Подходквыявлениюуязвимостей...web-приложение • для...
TRANSCRIPT
Подход к выявлению уязвимостей,
неотъемлемые нюансы
Всеволод МитеневКомпания ICL Системные технологии
Всеволод МитеневКомпания ICL Системные технологии
Подход к выявлению уязвимостей,
неотъемлемые нюансы
УЯЗВИМОСТИ КОРПОРАТИВНОЙ ИНФРАСТРУКТУРЫ
• 9 из 10 КИС имеют уязвимое ПО
• Почти половина уязвимостей –
критические
Источник: https://www.ptsecurity.com/upload/corporate/ru-
ru/analytics/Corp-Vulnerabilities-2017-rus.pdf
УЯЗВИМОСТИ КОРПОРАТИВНОЙ ИНФРАСТРУКТУРЫ
• Средний возраст самых старыхуязвимостей – 8 лет
• Встречаются экземпляры,
обнаруженные 20 лет назад
• Использование уязвимого ПОежегодно входит в топ-10
наиболее распространенныхвекторов атак накорпоративнуюинфраструктуру
Группа Cobalt успешно проникала во внутренние сети банков с помощью рассылкидокументов Word, эксплуатирующих уязвимость CVE-2017-0199
УЯЗВИМОСТИ КОРПОРАТИВНОЙ ИНФРАСТРУКТУРЫ
ПОДХОДЫ К ВЫЯВЛЕНИЮ УЯЗВИМОСТЕЙ
• Анализ собранной информациизаключения (логические выводы)
• Выполнение атак с использованиемуязвимости
На основе характерных признаков:
o номер версии службыo текст баннераo наличие определенного файла
ПОДХОДЫ К ВЫЯВЛЕНИЮ УЯЗВИМОСТЕЙ - АТАКИ
Наиболее очевидный способ поиска уязвимости – попытка ее использовать
• Производится реальная атака на службу,
работающую на узле с помощью программ,
использующих уязвимость – «эксплойтов» илиспециальных тестовых утилит
• Тест отличается от эксплойта тем, что вкачестве результата возвращает какой-либокод (например: «Патч отсутствует!»)
• Подтверждение уязвимостей, выявленныхпри анализе
Разновидности эксплойтов:
• запуск произвольного кода
• подбор пароля
ПОДХОДЫ К ВЫЯВЛЕНИЮ УЯЗВИМОСТЕЙ - АТАКИ
• «простые» (Web-интерфейс)
• исчерпание ресурсов (DoS)
ПОДХОДЫ К ВЫЯВЛЕНИЮ УЯЗВИМОСТЕЙ - АНАЛИЗ
Значительная часть уязвимостей выявляется в результате анализа косвенных признаков
• «Баннерные проверки» → анализ информации в приветствиях сетевых служб (баннерах)
Базаданных
«Баннерные проверки» - особенности:
минимальные привилегии многие службы позволяют произвольным образом
редактировать свои приветствия ручная проверка найденных уязвимостей
Более надежный метод определения службы -
использование ее команд
Самая достоверная – локальная проверка(версия, конфигурационные файлы)
ПОДХОДЫ К ВЫЯВЛЕНИЮ УЯЗВИМОСТЕЙ - АНАЛИЗ
Наиболее точную информацию об уязвимостях дают локальные проверки
• Локальные проверки→ анализ информации в:
o параметрах системы;
o конфигурационных файлах;
o файловой системе;
o системах управления пакетами *nix;
o реестре Windows;
o системных RPC-функциях Windows Security и Network
Management API;
o WMI;
o LDAP
SSH, Telnet
SMB, LDAP, RPC, WMI
ПОДХОДЫ К ВЫЯВЛЕНИЮ УЯЗВИМОСТЕЙ - АНАЛИЗ
Локальные проверки - особенности:
• сетевое подключение к узлу на требуемый порт TCP
• доступ через сетевое подключение к соответствующемукомпоненту ОС
• достаточный уровень привилегий учетной записи
ПОДХОДЫ К ВЫЯВЛЕНИЮ УЯЗВИМОСТЕЙ - АНАЛИЗ
Учетные записи для сканирования:
• привилегированные
• ограниченные
Могут быть перехвачены присканированиискомпрометированным илинелегитимным узлом
Контрмеры:
• сложный пароль > 32
символов• регулярная смена• ограничение типов входа• ограничение адресов
Подробнее:
https://hdm.io/writing/Mitigating%20Service%20Account%20Credential%20Theft%20on%20Windows.
