстрее всего. Понять, какие действия и на каком шаге атаки нам нужно предпринять заранее, чтобы сильно усложнить или вовсе исключить дальнейшее продвижение атакующего до нанесения ущерба.

Проблема 3. Пентестов недостаточно

Киберучения и тесты на проникновение (пентесты), проводимые белыми хакерами, помогают выявить пробелы в системе безопасности на момент проведения анализа, но не дают никакой информации в длительных перерывах между тестами. Результаты быстро устаревают, так как в инфраструктуре ежедневно происходят изменения: появляются новые активы, меняются конфигурации, устанавливаются обновления и многое другое. При этом пентест просто подтверждает наличие возможности взлома определенным способом, но, по сути, это всего один из тысяч возможных маршрутов. Это не гарантирует, что если его устранить, то других вариантов взлома не будет.

Более того, по данным исследования Positive Technologies, 21% организаций проводят пентест лишь раз в год либо по запросу. Большинство организаций оценивают готовность противостоять кибератакам не так часто, как это требуется. Некоторые отслеживают лишь небольшую часть уязвимостей на ключевых активах, при этом не учитывают, например, избыточные права пользователей.

Что нужно. Знать, как хакер может действовать в инфраструктуре при кибератаке: как и где может получить первоначальный доступ, какими способами может перемещаться внутри системы и что ему необходимо, чтобы добраться до важных для бизнеса активов. Непрерывно контролировать актуальное состояние защищенности, ведь в инфраструктуре постоянно происходят изменения, а значит нельзя один раз все проверить и дальше заняться другими делами.

Проблема 4. Нет понимания эффективности принятых мер

Специалисты отдела ИБ регулярно передают списки задач по установке патчей для устранения уязвимостей и харденингу. Эти задачи реализуются силами ИТ-команды. При этом нет возможности оценить эффективность выполненных работ, а критичные для бизнеса инциденты все равно случаются. Возникает ощущение, что: либо решались несущественные проблемы, не сильно влияющие на уровень защиты, либо команда ИТ просто не успевала закрывать все действительно важные уязвимые места из-за ограниченных ресурсов. Тем самым традиционные методы выявления и устранения уязвимостей имеют значительные ограничения.

Кроме того, классификация и мониторинг постоянно растущего количества лазеек для атак — это непросто.

Что нужно. Отслеживать не только появление новых уязвимых мест, но и эффективность выполненных работ по их устранению. Однако это требует больших усилий, что может быть проблематично при нехватке ресурсов, и быстрой адаптации к новым угрозам.

Ну и главное — пока специалисты отделов ИБ тонут в таблицах и отчетах по уязвимостям и активам, у хакеров есть безграничный простор для прощупывания точек проникновения в инфраструктуру и достижения своих целей.

Проанализировав все проблемы, мы поняли, что новый подход к анализу защищенности должен включать несколько решений: 

  1. Подробная карта инфраструктуры или граф, который будет давать полное представление об активах организации и учитывать различные слабые места.

  2. Технология расчета потенциальных маршрутов атак, чтобы понимать, как хакер может воспользоваться уязвимостями инфраструктуры и в какой последовательности, чтобы достичь своей цели.

Как найти потенциальные маршруты атак

Реальность такова, что для совершения атаки злоумышленнику может потребоваться череда, на первый взгляд, не связанных между собой действий. При этом порой достаточно одного шага, чтобы реализовать недопустимое для компании событие.

Рисунок 1. Возможные варианты развития атаки через фишинг для реализации недопустимого события – Модификация исходного кода
Рисунок 1. Возможные варианты развития атаки через фишинг для реализации недопустимого события – Модификация исходного кода
Значение некоторых аббревиатур на схеме

RCE – эксплуатация сетевой уязвимости

RDP – вход на узел по протоколу удаленного рабочего стола

WinRM – вход на узел по протоколу удаленного управления

LSASS – чтение памяти LSASS

SSH – вход на узел по протоколу SSH

CredVault – кража учетных данных из хранилища

Чтобы найти потенциальные маршруты передвижения хакеров, надо знать, какими инструментами и подходами они пользуются, и применить эти знания к конкретной инфраструктуре компании.

 Так мы пришли к разработке графа атак — цифровой модели, представляющей возможные пути передвижения злоумышленника внутри инфраструктуры:

  • Вершина графа — это объект инфраструктуры (ресурс, компонент), с которого можно выполнять действие или который можно захватить в результате действия. Например, внутренний узел, учётная запись, домен, приложение, диапазон адресов VPN и прочее.

  • Ребра — действия злоумышленника. Например, эксплуатация RCE-уязвимости, повышение привилегий, кража учетных данных, подключение с помощью легитимного протокола и т. д.

Рисунок 2. Граф возможностей злоумышленника
Рисунок 2. Граф возможностей злоумышленника

С какими сложностями мы столкнулись при расчете графа

Процесс создания модели был непростым и дался нам не с первого раза.

