その年は2020年でした。人々は、見知らぬ人からの手紙を開くことがいかに悪いか、特に添付ファイルが付いているか、疑わしいフラッシュドライブをコンピューターに挿入することがどれほど危険か、ハッカーがアカウントから数百万ドルを口座から何百ドルも振り込んで指先で何をしたかについて、別の記事を読んで喜んでいました。分析では、10銀行のうち7銀行が2晩に2人のハッカーの手によってハッキングされる可能性があると述べており、2020年の人々には当たり前のようでした。通常のユーザーに関しては、彼らは怖がることさえありませんでした:彼らは単にそのようなニュースを別個のマーベルの世界のように認識し、時々おなじみのコンピューター科学者にVKをハックするように頼みました。そして、セキュリティの専門家だけが、すべてが思ったほど単純ではないことを理解していました...
2020年には、「ペンテスト」という言葉はすでに多くの人に親しまれており、すべての成熟した企業がそのような作業を定期的に行っています。専門家のスタッフを結成し、毎日セルフテストを行う人もいます。情報セキュリティツール(SIS)の数は常に増加しており、最高の情報セキュリティプラクティスがインターネットで無料で配布されており、情報セキュリティプロセスは最高の方法論に従って構築されています。同時に、ハッカーにとって邪魔になるものは何もないという考えは依然として人々の心に残っています。何かが必要な場合、彼らはそれを達成します。侵入テストの直接専門家として、この現象について今日お話ししたいと思います。
「前世代の偉業は、後世の通常の仕事でした」
10〜15年前は、情報セキュリティは楽しいことに関連していました。すべては「穴だらけ」でしたが、それは少数の人々を驚かせました。ハッカーたちは興味をかき立てて、バーで友達にその偉業について自慢しました。今日、情報セキュリティはすでに大きなビジネスになっています。何かをハッキングすることは、偶然だけで簡単かつ迅速に可能であり、それを「専門的に」行うには費用がかかります。
情報セキュリティの実用的な領域に入るためのしきい値が高くなりました:以前に誰かが最良の物理的な形で顧客に来る余裕がない場合は、インターネットで視聴されたビデオをいくつか繰り返し、組織をハッキングします(たとえば、ドメインコントローラーを利用します)、これははるかに可能ですどこでもない。問題は、少なくとも以前のペンテストの推奨事項が採用されているため、すべてのターンで、すべての領域で発生し始めています。以下では、侵入テストの作業を開始するときに発生する可能性のある問題を分析します。
内部テスト(または不忠実な従業員)
ネットワーク接続
内部ネットワークからペンテストを見てみましょう。これで、組織のネットワークコンセントに接続するだけではできなくなりました。顧客のところに来て、ラップトップを取り出し、有線でイーサネットに接続すると、何も起こりません。接続されたデバイスの制御をバイパスする必要があると想定し、正当なMACアドレスをどこかで見つける必要がある場合はよいが、ポートにバインドする場合はどうでしょうか。また、1つのポートのMACの数が制限されている場合はどうなりますか?また、証明書と適切なプロファイリングを備えた802.1x(Cisco ISE)がある場合はどうなりますか?次に、クライアント証明書が追加されたドメインアカウントを見つけるか、他の誰かのトラフィックにMITMをクラッシュさせて、正当なホストを介してプリンターまたはプロキシのふりをする必要があります。あなたはそれを感じていますか?これは、ムービーに示されているように、キーボードで指をすばやくたたくためのものではありません。
走査
通常どおり、サブネット(10.0 / 8、172.16 / 12、192.168 / 16)のスキャンを開始すると、すべてのポートが閉じられるかフィルタリングされ、アクセスが完全に失われます。これらは、適切に構成されたセグメンテーションポリシーを持つ私たちのお気に入りのITUです。あなたは減速し、怪しげな偵察テクニックを使用しますが、エクスプロイトを使用するとスローされます。それはすでにIDS / IPSが「到着」しており、さようなら、不正アクセスです。
終点
私はホストにたどり着きましたが、アンチウイルスがあなたを終わらせるか、SIEMがあなたを焼き尽くします、そしてあなたがシェルを手に入れたら、それは制限された権限を持っていることが判明し、LPEのすべての現在のパッチがロールアウトされ、さらにlsass.exeプロセスが分離されます。さらに、異常なユーザー動作を検出するためのメカニズムがねじ込まれ、DLPが実装されていますが、構成は適切ではありませんが、会計士のワークステーションで実行中のPowerShellはすでに認識されています。
"鉄"
従業員が病気休暇中に他の人のPCを物理的にハッキングしようとすると、BIOSはパスワードで保護されており、ハードドライブはピンコードとTPMモジュールと組み合わせたビットロッカーで暗号化されており、コンピューターから何も抽出できません。
ドメイン攻撃
Active Directoryドメインアカウントを取得しました。これで、ADに対するお気に入りの攻撃(ケルベロスティング、AS-REPロースト、委任攻撃)を実行できることをうれしく思いますが、そうではありませんでした。すべてが提供され、パスワードは「残忍な」ものではなく、ドメインへの攻撃はMicrosoft ATAによって検出され、古いホストは別のドメインに分離されます。さらに、アーキテクチャはRedForestを使用して構築されており、ユーザーのドメインが侵害されても目的の結果は得られません。
外部テスト(インターネットハッカー)
あなたは外周で何かをハッキングしようとしていて、Anti-DDoSとWAFはすでにそこにあり、アプリケーションはSSDLCの原則に基づいて開発され、本番環境にリリースされる前にテストされます。クライアントとサーバー間のデータは暗号化され、ユーザー入力はいくつかの方法で検証されます。時々、アプリケーションはいくつかの新しいフレームワークで作成され、多くのエンタープライズ技術でオーバーレイされます。開発者自身が6か月でモジュールを追加する方法を理解したばかりです。「ブラックボックス」メソッドを使用して1週間ファジングを行っていますか?
