Евгений ГнединОпределение точек проникновения в IT-инфраструктуру
Ядро методологииЕвгений ГнединЕвгений ГнединЕвгений ГнединТочка проникновения — это объект в информационной инфраструктуре, несанкционированный доступ к которому или воздействие на который позволяют внешнему нарушителю получить доступ к внутренней IT-инфраструктуре.
Точкой проникновения может быть признан объект информационной инфраструктуры, отвечающий одному или нескольким критериям:
Примеры возможных объектов IT-инфраструктуры, являющихся точками проникновения, приведены в таблице ниже (перечень не является полным).
К примеру, внешний злоумышленник может в результате эксплуатации уязвимостей в веб-приложении получить возможность выполнять команды ОС на сервере. Если на этом сервере есть интерфейс подключения к внутренней сети, нарушитель сможет развивать атаки на ресурсы внутренней IT-инфраструктуры организации. Есть и другие способы проникновения, например злоумышленник может подобрать пароль учетной записи для удаленного доступа к серверу или рабочей станции, атаковать клиентские устройства сотрудников в беспроводной сети.
В общем случае точки проникновения рассматриваются в контексте внешнего нарушителя, действующего из интернета и пытающегося проникнуть в локальную сеть организации. Но этот подход может быть масштабирован до уровня отдельных сетевых сегментов, когда внешний нарушитель действует из смежных сегментов сети и пытается проникнуть в конкретный сегмент, в котором расположены целевые системы. Таким образом, точки проникновения можно считать частным случаем ключевых систем и для них должен быть обеспечен соответствующий уровень защиты и мониторинга.
Актуальный перечень точек проникновения позволяет:
Для определения точек проникновения рекомендуется привлекать:
Для каждой точки проникновения должны быть определены:
Одной точке проникновения может соответствовать несколько способов компрометации:
Исходными данными для определения точек проникновения являются:
Основным источником информации служат результаты инвентаризации ресурсов на периметре сети. Если в организации не выстроен процесс инвентаризации и контроля появления устройств и сервисов на сетевом периметре, определение точек проникновения может оказаться непосильной задачей, а защититься от проникновения внешнего нарушителя станет практически невозможно.
А) Определить те узлы, на которых кроме внешнего сетевого адреса есть интерфейсы внутренних сетей (например, адреса форматов 192.168.ХХХ.ХХХ, 10.ХХХ.ХХХ.ХХХ). Эти узлы являются точками проникновения потенциального нарушителя, адреса таких узлов необходимо занести в перечень точек проникновения.
Б) Проанализировать сетевые службы, которые доступны для подключения внешнему нарушителю на таких узлах, и выписать небезопасные с точки зрения возможности их использования для проникновения:
В) Для этих сетевых служб оценить, как нарушитель может использовать их для проникновения, и выписать эти способы компрометации в привязке к узлу и соответствующей службе. Добавить эту информацию в перечень.
А) Для этих устройств определить адреса и имена беспроводных сетей (ESSID или BSSID), записать их в перечень точек проникновения.
Б) Проанализировать возможные способы проникновения через беспроводные сети с учетом специфики точек доступа. Добавить эту информацию в перечень.
А) Добавить адреса сетей, компьютеров, серверов, шлюзов и другого сетевого оборудования, для которых настроены такие каналы, в перечень точек проникновения.
Б) Оценить, как нарушитель может использовать эти точки для проникновения, и выписать эти способы компрометации в привязке к узлу или сети. Добавить эту информацию в перечень.
Гостевые и другие беспроводные сети, отделенные от локальной вычислительной сети, могут не учитываться в перечне. Однако рекомендуется проверить реальную сегментацию сетей не только на уровне файлов конфигурации, но и в рамках тестирований на проникновение через беспроводные сети. На практике могут существовать уязвимости и недостатки защиты, позволяющие внешнему злоумышленнику провести успешную атаку.
