Определение точек проникновения в IT-инфраструктуру

Что такое точка проникновения

Точка проникновения — это объект в информационной инфраструктуре, несанкционированный доступ к которому или воздействие на который позволяют внешнему нарушителю получить доступ к внутренней IT-инфраструктуре.

Точкой проникновения может быть признан объект информационной инфраструктуры, отвечающий одному или нескольким критериям:

одновременное наличие на одном узле сетевых интерфейсов для доступа к интернету (внешний IP-адрес) и к внутренней сети (внутренний IP-адрес);
наличие сетевых служб, доступных из внешней сети;
возможность подключаться с компьютера или сервера к интернету, в том числе через NAT (например, посещать сайты, использовать электронную почту);
наличие настроенного канала удаленного подключения к компоненту IT-инфраструктуры или сетевому сегменту из внешней сети;
наличие функциональности беспроводной точки доступа, подключенной к локальной сети;
доступность внешнему нарушителю сетевой розетки, имеющей сетевую связность с корпоративной сетью;
доступность внешнему нарушителю интерфейса работы с устройством, которое имеет сетевую связность с корпоративной сетью.

Примеры возможных объектов IT-инфраструктуры, являющихся точками проникновения, приведены в таблице ниже (перечень не является полным).

Категория	Примеры точек проникновения
Системы, доступные из внешней сети (например, из интернета)	- Веб-приложения (например, официальный сайт, форум, портал обучения, веб-интерфейс администрирования); - система удаленного доступа; - сервер СУБД; - почтовый сервер; - файловый сервер; - любой сервер с доступными интерфейсами управления (например, SSH, Telnet); - системы видео-конференц-связи
Автоматизированное рабочее место с выходом в интернет	- Компьютер или ноутбук сотрудника; - мобильное устройство сотрудника, подключенное к сети предприятия
Выделенные каналы подключения из внешних сетей	- Сетевое оборудование для VPN-подключения на границе сети; - шлюз удаленного подключения (например, RDP- или VPN-шлюз); - АРМ сотрудника, к которому настроено удаленное подключение; - сервер, к которому настроено удаленное подключение
Компоненты беспроводных сетей	- Беспроводной маршрутизатор; - АРМ сотрудников, которые являются клиентами беспроводной сети и при этом обладают возможностью подключения к ресурсам внутренней сети; - граничное сетевое оборудования (коммутаторы, маршрутизаторы, межсетевые экраны) на границе беспроводных сетей и локальной вычислительной сети; - сетевой принтер или МФУ с интерфейсом подключения по беспроводной сети
Устройства и сетевые розетки, расположенные в общественных местах организации	- Активные сетевые розетки в общественных зонах на территории организации (например, на проходных, зонах ожидания, залах обслуживания клиентов, переговорных комнатах); - устройства самообслуживания, имеющие сетевую связность с корпоративной сетью, расположенные в общедоступных зонах организации (например, залах обслуживания клиентов, проходных)

К примеру, внешний злоумышленник может в результате эксплуатации уязвимостей в веб-приложении получить возможность выполнять команды ОС на сервере. Если на этом сервере есть интерфейс подключения к внутренней сети, нарушитель сможет развивать атаки на ресурсы внутренней IT-инфраструктуры организации. Есть и другие способы проникновения, например злоумышленник может подобрать пароль учетной записи для удаленного доступа к серверу или рабочей станции, атаковать клиентские устройства сотрудников в беспроводной сети.

В общем случае точки проникновения рассматриваются в контексте внешнего нарушителя, действующего из интернета и пытающегося проникнуть в локальную сеть организации. Но этот подход может быть масштабирован до уровня отдельных сетевых сегментов, когда внешний нарушитель действует из смежных сегментов сети и пытается проникнуть в конкретный сегмент, в котором расположены целевые системы. Таким образом, точки проникновения можно считать частным случаем ключевых систем и для них должен быть обеспечен соответствующий уровень защиты и мониторинга.

