Подходквыявлениюуязвимостей...web-приложение • для...

Подход к выявлению уязвимостей,

неотъемлемые нюансы

Всеволод МитеневКомпания ICL Системные технологии

Всеволод МитеневКомпания ICL Системные технологии

Подход к выявлению уязвимостей,

неотъемлемые нюансы

УЯЗВИМОСТИ КОРПОРАТИВНОЙ ИНФРАСТРУКТУРЫ

• 9 из 10 КИС имеют уязвимое ПО

• Почти половина уязвимостей –

критические

Источник: https://www.ptsecurity.com/upload/corporate/ru-

ru/analytics/Corp-Vulnerabilities-2017-rus.pdf

УЯЗВИМОСТИ КОРПОРАТИВНОЙ ИНФРАСТРУКТУРЫ

• Средний возраст самых старыхуязвимостей – 8 лет

• Встречаются экземпляры,

обнаруженные 20 лет назад

• Использование уязвимого ПОежегодно входит в топ-10

наиболее распространенныхвекторов атак накорпоративнуюинфраструктуру

Группа Cobalt успешно проникала во внутренние сети банков с помощью рассылкидокументов Word, эксплуатирующих уязвимость CVE-2017-0199

УЯЗВИМОСТИ КОРПОРАТИВНОЙ ИНФРАСТРУКТУРЫ

ПОДХОДЫ К ВЫЯВЛЕНИЮ УЯЗВИМОСТЕЙ

• Анализ собранной информациизаключения (логические выводы)

• Выполнение атак с использованиемуязвимости

На основе характерных признаков:

o номер версии службыo текст баннераo наличие определенного файла

ПОДХОДЫ К ВЫЯВЛЕНИЮ УЯЗВИМОСТЕЙ - АТАКИ

Наиболее очевидный способ поиска уязвимости – попытка ее использовать

• Производится реальная атака на службу,

работающую на узле с помощью программ,

использующих уязвимость – «эксплойтов» илиспециальных тестовых утилит

• Тест отличается от эксплойта тем, что вкачестве результата возвращает какой-либокод (например: «Патч отсутствует!»)

• Подтверждение уязвимостей, выявленныхпри анализе

Разновидности эксплойтов:

• запуск произвольного кода

• подбор пароля

ПОДХОДЫ К ВЫЯВЛЕНИЮ УЯЗВИМОСТЕЙ - АТАКИ

• «простые» (Web-интерфейс)

• исчерпание ресурсов (DoS)

ПОДХОДЫ К ВЫЯВЛЕНИЮ УЯЗВИМОСТЕЙ - АНАЛИЗ

Значительная часть уязвимостей выявляется в результате анализа косвенных признаков

• «Баннерные проверки» → анализ информации в приветствиях сетевых служб (баннерах)

Базаданных

«Баннерные проверки» - особенности:

минимальные привилегии многие службы позволяют произвольным образом

редактировать свои приветствия ручная проверка найденных уязвимостей

Более надежный метод определения службы -

использование ее команд

Самая достоверная – локальная проверка(версия, конфигурационные файлы)

ПОДХОДЫ К ВЫЯВЛЕНИЮ УЯЗВИМОСТЕЙ - АНАЛИЗ

Наиболее точную информацию об уязвимостях дают локальные проверки

• Локальные проверки→ анализ информации в:

o параметрах системы;

o конфигурационных файлах;

o файловой системе;

o системах управления пакетами *nix;

o реестре Windows;

o системных RPC-функциях Windows Security и Network

Management API;

o WMI;

o LDAP

SSH, Telnet

SMB, LDAP, RPC, WMI

ПОДХОДЫ К ВЫЯВЛЕНИЮ УЯЗВИМОСТЕЙ - АНАЛИЗ

Локальные проверки - особенности:

• сетевое подключение к узлу на требуемый порт TCP

• доступ через сетевое подключение к соответствующемукомпоненту ОС

• достаточный уровень привилегий учетной записи

ПОДХОДЫ К ВЫЯВЛЕНИЮ УЯЗВИМОСТЕЙ - АНАЛИЗ

Учетные записи для сканирования:

• привилегированные

• ограниченные

Могут быть перехвачены присканированиискомпрометированным илинелегитимным узлом

Контрмеры:

• сложный пароль > 32

символов• регулярная смена• ограничение типов входа• ограничение адресов

Подробнее:

https://hdm.io/writing/Mitigating%20Service%20Account%20Credential%20Theft%20on%20Windows.

