pt penetration testing report (sample)

Коммерческая тайна ОАО «Рога и Копыта»

Россия, 123456, Москва, ул. XXXXX

ТЕСТИРОВАНИЕ НА ПРОНИКНОВЕНИЕ ИТ-ИНФРАСТРУКТУРЫ ОАО «РОГА И

КОПЫТА»

ОТЧЕТ О РАБОТАХ



ОГЛАВЛЕНИЕ

1 ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ..................................................................4

2 ВВЕДЕНИЕ.......................................................................................................5

2.1 ЦЕЛЬ ПРОВЕДЕНИЯ РАБОТ 5

2.2 МЕТОДИКА ПРОВЕДЕНИЯ РАБОТ 6

3 РЕЗУЛЬТАТЫ РАБОТ.....................................................................................10

4 ОПИСАНИЕ ХОДА РАБОТ.............................................................................16

4.1 ИССЛЕДОВАНИЕ СЕТЕВОГО ПЕРИМЕТРА ИС 16

4.1.1 ИДЕНТИФИКАЦИЯ СЕТЕВОГО ПЕРИМЕТРА...................................................................16

4.1.2 ИССЛЕДОВАНИЕ СИСТЕМЫ DNS................................................................................16

4.1.3 СКАНИРОВАНИЕ ПОРТОВ УЗЛОВ................................................................................16

4.1.4 УЯЗВИМОСТИ СЕТЕВЫХ УЗЛОВ..................................................................................16

4.2 АНАЛИЗ ЗАЩИЩЕННОСТИ СЕТЕВЫХ УСТРОЙСТВ 16

4.2.1 ОСУЩЕСТВЛЕНИЕ НСД К СЕТЕВОМУ ОБОРУДОВАНИЮ...............................................16

4.2.2 ОСУЩЕСТВЛЕНИЕ НСД В ТЕХНОЛОГИЧЕСКУЮ СЕТЬ..................................................17

4.3 АНАЛИЗ ЗАЩИЩЕННОСТИ WEB-ПРИЛОЖЕНИЙ 17

4.3.1 АНАЛИЗ ЗАЩИЩЕННОСТИ WEB-РЕСУРСА XXX...........................................................18

4.3.2 АНАЛИЗ ЗАЩИЩЕННОСТИ WEB-РЕСУРСА YYY............................................................18

4.3.3 АНАЛИЗ ЗАЩИЩЕННОСТИ WEB-РЕСУРСА ZZZ...........................................................18

4.4 АНАЛИЗ ЗАЩИЩЕННОСТИ ИС РО XXXX 19

4.4.1 ИССЛЕДОВАНИЕ ИС РО, XXXX................................................................................19

4.4.2 АУДИТ ИС РО, XXXX..............................................................................................19

4.5 АНАЛИЗ ЗАЩИЩЕННОСТИ ИС ЦО, XXXX 19

4.5.1 ИССЛЕДОВАНИЕ ИС ЦО, XXXX...............................................................................19

4.5.2 ПОЛУЧЕНИЕ ДОСТУПА К СЕРВЕРУ XYZ......................................................................19

4.5.3 АНАЛИЗ ЗАЩИЩЕННОСТИ БЕСПРОВОДНЫХ СЕТЕЙ В ЦО, XXXX................................20

Тестирование на проникновение Страница 2 из 25



4.5.4 АУДИТ ИС ЦО, XXXX..............................................................................................20

4.6 СРАВНЕНИЕ РЕЗУЛЬТАТОВ АУДИТА МЕЖДУ ИС ЦО, XXXX И ИС РО, XXXX 21

4.7 ОЦЕНКА ОСВЕДОМЛЕННОСТИ СОТРУДНИКОВ ЗАКАЗЧИКА В ВОПРОСАХ ИБ 22

5 ПРИЛОЖЕНИЕ А. ИСПОЛЬЗУЕМАЯ КЛАССИФИКАЦИЯ ПРИ ОЦЕНКЕ ИС ПО ВЕКТОРАМ ПРОНИКНОВЕНИЯ...................................................................23

6 ПРИЛОЖЕНИЕ B. ОЦЕНКА МЕХАНИЗМОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ................................................................................................23

