最も危険なのは、あなたが疑わない敵です。
(Fernando Rojas)
現代の企業のITインフラストラクチャは、中世の城に例えることができます。高い壁、深い堀、門の警備員が外部の敵から身を守り、要塞の壁の内側で何が起こっているかを実際に監視する人は誰もいません。同様に、多くの企業は、内部インフラストラクチャが奪われたままで、外周を保護するために多大な努力を払っています。内部浸透テストはエキゾチックで、ほとんどの顧客にとってあまり明確なプロセスではありません。したがって、私たちはあなたが知りたいと思っていたすべて(まあ、ほとんどすべて)を彼について話すことにしましたが、尋ねることを恐れていました。
外部の敵(黒いフーディーの恐ろしいハッカー)は威圧的に見えますが、企業情報の漏洩の大部分は内部者の過失によるものです。ソーラーJSOCモニタリングセンターの統計によると、内部インシデントは脅威の総数の約43%を占めています。一部の組織は、簡単にバイパスまたは無効化できる保護(多くの場合、誤って構成されている)に依存しています。他の人は、インサイダーを脅威とはまったく見なさず、内部インフラストラクチャを保護する際の欠陥に目をつぶっています。
「内部市場」を分析するときに特定する問題は、企業ごとに異なります。
- サービスアカウントと特権アカウントの脆弱で変更不可能なパスワード。
- 通常の管理者アカウントと特権アカウントの同一のパスワード。
- ;
- ;
- ;
- ;
- .
: Windows- Active Directory.
世界的に、侵入テストは、潜在的な攻撃者が特定の企業のITインフラストラクチャにどのように害を及ぼす可能性があるかを明らかにします。これを行うために、侵入テストを実施するサイバーセキュリティスペシャリストは、実際の技術とツールを使用してハッカーの行動をシミュレートしますが、顧客に害を及ぼすことはありません。監査の結果は、ビジネスリスクを軽減しながら、組織のセキュリティを向上させるのに役立ちます。このようなテストには、外部と内部の2つの方向があります。最初のケースでは、「白いハッカー」は内部ネットワークに侵入する可能性のある脆弱性を見つける必要があります(つまり、その要塞の壁を突破する必要があります)。
内部侵入テストでは、組織のローカルネットワークにアクセスできる内部者または侵入者に対してインフラストラクチャがどの程度脆弱であるかを確認します。必要に応じて、LANを制御し、自由に移動して、個々のサーバーの動作に影響を与えることができますか?このような作業は、内部ネットワーク上で実行され、多くの場合、最小限の特権を持つ従業員の立場から実行されます。同時に、コンピューターに物理的にしかアクセスできない従業員(たとえば、掃除人、電気技師、警備員、宅配便業者など)でもチェックすることが可能です(そして必要です)。
侵入テストでは、内部ネットワーク上のすべてのホストで会社のすべての脆弱性が明らかになるわけではありません(これは、脆弱性スキャナーを使用するか、脆弱性管理ポリシーを正しく構成することで実行できます)。彼の仕事はまったく異なります。攻撃者が犠牲者を攻撃するためにたどることができる1つまたは2つのルートを見つけることです。作業の実行は、セキュリティ設定とWindows機能に重点を置いています。つまり、開いているポートをスキャンしたり、更新がアンインストールされたホストを検索したりするなど、実行されなくなります。
これはどのように起こりますか
内部インフラストラクチャのセキュリティテストは、いくつかの段階で
行われます。これは、プロジェクトの1つのフレームワーク内で、同様の内部侵入テストが実際にどのように行われたかの例です。
- まず、Webアプリケーションをホストするファイル共有を特定しました。
- SA (Super Admin) MS SQL;
- MS SQL sqldumper.exe xp_cmdshell LSASS, :
- .
内部侵入テストでは、組織の内部(明らかに)インフラストラクチャのみが考慮されるため、攻撃者がネットワークへの最初のアクセスをどのように取得したかは関係ありません。攻撃者がこのアクセスをどのように使用したかは関係ありません。したがって、ペンテストの結果に基づいて作成された最終レポートには、見つからなかった脆弱性が記載されていますが、スペシャリストがネットワークをどのように移動したか、どのような障害と困難に直面したか、それらをどのように回避したか、およびタスクをどのように完了したかが示されています。スペシャリストはいくつかの欠陥を検出できますが、目標を達成するために、最も最適または興味深いものの1つが選択されます。同時に、「途中」で気付いたすべての脆弱性もレポートに含まれます。その結果、お客様は、欠点を修正し、内部インフラストラクチャのセキュリティを向上させるための推奨事項を受け取ります。
実際、内部侵入テストは外部テストを継続し、「サイバー犯罪者がネットワークに入った後はどうなるのか」という質問に答えます。比較すると、次の方法は、外周貫通テストプロセスで一般的に使用されます。
インフラストラクチャに入るのは誰か
したがって、攻撃者がどのようにネットワークに侵入したかは重要ではないため、内部侵入テストを計画する初期段階で、内部者または外部の攻撃者のモデルを検討できます。
- インサイダーモデル。インサイダーは、組織のインフラストラクチャへの正当なアクセス権を持ち、職務の責任によってのみ制限される、意欲的な内部攻撃者です。たとえば、会社に危害を加えることにした実際の従業員。また、サポートサービス(警備員、掃除人、電気技師など)の従業員はインサイダーとして行動でき、オフィスへの正当なアクセス権はありますが、インフラストラクチャへのアクセス権はありません。
- 外部侵入者モデル。このモデルは、組織の内部ネットワークへのアクセスがどのように取得されたか(境界ソフトウェアの脆弱性、資格情報の漏洩、ソーシャルエンジニアリングなど)に焦点を当てていません。出発点は、「アウトサイダー」がすでに内部にいるという事実です。
脅威モデルをコンパイルした後、状況自体がシミュレートされ、実行者はインフラストラクチャにアクセスできるようになります。
- ;
- . , (Wi-Fi);
- . : , , ;
- «» , . (Command & Control), . , .
同時に、ペンテストは、他の誰かのインフラストラクチャをあちこち歩き回ることを目的としないわけではありません。「ホワイトハッカー」には、常にお客様が設定した目標があります。内部侵入テストの最も一般的なシナリオは、ドメイン管理者特権を取得することです。ただし、実際には、攻撃者がそのような特権を取得しようとすることはめったにありません。これは、攻撃者に不必要な注意を引く可能性があるためです。したがって、ほとんどの場合、ドメイン管理者特権は目標ではなく、それを達成するための手段になります。そして、目標は、たとえば、企業ネットワークの乗っ取り、ワークステーションとサーバー、またはアプリケーションとデータベースへのアクセスの取得である可能性があります。
誰がそれをすべて必要としているのか
侵入テスターを企業ネットワークに参加させることは、顧客にとってまったく価値がありますか?間違いなくそれだけの価値があります。ここには、会社の最も重要なデータと主な秘密があります。LANを保護するには、LANの隅々や隙間や欠点をすべて知る必要があります。そして、内部浸透テストはこれを助けることができます。これにより、インフラストラクチャの弱点を確認したり、構成されたセキュリティ制御を確認して改善したりできます。さらに、内部浸透テストは、レッドチームよりも手頃な代替手段です。割り当てられた資金が内部インフラストラクチャのセキュリティを確保するのに十分でないことを経営陣に示すことがタスクである場合、内部浸透テストにより、この論文を事実で裏付けることができます。
著者:Dmitry Neverov、セキュリティ分析エキスパート、Rostelecom-Solar