Попытка № 1

Мы сложили в одну цифровую модель все данные об активах инфраструктуры, их сетевой связанности и об учетных записях. Это позволило научиться создавать связи между компонентами графа через описание разных методов атакующих.

В процессе мы выделили два основных типа действий хакеров: передвижения по сети и захват компонентов внутри актива. Большинство действий, связанных с перемещением от актива к активу, это вполне легитимные действия обычных сотрудников, например подключение по протоколам RDP/SSH. Если злоумышленник воспользуется захваченной учеткой, у которой есть разрешения для подключений на другие активы, он сможет продвинуться дальше вглубь инфраструктуры и приблизиться к реализации недопустимых рисков. При этом в системах мониторинга это будет выглядеть как обычное действие сотрудника.

Кроме того, в полученной в результате наших разработок графовой модели мы описали различные варианты атак хакеров, которые приводят к захвату учетных записей, повышению привилегий для них, а в некоторых случаях даже к захвату домена DC (domain controller). Построение таких графов инфраструктуры легло в основу нашей технологии Threat Modeling Engine (TME).

При создании MVP мы использовали подход, при котором учетные записи и компоненты, описывающие инфраструктуру, были совместно нанесены на граф ТМЕ. На практике такой подход оказался не жизнеспособным, так как был получен комбинаторный взрыв: происходило перемножение учетных записей и компонентов инфраструктуры. Например, с 50 активов мы могли перейти на какой-то один по RPD с 10 различными учётными записями, что давало 500 связей. На инфраструктурах с десятками тысяч активов, тысячами учетных записей это превращается в миллионы связей. 

Рисунок 3. Реальные возможности хакера
Рисунок 3. Реальные возможности хакера

При таком сценарии сложно построить и сам граф на основе данных аудита, и рассчитать маршруты атак на нем.

Попытка № 2

Сделав выводы из первой попытки, мы решили не учитывать в исходном графе всю информацию об учетных записях и ограничились только их привилегиями — «активы отдельно, учетные записи отдельно». При этом построение маршрутов все равно учитывает конкретные учетные записи.

Рисунок 4. Как мы строим граф возможностей хакера
Рисунок 4. Как мы строим граф возможностей хакера

Мы добились  быстроты, и расчет графа ТМЕ на 10 000 активов занимал уже около часа. Это позволило нам моделировать инфраструктуру практически в реальном времени.

В итоге у нас получился движок, который может рассчитывать цифровой граф инфраструктуры и возможные действия хакера в ней. Если на полученном графе указать два набора точек: начальные — точки проникновения злоумышленника, и целевые — критически важные для компании активы, то с помощью различных алгоритмов можно строить маршруты между ними.

Как работает граф маршрута атак

В полученной модели данных можно задавать не просто активы как краевые условия для расчета маршрутов, но также и учетные записи. Это позволяет учитывать различные варианты векторов атак, например фишинг или другие способы получения учетной записи злоумышленниками извне.

Кроме того, модель позволяет началом атаки выбирать не только внутренние активы с учетными записями, но и уязвимые точки на периметре с доступом во внешний интернет.

Рисунок 5. Маршруты атак хакера в инфраструктуре
Рисунок 5. Маршруты атак хакера в инфраструктуре

При описании целей атаки также можно указывать учетные записи пользователей, имеющих соответствующие привилегии для реализации действий, которые потенциально могут привести к нежелательным последствиям. К примеру, это может быть учетная запись казначея с правами на особые финансовые операции или разработчика с правами на загрузку софта в хранилище данных.

После определения потенциальных точек входа в инфраструктуру и критически важных для компании целевых систем можно приступить к поиску сценариев кибератак с помощью различных алгоритмов обхода графов. В конечном результате мы получим значимую выборку различных маршрутов атак и данные об их опасности. На основе этих маршрутов мы сможем приоритизировать работы по усилению защищенности инфраструктуры и эффективнее защищаться от недопустимых для компании событий.

Построение графа атак и анализ путей компрометации — мощные современные методы проактивной защиты, но их эффективность зависит от точности данных, вычислительных возможностей и адаптации под конкретную инфраструктуру. Без понимания возможных путей атаки защита инфраструктуры остается реактивной. Цифровое моделирование возможностей хакера позволяют перейти к проактивной кибербезопасности, минимизируя риски до их реализации.

С первой задачей моделирования возможностей хакера в инфраструктуре мы справились. О том, какие алгоритмы мы используем для расчета маршрутов, расскажут наши коллеги в следующих статьях.

Антон Шабуров

Руководитель метапродукта MaxPatrol Carbon

Константин Маньяков

Руководитель практики развития метапродуктов Positive Technologies

Комментарии (1)


  1. Shaman_RSHU
    14.05.2025 10:22
    #28303692

    Было бы интересно далее получить информацию не как это создаётся, а что с этим делать дальше. Методику повышения уровня зрелости защиты на основе полученной информации.