7 ПРИЛОЖЕНИЕ C. КЛАССИФИКАЦИЯ ЗЛОУМЫШЛЕННИКОВ..................23

8 ПРИЛОЖЕНИЕ D. РЕКОМЕНДАЦИИ ПО УСТРАНЕНИЮ УЯЗВИМОСТЕЙ В WEB-ПРИЛОЖЕНИЯХ........................................................................................23

8.1 УЯЗВИМОСТИ ТИПА «ВНЕДРЕНИЕ ОПЕРАТОРОВ SQL» 23

8.2 УЯЗВИМОСТИ ТИПА «МЕЖСАЙТОВОЕ ВЫПОЛНЕНИЕ СЦЕНАРИЕВ» 24

8.3 УЯЗВИМОСТИ ТИПА XYZ 24

9 ПРИЛОЖЕНИЕ E. ДОПОЛНИТЕЛЬНЫЕ МАТЕРИАЛЫ................................24

9.1 ПРИЛОЖЕНИЕ 1: АНАЛИЗ ИСПОЛЬЗУЕМЫХ ПОЛЬЗОВАТЕЛЯМИ ИС ПАРОЛЕЙ 24




1 Обозначения и сокращения

ЗИ - защита информации

ИБ - информационная безопасность

ИР - информационные ресурсы

ИС - информационная система

НСД - несанкционированный доступ

СУИБ - система управления информационной безопасностью

МСЭ - межсетевой экран

ДМЗ - демилитаризованная зона

ОС - операционная система

ЦО - центральный офис

РО - региональный офис

ЛВС - локальная вычислительная сеть




2 ВведениеСогласно договору №XXX-XX от XX.XX.20XX г. между ЗАО «Позитив Текнолоджиз» (далее – Исполнитель) и ОАО «Рога и Копыта» (далее – Заказчик) в XXXX 20XX года выполнялись работы по аудиту безопасности корпоративной информационной системы ОАО «Рога и Копыта» (далее - ИС).

Данный документ содержит экспертное заключение о результатах аудита и оценку защищенности ИС Заказчика, выполненную специалистами Исполнителя.

2.1Цель проведения работ

Целью проводимых работ являлось повышение защищенности ИС Заказчика путем:

получения независимой оценки текущего уровня защищенности ИС от атак со стороны сети Интернет;

получения оценки защищенности внешних Web-приложений;

получения оценки эффективности мер по противодействию атакам с использованием методов социальной инженерии;

получения оценки уровня осведомленности сотрудников Заказчика в вопросах информационной безопасности;

демонстрации возможности получения НСД к внутренним информационным ресурсам Заказчика за счет эксплуатации одной или нескольких выявленных уязвимостей на внешнем периметре ИС со стороны сети Интернет;

разработки рекомендаций по повышению уровня защищенности внешнего периметра ИС и устранению выявленных уязвимостей в ИС Заказчика.




2.2 Методика проведения работ

Работы проводились без уведомления администраторов ИС методом «черного ящика»1 от имени внешнего злоумышленника. При проведении работ специалисты исполнителя придерживались принципа минимизации нарушения доступности ресурсов ИС Заказчика.

Под понятием «внешний злоумышленник» подразумевается лицо или группа лиц, состоящих или не состоящих в сговоре, которые в результате предумышленных или непредумышленных действий потенциально могут нанести ущерб информационным ресурсам Заказчика. Для определения типа злоумышленника использовалась классификация, разработанная Исполнителем (см. раздел 7 на стр. 24).

Для выполнения работ был выбран следующий тип злоумышленника:

[M4-Q6-P1-AE1-AN1-AT1-SI1] – злоумышленник, мотивированный коммерческим интересом, целью которого является определенный актив, не имеющий физического и логического доступа к ИС, с практически полным отсутствием знаний об исследуемой ИС и квалификацией – хакер.

При проведении работ по анализу защищенности беспроводных сетей у злоумышленника повысился уровень физического доступа [P3] до уровня доступа внутри периметра защиты и злоумышленник получил тип - [M4-Q6-P3-AE1-AN1-AT1-SI1].