pdf

ПОДХОДЫ К ВЫЯВЛЕНИЮ УЯЗВИМОСТЕЙ - АНАЛИЗ

ВЫЯВЛЕНИЕ УЯЗВИМОСТЕЙ – ИССЛЕДУЕМЫЕ УЗЛЫ

Формирование перечня исследуемых узлов

• Импорт из баз IT-ресурсов • Сетевой сканер• Вручную

ВЫЯВЛЕНИЕ УЯЗВИМОСТЕЙ – ОБНАРУЖЕНИЕ УЗЛОВ

Задача – заставить удаленную систему отреагировать на запрос

• ICMP ping самый простой способ часто блокируется межсетевыми экранами

(ping microsoft.com)

• TCP ping ответ придет даже если порт закрыт трафик на неиспользуемые порты может

блокироваться межсетевыми экранами для повышения достоверности необходимо

опросить все часто используемые порты

• «Черный ящик» • «Белый ящик» • Web-приложение

Режим «Pentest» Режим «Audit»

ВЫЯВЛЕНИЕ УЯЗВИМОСТЕЙ – РЕЖИМЫ СКАНИРОВАНИЯ

«Pentest» • с точки зрения атакующего

• отсутствие информации об узле

• использование минимальных привилегий

• направленность на анализ серверных сетевых служб

• целесообразен для узлов периметра сети и ДМЗ

• для критических узлов - копии

Инструменты:

ВЫЯВЛЕНИЕ УЯЗВИМОСТЕЙ – РЕЖИМЫ СКАНИРОВАНИЯ

«Audit» • с точки зрения администратора

• полная информация об узле

• использование максимальных привилегий

• использование локальных проверок

• возможно использование агентов на узле

Инструменты:

ВЫЯВЛЕНИЕ УЯЗВИМОСТЕЙ – РЕЖИМЫ СКАНИРОВАНИЯ

Web-приложение • для web-приложений

• blackbox-сканирование – с точки зрения атакующего

• анализ исходного кода – с точки зрения разработчика

• уязвимости разработки – лучше в ручном режиме

• важна квалификация оператора

• интеграция с WAF – закрытие уязвимостей «на лету»

• функциональность: «Web Application Security Scanner Evaluation Criteria», «OWASP Web Application Scanner Specification Project»

Инструменты:

ВЫЯВЛЕНИЕ УЯЗВИМОСТЕЙ – РЕЖИМЫ СКАНИРОВАНИЯ

Формирование задач:

• По типам узлов • По расположению • По режиму сканирования

СКАНИРОВАНИЕ – ОРГАНИЗАЦИЯ

Ограничения:Потенциально опасные проверки

Режим «Pentest»:

• подбор паролей

• проверки на отказ в обслуживании (DoS)

Web-приложение:

• инъекции команд

• проверки на отказ в обслуживании (DoS)

СКАНИРОВАНИЕ – ОРГАНИЗАЦИЯ

Необходимо учитывать режим работы удаленной системы

• Серверы: в периоды наименьшей загруженности

• Рабочие станции: в течение рабочего дня

СКАНИРОВАНИЕ – ОРГАНИЗАЦИЯ

Планирование:

• Периодичность

• Время запуска

• Запрещенные интервалы

– изменение состава, настроек или обновление ПО

– обновление базы уязвимостей сканера

– появление новых уязвимостей

– нормативные документы

– возможность контроля

– наименьшая загрузка

– доступность

– выполнение задач по расписанию

– настройка, обновление

– обслуживание

СКАНИРОВАНИЕ – ОРГАНИЗАЦИЯ

Первичный анализ:

Общее количество, критичность, уязвимое ПО, наличие исправлений, доступность эксплойтов

АНАЛИЗ РЕЗУЛЬТАТОВ

Уязвимости, требующие наибольшего внимания:

– Высокая критичность

– На большом количестве узлов

– Нет исправлений

– Доступны эксплойты, не требующие высокой квалификации

Итоговые отчеты и контроль

• Направляются исполнителям Контрольное сканирование

• Создаются заявки в системах управления IT-ресурсами

АНАЛИЗ РЕЗУЛЬТАТОВ

СПАСИБО ЗА ВНИМАНИЕ!

Акционерное общество «АйСиЭл–КПО ВС»

(АО «АйСиЭл–КПО ВС»)

www.icl.ru

Телефон: +7 (843) 279-58-23, 272-81-61

Факс: +7 (843) 279-49-05, 273-55-35

Эл.почта: info@icl.kazan.ru