ПОДХОДЫ К ВЫЯВЛЕНИЮ УЯЗВИМОСТЕЙ - АНАЛИЗ
ВЫЯВЛЕНИЕ УЯЗВИМОСТЕЙ – ИССЛЕДУЕМЫЕ УЗЛЫ
Формирование перечня исследуемых узлов
• Импорт из баз IT-ресурсов • Сетевой сканер• Вручную
ВЫЯВЛЕНИЕ УЯЗВИМОСТЕЙ – ОБНАРУЖЕНИЕ УЗЛОВ
Задача – заставить удаленную систему отреагировать на запрос
• ICMP ping самый простой способ часто блокируется межсетевыми экранами
(ping microsoft.com)
• TCP ping ответ придет даже если порт закрыт трафик на неиспользуемые порты может
блокироваться межсетевыми экранами для повышения достоверности необходимо
опросить все часто используемые порты
• «Черный ящик» • «Белый ящик» • Web-приложение
Режим «Pentest» Режим «Audit»
ВЫЯВЛЕНИЕ УЯЗВИМОСТЕЙ – РЕЖИМЫ СКАНИРОВАНИЯ
«Pentest» • с точки зрения атакующего
• отсутствие информации об узле
• использование минимальных привилегий
• направленность на анализ серверных сетевых служб
• целесообразен для узлов периметра сети и ДМЗ
• для критических узлов - копии
Инструменты:
ВЫЯВЛЕНИЕ УЯЗВИМОСТЕЙ – РЕЖИМЫ СКАНИРОВАНИЯ
«Audit» • с точки зрения администратора
• полная информация об узле
• использование максимальных привилегий
• использование локальных проверок
• возможно использование агентов на узле
Инструменты:
ВЫЯВЛЕНИЕ УЯЗВИМОСТЕЙ – РЕЖИМЫ СКАНИРОВАНИЯ
Web-приложение • для web-приложений
• blackbox-сканирование – с точки зрения атакующего
• анализ исходного кода – с точки зрения разработчика
• уязвимости разработки – лучше в ручном режиме
• важна квалификация оператора
• интеграция с WAF – закрытие уязвимостей «на лету»
• функциональность: «Web Application Security Scanner Evaluation Criteria», «OWASP Web Application Scanner Specification Project»
Инструменты:
ВЫЯВЛЕНИЕ УЯЗВИМОСТЕЙ – РЕЖИМЫ СКАНИРОВАНИЯ
Формирование задач:
• По типам узлов • По расположению • По режиму сканирования
СКАНИРОВАНИЕ – ОРГАНИЗАЦИЯ
Ограничения:Потенциально опасные проверки
Режим «Pentest»:
• подбор паролей
• проверки на отказ в обслуживании (DoS)
Web-приложение:
• инъекции команд
• проверки на отказ в обслуживании (DoS)
СКАНИРОВАНИЕ – ОРГАНИЗАЦИЯ
Необходимо учитывать режим работы удаленной системы
• Серверы: в периоды наименьшей загруженности
• Рабочие станции: в течение рабочего дня
СКАНИРОВАНИЕ – ОРГАНИЗАЦИЯ
Планирование:
• Периодичность
• Время запуска
• Запрещенные интервалы
– изменение состава, настроек или обновление ПО
– обновление базы уязвимостей сканера
– появление новых уязвимостей
– нормативные документы
– возможность контроля
– наименьшая загрузка
– доступность
– выполнение задач по расписанию
– настройка, обновление
– обслуживание
СКАНИРОВАНИЕ – ОРГАНИЗАЦИЯ
Первичный анализ:
Общее количество, критичность, уязвимое ПО, наличие исправлений, доступность эксплойтов
АНАЛИЗ РЕЗУЛЬТАТОВ
Уязвимости, требующие наибольшего внимания:
– Высокая критичность
– На большом количестве узлов
– Нет исправлений
– Доступны эксплойты, не требующие высокой квалификации
Итоговые отчеты и контроль
• Направляются исполнителям Контрольное сканирование
• Создаются заявки в системах управления IT-ресурсами
АНАЛИЗ РЕЗУЛЬТАТОВ
СПАСИБО ЗА ВНИМАНИЕ!
Акционерное общество «АйСиЭл–КПО ВС»
(АО «АйСиЭл–КПО ВС»)
www.icl.ru
Телефон: +7 (843) 279-58-23, 272-81-61
Факс: +7 (843) 279-49-05, 273-55-35
Эл.почта: [email protected]