Помимо этого рассматривался близкий к вышеописанному тип злоумышленника [M2-Q2-P1-AE1-AN1-AT1-SI1], уровень квалификации которого колеблется от [Q1] до [Q2]. К данному типу злоумышленников относятся группы хакеров (обычно подростков), которые, взламывая Интернет-сайты различных организаций, совершают свои действия из хулиганских побуждений, редко преследуя какую-либо коммерческую выгоду.

1 Принцип «черного ящика» заключается в проведении работ по оценке защищенности ИС без предварительного получения какой-либо информации со стороны Заказчика об исследуемой ИС.




Целью специалистов Исполнителя было повышение уровня знаний о системе [SI] и уровня логического доступа [AT] до максимально возможного.

В ходе проведения работ допускалась эксплуатация (по согласованию) выявленных уязвимостей и разрешалось нарушение целостности и конфиденциальности обрабатываемой информации в ИС Заказчика.

Процесс проведения работ был построен следующим образом:

Получение предварительной информации о сети Заказчика. Использовались те же источники информации, которые доступны злоумышленникам (Интернет, новости, конференции).

На основе собранной информации, специалистами Исполнителя было выполнено:

Выявление активных узлов (сканирование сетевых портов) и составление списка доступных ресурсов (DNS, Mail, Web и пр.).

Идентификация версий запущенных сетевых служб и приложений с целью определения известных уязвимостей.

Анализ web-приложений Заказчика. С помощью автоматизированных утилит и ручными методами анализировались следующие уязвимости: внедрение операторов SQL (SQL Injection), межсайтовое выполнение сценариев (Cross-Site Scripting), подмена содержимого (Content Spoofing), выполнение команд ОС (OS Commanding), уязвимости, связанные с некорректной настройкой механизмов аутентификации и авторизации, и др.

Попытка осуществления НСД к ресурсам ИС за счет эксплуатации одной или нескольких выявленных уязвимостей в ИС Заказчика.

Расширение прав доступа и сбор информации на уязвимых узлах.

Проведение социотехнического тестирования и оценка осведомленности пользователей ИС.

Анализ собранной информации и разработка аналитического отчета о проведенном исследовании ИС.




Разработка рекомендаций по исправлению найденных уязвимостей и ликвидации выявленных угроз.

Процесс исследования ИС Заказчика в рамках проводимых специалистами Исполнителя работ был построен таким образом, чтобы охватить все основные объекты атаки в ИС Заказчика (см. Рис. 1).

Сетевая инфраструктура;

Беспроводные сети;

Серверные системы;

Web-приложения;

Рабочие станции сотрудников.

В ходе выполнения работ специалисты Исполнителя использовали методики и инструменты собственной разработки, а также передовой опыт авторитетных организаций, таких как Open Source Security Testing Methodology Manual (OSSTMM), Standards for Information Systems Auditing (ISACA), Web Application Security Consortium (WASC), Open Web Application Security Project (OWASP).




Рис. 1 Процесс исследования ИС




3 Результаты работВ ходе выполнения работ специалистам Исполнителя удалось обойти защитные механизмы и осуществить несанкционированный доступ к информационным системам, обрабатывающим информацию разного уровня конфиденциальности. В том числе успешно осуществлен НСД ко всем внутренним и внешним ресурсам (в том числе к серверу XYZ ) ИС в соответствии с пожеланиями Заказчика в ходе проведения работ Исполнителем. Таким образом, злоумышленник получил тип [M4-Q6-P3- AE4-AN5-AT3-SI5].

По оценке Исполнителя использование обнаруженных недостатков может привести к нарушению непрерывности бизнес-процессов Заказчика и к утечке сведений, относящихся к коммерческой тайне Заказчика. В ходе выполнения работ специалистами Исполнителя была продемонстрирована возможность эксплуатации различных векторов атаки, которые приводят к указанным последствиям.

В результате выполнения работ специалистам Исполнителя удалось:

получить административные привилегии во всех доменах, на всех почтовых серверах и рабочих станциях путем получения административных привилегий в качестве Enterprise Admin в доменах XX1.YY1 (ЦО, XXXX), XX2.YY2 (РО, XXXX).