モバイルテスト(電話によるハッカー)
モバイルアプリケーションを見てみましょう。ここでは、プラットフォーム自体がすでに開発者を足元の多くのショットから保護しています。オープンフォームのトラフィックはまもなく完全に禁止されます。意識のある開発者は、サーバー側の保護に重点を移しました。サーバーが「ホール」を実装しない場合、クライアントでは機能しないからです。さらに進んでOWASPテストガイドをマスターし、ルートデバイスを検出してssl-pinningを実装する方法を学びました。そして、すべて、残りの欠点の影響は無視できます。
Wi-Fi(Wi-Fiアダプターを備えたハッカー)
議論し過ぎても意味がない。wpa2-enterpriseがクライアント証明書と共に使用されるかどうか。これでwpa3が始まり、サービストラフィックもそこで暗号化され、セッションキーは確実に保護されます。もちろん、最初は実装にエラーがありますが、これらはプロトコル全体の欠陥ではありません。
ボーナス
さらにもう1つの要因:すべてのGISが1つのエコシステムに統合され始め、1つのエッジに触れるとすぐにWeb全体が揺れ始めます。シスコとマイクロソフトのソリューションファミリーを一見すると、ペンテスターとして、私はその後の数年間に秘密裏に仕事をしようとするすべての苦痛にすでに怯えています。さらに、「自動テスター」、たとえばPenTeraやCymulateソリューションが市場に登場し、間もなくペンテスターから一部のパンを取り始めます。そして、まだ機械学習、ニューラルネットワーク、疑似AIを備えた情報セキュリティの新興企業があります。これまでのところ、それはすべて湿っているように見えますが、数年の間...
これは理想的な状況だと誰かが言うだろうし、常に穴が開いているだろう。私はそれに答え、企業の情報セキュリティがどのように成熟するかを見て、経験豊富な専門家でも2年後にはハッキングの「コスト」がかなり高くなるという結論に至る... 近い将来、銀行をリモートでハッキングすることは、2020年に物理的に銀行を強奪することと同じくらいまれになると思います(最近の多くの成功事例を知っていますか?)。
結局何になったの?セキュリティはますます複雑になっており、おそらく将来的には、この領域の問題はより制御可能になるでしょう。しかし、目を閉じて未来が来るのを待つべきでしょうか?いいえ、私たちはこの非常に未来を構築するための対策を講じる必要があります。
企業のための5つのヒント
- « » .
nmap Nessus, , . , . , , , , . , , .
: 10 , . , , , , . - .
, ( ) - , - . . . - Red Teaming continuous pentest.
, , ? ? , , -- ? Red Teaming , «» , , (3-9 ). - .
, : , . - .
. 100500 - . , , .
- .
. Bug Bounty GitHub CTF, . , — . - .
. , , . , . telegram- twitter. - , «» , . - コミュニティと一緒に。
プロフェッショナルなソーシャルサークルを形成する:クローゼットに一人で座るよりも、一緒に何かをする方がはるかに効率的です。一人のハッカーが世界に侵入するのは映画にありますが、実際には、誰にとっても明確な役割とタスクを持つAPTがあります。他の人があなたが計画していることをすでに100回行っているため、オープンで知識を共有します。逆に、彼らが日常の時間を短縮し、創造性のために解放するのを助けることができます。
通常のユーザーのために何をすべきか
この記事を読んでいる可能性は低いですが、それでもまだです。セキュリティの管理:海辺の天気を待たずに、通常のパスワードを自分で考え、情報セキュリティに関する意識向上コースを受講し、そのアドバイスに従ってください。私を信じて、それは難しいことではありません。
結論
私がこの記事を書いたのは、情報セキュリティのすべてがどれほど優れているかを示すのではなく、多くの人が考え慣れているほど悪くないことを確認するためです。ネガティブなニュースは私たちが成長し、より良くなることを可能にしますが、答えは:私たちは10年前よりも安全ですか?そうでない場合は、ハックできるのは誰ですか。たとえば、VK:ユーザーではなく、XSSをスローせず、インフラストラクチャ全体をハッキングしますか?