Le plus dangereux est l'ennemi, que vous ne soupçonnez pas.
(Fernando Rojas) L'
infrastructure informatique d'une entreprise moderne peut être comparée à un château médiéval. De hauts murs, un fossé profond et des gardes aux portes protègent de l'ennemi extérieur, et pratiquement personne ne regarde ce qui se passe à l'intérieur des murs de la forteresse. De même, de nombreuses entreprises: elles déploient d'énormes efforts pour protéger le périmètre extérieur, tandis que l'infrastructure interne reste privée. Les tests de pénétration internes sont encore un processus exotique et pas très clair pour la plupart des clients. Par conséquent, nous avons décidé de dire à son sujet tout (enfin, presque tout) que vous vouliez savoir, mais que vous aviez peur de demander.
L'ennemi externe (un pirate effrayant portant un sweat à capuche noir) semble intimidant, mais une grande partie des fuites d'informations d'entreprise est due à la faute d'initiés. Selon les statistiques de notre centre de surveillance Solar JSOC, les incidents internes représentent environ 43% du nombre total de menaces. Certaines organisations s'appuient sur des protections - souvent mal configurées - qui peuvent être facilement contournées ou désactivées. D'autres ne considèrent pas du tout l'initié comme une menace et ferment les yeux sur les défauts de protection de l'infrastructure interne.
Les problèmes que nous identifions lors de l'analyse du "marché intérieur" errent d'entreprise en entreprise:
- mots de passe faibles et inchangeables pour les comptes de service et privilégiés;
- mots de passe identiques pour les comptes administrateurs réguliers et privilégiés;
- ;
- ;
- ;
- ;
- .
: Windows- Active Directory.
À l'échelle mondiale, les tests de pénétration révèlent à quel point un attaquant potentiel peut endommager l'infrastructure informatique d'une entreprise particulière. Pour ce faire, des spécialistes en cybersécurité menant un test de pénétration simulent les actions d'un hacker à l'aide de techniques et d'outils réels, mais sans nuire au client. Les résultats de l'audit contribuent à améliorer la sécurité d'une organisation tout en réduisant les risques commerciaux. Ces tests ont deux directions: externe et interne. Dans le premier cas, le "hacker blanc" doit trouver des vulnérabilités qui peuvent pénétrer le réseau interne (c'est-à-dire percer ce mur de forteresse même).
Les tests de pénétration internes vérifient la vulnérabilité de l'infrastructure à un initié ou à un intrus qui a accès au réseau local d'une organisation. Pourront-ils, s'ils le souhaitent, contrôler le LAN, se déplacer librement et influencer le fonctionnement des serveurs individuels? Un tel travail est effectué sur le réseau interne, et plus souvent à partir du poste d'un employé avec des privilèges minimaux. Dans le même temps, il est possible (et nécessaire) de vérifier même les employés qui n'ont qu'un accès physique aux ordinateurs (par exemple, les nettoyeurs, les électriciens, les agents de sécurité, les coursiers, etc.).
Le test de pénétration ne doit pas révéler toutes les vulnérabilités existantes dans l'entreprise sur tous les hôtes du réseau interne (cela peut être fait à l'aide d'un scanner de vulnérabilité ou en configurant correctement les politiques de gestion des vulnérabilités). Il a une tâche complètement différente: trouver une ou deux routes qu'un attaquant peut suivre pour réussir à attaquer sa victime. L'exécution du travail se concentre sur les paramètres de sécurité et les fonctionnalités Windows. En un mot, il ne sera plus effectué, par exemple, l'analyse des ports ouverts et la recherche d'hôtes avec des mises à jour désinstallées.
Comment cela peut-il arriver
Les tests de sécurité de l'infrastructure interne se déroulent en plusieurs étapes:
Voici un exemple de la manière dont un test de pénétration interne similaire s'est déroulé en réalité dans le cadre de l'un de nos projets:
- Tout d'abord, nous avons identifié les partages de fichiers qui hébergeaient les applications Web;
- SA (Super Admin) MS SQL;
- MS SQL sqldumper.exe xp_cmdshell LSASS, :
- .