осуществить НСД к серверу XYZ, обрабатывающему наиболее важную для Заказчика информацию.

получить уровень доступа privileges_15 на магистральных каналах связи.

получить доступ к системе SAP с различными привилегиями (в частности к модулю XXYY с привилегиями AABBCC).

продемонстрировать возможность получения НСД через беспроводное соединение к ИС ЦО (XXXX) с использованием уязвимостей на рабочих станциях сотрудников Заказчика.

продемонстрировать недостаточную осведомленность сотрудников Заказчика в вопросах, связанных с обеспечением информационной безопасности.




осуществить доступ к официальному сайту Заказчика (www.XXXX.ru) с правами администратора web-приложения.

XXXX YYYY ZZZZ




Выявленные бизнес-риски:

нарушение доступности ВСЕХ информационных ресурсов ИС Заказчика (ЦО XXXX, РО XXXX), включая технологические сети XXXX.

получение доступа к системам, критически важным для бизнес-процессов (серверы XYZ , ZYX и пр.)

Проникновение во внутреннюю сеть Заказчика:

o получение доступа ко всем внутренним ресурсам (коммерческая информация, электронная почта, файловые хранилища, базы данных и т.д.);

o получение доступа к магистральному оборудованию с максимальными привилегиями;

o получение доступа к доменам XX1.YY1 (ЦО, XXXX), XX2.YY2 (РО XXXX), XX3.YY3 (РО XXXX) с максимальными привилегиями Enterprise Admin (контроль над всеми информационными потоками в ИС Заказчика ).

Основные результаты работ по каждому из этапов приведены в Табл.1.




Табл. 1 Основные результаты

Этап работ Результат Степень риска

Исследование сетевого периметра ИС

Результат 1


…

Результат N

Критический

Анализ защищенности сетевых устройств



…



Анализ защищенности web-приложений



…



Анализ защищенности беспроводных сетей



…



Оценка осведомленности сотрудников Заказчика в вопросах информационной безопасности



…


Высокий

Анализ защищенности внутренних сетей



…


Высокий




Для оценки состояния ИБ Заказчика по векторам проникновения в ИС использовалась классификация, разработанная Исполнителем (см. раздел 5 на стр. 24). В соответствии с ней текущее состояние ИБ Заказчика находится на уровне, близкому к самому низкому (см. Табл. 2).

Табл. 2 Оценка состояния ИБ Заказчика по векторам проникновения

Вектор проникновения Текущее состояние Оценка

Сетевая инфраструктура

Описание состояния уровня 22

Сетевые устройства Описание состояния уровня 1 1

Беспроводные сети Описание состояния уровня 2 2

Сетевые службы и СУБД Описание состояния уровня 2 2

Web-приложения Описание состояния уровня 2 2

Рабочие места пользователей


Рис. 2 Оценка состояния ИБ Заказчика по векторам проникновения

Полученные в ходе выполнения работ данные использовались Исполнителем для оценки применяемых Заказчиком механизмов




обеспечения информационной безопасности. Оценка производилась в соответствии с приведенной в разделе 6 на стр. 24 классификацией. Результаты оценки показывают, что текущий уровень реализации этих механизмов близок к минимальному (см. Табл. 3).

Табл. 3 Оценка применяемых Заказчиком механизмов обеспечения ИБ

Применяемый механизм обеспечения ИБ Текущее состояние Оценка

Управление конфигурацией


Управление межсетевыми экранами


Управление учетными записями


Управление аутентификацией


Безопасность персональных данных

пользователей


Осведомленность пользователей


Антивирусная защита Описание состояния уровня 3 3

Управление уязвимостями и обновлениями


Управление инцидентами


Криптографическая защита





Рис. 3 Оценка применяемых Заказчиком механизмов обеспечения ИБ

Подобная оценка обусловлена тем, что СУИБ Заказчика реализована не в полном объеме. Существующие процессы в СУИБ Заказчика являются неэффективными в настоящее время и не отвечают требованиям бизнеса.