А) Устройства самообслуживания (например, системы электронной очереди, терминал самообслуживания), которые имеют сетевое подключение к одному из сегментов сети организации, являются точками проникновения нарушителя. Их IP-адреса и доменные имена необходимо добавить в перечень. При этом важно не исключать устройства, которые подключены к сегментам сети, отделенным от корпоративного сегмента. Исключать из перечня такие устройства рекомендуется только после практической проверки эффективности фильтрации трафика между сегментами сетей в рамках тестирования на проникновение через устройства самообслуживания.
Б) Оценить, как нарушитель может использовать эти устройства для проникновения, и выписать эти способы компрометации в привязке к устройству. Добавить эту информацию в перечень.
А) Розетки, которые имеют сетевую связность с корпоративной сетью организации и расположены в общедоступных помещениях, являются точками проникновения. Их идентификаторы необходимо добавить в перечень. При этом важно не исключать розетки, которые обеспечивают подключение к сегментам сети, отделенным от корпоративного сегмента. Исключать из перечня такие розетки рекомендуется только после практической проверки эффективности фильтрации трафика между сегментами сетей в рамках тестирования на проникновение через сетевые розетки в общедоступных помещениях организации.
Б) Оценить, как нарушитель может использовать активные сетевые розетки для проникновения, и выписать эти способы компрометации. Добавить эту информацию в перечень
А) Те устройства, которые подключены или периодически подключаются к корпоративной сети и с которых есть выход в интернет, являются точками проникновения, их IP-адреса и доменные имена необходимо добавить в перечень.
Б) Оценить, как нарушитель может использовать эти узлы для проникновения, и выписать эти способы компрометации в привязке к узлу. Добавить эту информацию в перечень.
Для практической проверки полноты и качества проработки перечня точек проникновения может быть проведено внешнее тестирование на проникновение в IT-инфраструктуру организации. Важно, чтобы такие работы проводились регулярно (не реже одного раза в год), так как IT-инфраструктура организации постоянно меняется, на сетевой периметр могут выводиться новые сервисы, в том числе тестовые, отключаться старые. Для того чтобы регулярно получать детальную и актуальную информацию о состоянии защищенности сетевого периметра, можно использовать сервисы по контролю защищенности, в рамках которых внешняя независимая специализированная организация реализует сканирование доступных из интернета сетевых служб на периметре сети организации с поиском уязвимостей. По договоренности с владельцем IT-инфраструктуры такие сканирования могут проводиться с заданной частотой (к примеру, ежеквартально или ежемесячно). При наличии соответствующих компетенций и сканнеров безопасности подобные сканирования могут осуществляться самостоятельно представителями IT-подразделения или отделом ИБ. Результаты практической проверки должны стать источником информации для актуализации перечня точек проникновения.
Актуальный перечень точек проникновения позволяет не только определить системы, требующие особого уровня контроля и защиты, но и понять, от каких именно методов атак их необходимо защитить в первую очередь. Определив точки и соответствующие способы проникновения, вы получаете возможность обеспечить более эффективную защиту с меньшим объемом затраченных ресурсов. Усиленная защита и мониторинг событий безопасности для систем из перечня позволят сделать проникновение более сложным для злоумышленника и повысят вероятность его обнаружения на ранних этапах атаки. Само наличие перечня и процесс его регулярной актуализации дают возможность оперативно отследить появление на сетевом периметре тех систем, которые не должны быть доступны из внешней сети, оперативно принять меры по их отключению или дополнительной фильтрации трафика.
Контроль защищенности точек проникновения должен быть основан на понимании используемого ПО и других компонентов информационных систем, доступных внешнему злоумышленнику. Актуальный перечень точек проникновения позволяет оперативно определить, какие из них могут быть уязвимы в случае появления информации о ранее неизвестных уязвимостях в ПО (уязвимостях нулевого дня). Для критически опасных уязвимостей нулевого дня в точках проникновения должен быть построен отдельных процесс их устранения с максимально строгими требованиями по скорости установки патчей и применения дополнительных мер защиты. Если в точке проникновения есть уязвимость нулевого дня или уже известная ранее уязвимость с высокой или критически опасной степенью риска, она должна устраняться в течение 12 часов с момента получения информации о ней, но не позднее выхода в публичном поле PoC-кода для ее эксплуатации. Эти временные рамки необходимо выдерживать даже в выходные или праздничные дни и нерабочее время.