Étant donné que les tests de pénétration internes ne prennent en compte que l'infrastructure interne (évidemment) d'une organisation, peu importe la manière dont un attaquant a obtenu l'accès initial au réseau - la manière dont il a utilisé cet accès importe peu. Par conséquent, le rapport final, rédigé sur la base des résultats du pentest, décrit les vulnérabilités qui n'ont pas été découvertes, mais l'historique de la façon dont le spécialiste s'est déplacé à travers le réseau, les obstacles et les difficultés auxquels il a été confronté, comment il les a contournés et comment il a accompli la tâche. Un spécialiste peut détecter plusieurs défauts, mais pour atteindre l'objectif, l'un des plus optimaux ou des plus intéressants sera choisi. Dans ce cas, toutes les vulnérabilités constatées «en chemin» seront également incluses dans le rapport. En conséquence, le client recevra des recommandations pour corriger les lacunes et améliorer la sécurité de l'infrastructure interne.
En fait, le test de pénétration interne continue le test externe, répondant à la question: "Que se passe-t-il après qu'un cybercriminel pénètre dans le réseau?" En comparaison, la méthodologie suivante est généralement utilisée dans le processus de test de pénétration du périmètre externe:
Qui entre dans l'infrastructure
Ainsi, la manière dont l'attaquant est entré dans le réseau n'est pas importante, par conséquent, au stade initial de la planification des tests de pénétration internes, des modèles d'un initié ou d'un attaquant externe peuvent être envisagés.
- Modèle d'initié. Un initié est un attaquant interne motivé qui a un accès légitime à l'infrastructure d'une organisation, limité uniquement par les responsabilités professionnelles. Par exemple, un vrai employé qui a décidé de nuire à son entreprise. Aussi, les employés des services de support (gardiens de sécurité, nettoyeurs, électriciens, etc.) peuvent jouer le rôle d'initiés, ils ont un accès légitime au bureau, mais ils n'ont pas de droits d'accès à l'infrastructure.
- Modèle d'intrus externe. Le modèle ne se concentre pas sur la manière dont l'accès a été obtenu (vulnérabilité du logiciel de périmètre, fuite d'informations d'identification, ingénierie sociale ou autre) au réseau interne de l'organisation. Le point de départ est le fait que «l'étranger» est déjà à l'intérieur.
Après avoir compilé un modèle de menace, la situation elle-même est simulée, dans laquelle l'interprète aura accès à l'infrastructure:
- ;
- . , (Wi-Fi);
- . : , , ;
- «» , . (Command & Control), . , .
Dans le même temps, le pentesting n'est pas une errance sans but dans l'infrastructure de quelqu'un d'autre. Le "hacker blanc" a toujours un objectif fixé par le client. Le scénario le plus courant pour les tests de pénétration internes consiste à obtenir des privilèges d'administrateur de domaine. Bien qu'en réalité, les attaquants cherchent rarement à obtenir de tels privilèges, car cela peut attirer l'attention inutile sur eux. Par conséquent, dans la plupart des cas, les privilèges d'administrateur de domaine ne seront pas l'objectif, mais le moyen d'y parvenir. Et l'objectif pourrait être, par exemple, la prise en charge d'un réseau d'entreprise, l'accès à un poste de travail et un serveur, ou à une application et une base de données.
Qui a besoin de tout
Vaut-il même la peine pour un client de laisser des testeurs d'intrusion pénétrer dans son réseau d'entreprise? Ça vaut vraiment le coup. C'est là que se trouvent les données les plus critiques et les principaux secrets de l'entreprise. Pour protéger un LAN, vous devez connaître tous ses coins, recoins et lacunes. Et les tests de pénétration internes peuvent y contribuer. Il vous permet de voir les faiblesses de l'infrastructure ou de vérifier les contrôles de sécurité configurés et de les améliorer. De plus, les tests de pénétration internes sont une alternative plus abordable à l'équipe rouge. Eh bien, si la tâche est de démontrer à la direction que les fonds alloués ne sont pas suffisants pour assurer la sécurité de l'infrastructure interne, le test de pénétration interne vous permet d'étayer cette thèse avec des faits.
Auteur: Dmitry Neverov, expert en analyse de sécurité, Rostelecom-Solar