XXX ZZZ




4 Описание хода работ

4.1Исследование сетевого периметра ИС

Описание этапа…

4.1.1 Идентификация сетевого периметра

Подробное описание, каким образом и из каких источников была собрана информация…

4.1.2 Исследование системы DNS

Описание…

4.1.3 Сканирование портов узлов

Описание, общая картина обнаруженных сервисов…

4.1.4 Уязвимости сетевых узлов

Описание, общая картина инструментального исследования, подробное описание выявленных уязвимостей и способов их устранения прилагаются на DVD-диск…

4.2Анализ защищенности сетевых устройств





4.2.1 Осуществление НСД к сетевому оборудованию

Подробное описание хода работ, выявленных уязвимостей, ранжирование их по степени потенциальной опасности, результаты от их использования, способы устранения, уровень полученных привилегий и полученный уровень знаний об ИС.

4.2.2 Осуществление НСД в технологическую сеть


4.3Анализ защищенности web-приложений

Описание этапа, аналитика…

Рис. 4 Распределение уязвимостей в web-приложениях по категориям

На Рис. 5 показано распределение уязвимостей по причинам их возникновения.




Рис. 5 Распределение уязвимостей в web-приложениях по причинам их возникновения

Аналитика, совокупная таблица по всем обнаруженным уязвимостям…

4.3.1 Анализ защищенности web-ресурса XXX

Результат использования наиболее критических уязвимостей, таблица с подробным описанием каждой обнаруженной уязвимости, ранжирование их по степени потенциальной опасности, способы их устранения.

4.3.2 Анализ защищенности web-ресурса YYY


4.3.3 Анализ защищенности web-ресурса ZZZ





4.4Анализ защищенности ИС РО XXXX


4.4.1 Исследование ИС РО, XXXX


4.4.2 Аудит ИС РО, XXXX

Аналитика, на основе собранных данных…

4.5Анализ защищенности ИС ЦО, XXXX


4.5.1 Исследование ИС ЦО, XXXX


4.5.2 Получение доступа к серверу XYZ





Дополнительные материалы на прилагаемом DVD-диске:

С дополнительными материалами можно ознакомиться, обратившись к каталогу «\XYZ\» на прилагаемом к отчету DVD-диске.

Видео демонстрация на прилагаемом DVD-диске:

С видео-материалом можно ознакомиться, обратившись к каталогу «\XYZ\» на прилагаемом к отчету DVD-диске.

4.5.3 Анализ защищенности беспроводных сетей в ЦО, XXXX


4.5.4 Аудит ИС ЦО, XXXX





Рис. 6 Сравнение состояние ИБ ИС Заказчика с CIS Windows 2003 (1)

Аналитика…

4.6Сравнение результатов аудита между ИС ЦО, XXXX и ИС РО, XXXX


Интегральная уязвимость определяется по формуле: N5 * 5 + N3 * 3 + N4 + N2 + N1 , где:

N5 - количество серьезных уязвимостейN4 - количество подозрений на уязвимость высокого уровняN3 - количество уязвимостей среднего уровняN2 - количество подозрений на уязвимость среднего уровняN1 - количество уязвимостей низкого уровня




Рис. 7 Сравнение состояния защищенности между ИС ЦО, XXXX и ИС РО, XXXX

Аналитика…

4.7Оценка осведомленности сотрудников Заказчика в вопросах ИБ

оценка эффективности программы повышения осведомленности сотрудников Заказчика;

статистика по каждому из типов атаки и действиям пользователей (по целевым группам, регионам и т.д.);

информация о сотрудниках, ненадлежащим образом выполняющих требования по обеспечению ИБ.


5 Приложение А. Используемая классификация при оценке ИС по векторам проникновения

Подробное описание…

6 Приложение B. Оценка механизмов информационной безопасности


7 Приложение C. Классификация злоумышленников


8 Приложение D. Рекомендации по устранению уязвимостей в web-приложениях

8.1Уязвимости типа «Внедрение операторов SQL»


8.2 Уязвимости типа «Межсайтовое выполнение сценариев»


8.3 Уязвимости типа XYZ


9 Приложение E. Дополнительные материалы

9.1Приложение 1: Анализ используемых пользователями ИС паролей

Аналитика отдельным документом.

pt penetration testing report (sample)

Technology