Зачем определять точки проникновения

Актуальный перечень точек проникновения позволяет:

ограничить круг систем, требующих усиленной защиты от внешних атак;
ограничить круг систем, вывод которых на внешний сетевой периметр необходимо запрещать или тщательно контролировать;
защитить системы именно от тех воздействий, которые могут привести к проникновению в локальную сеть;
проанализировать, до каких целевых систем сможет добраться нарушитель после компрометации соответствующей точки проникновения;
спрогнозировать возможные векторы атаки нарушителя на целевые системы после проникновения и их сложность.

Кого привлечь для определения точек проникновения

Для определения точек проникновения рекомендуется привлекать:

специалистов, ответственных за информационную безопасность;
специалистов подразделения информационных технологий;
собственных (при наличии) или внешних экспертов в области тестирования на проникновение.

Какая информация необходима для описания точек проникновения

Для каждой точки проникновения должны быть определены:

IP-адрес и доменное имя (при наличии);
способ ее компрометации, который позволит нарушителю осуществить проникновение во внутреннюю IT-инфраструктуру.

Одной точке проникновения может соответствовать несколько способов компрометации:

подбор учетной записи;
эксплуатация уязвимости или недостатка конфигурации;
использование встроенных в систему функций для проведения атаки;
повышение привилегий;
изменение конфигурации;
несанкционированное подключение стороннего оборудования;
другие способы, соответствующие специфике конкретной точки проникновения.

Как определить точки проникновения

Исходными данными для определения точек проникновения являются:

результаты инвентаризации информационных ресурсов;
документация на сети и системы (включая схемы сетей);
файлы конфигурации информационных ресурсов;
результаты тестирования на проникновения и (или) анализа защищенности информационных систем;
результаты внешнего инструментального сканирования ресурсов на сетевом периметре.

Основным источником информации служат результаты инвентаризации ресурсов на периметре сети. Если в организации не выстроен процесс инвентаризации и контроля появления устройств и сервисов на сетевом периметре, определение точек проникновения может оказаться непосильной задачей, а защититься от проникновения внешнего нарушителя станет практически невозможно.

Основные шаги по определению точек проникновения:

1. Проанализировать актуальные результаты инвентаризации информационных ресурсов на сетевом периметре:

А) Определить те узлы, на которых кроме внешнего сетевого адреса есть интерфейсы внутренних сетей (например, адреса форматов 192.168.ХХХ.ХХХ, 10.ХХХ.ХХХ.ХХХ). Эти узлы являются точками проникновения потенциального нарушителя, адреса таких узлов необходимо занести в перечень точек проникновения.

Б) Проанализировать сетевые службы, которые доступны для подключения внешнему нарушителю на таких узлах, и выписать небезопасные с точки зрения возможности их использования для проникновения:

интерфейсы администрирования (например, SSH, Telnet);
интерфейсы удаленного подключения (например, RDP, VPN, VNC);
веб-приложения, включая веб-интерфейсы администрирования (например, HTTPS, HTTP);
системы управления базами данных (например, PostgreSQL, Microsoft SQL, MySQL, Oracle);
другие интерфейсы подключения по протоколам, которые считаются небезопасными для использования на сетевом периметре (например, SMB, LDAP, FTP).

В) Для этих сетевых служб оценить, как нарушитель может использовать их для проникновения, и выписать эти способы компрометации в привязке к узлу и соответствующей службе. Добавить эту информацию в перечень.

2. Проанализировать актуальные результаты инвентаризации информационных ресурсов, обладающих функциональностью беспроводной точки доступа (такими устройствами могут быть не только беспроводные маршрутизаторы, но и принтеры, умные телевизоры и другие устройства, подключенные к внутренней сети):

А) Для этих устройств определить адреса и имена беспроводных сетей (ESSID или BSSID), записать их в перечень точек проникновения.

Б) Проанализировать возможные способы проникновения через беспроводные сети с учетом специфики точек доступа. Добавить эту информацию в перечень.

3. Проанализировать актуальные результаты инвентаризации выделенных каналов подключения из внешних сетей в сеть организации (такими каналами могут быть VPN-подключения из сетей подрядчиков, каналы удаленного подключения с удаленных рабочих мест сотрудников):

А) Добавить адреса сетей, компьютеров, серверов, шлюзов и другого сетевого оборудования, для которых настроены такие каналы, в перечень точек проникновения.

Б) Оценить, как нарушитель может использовать эти точки для проникновения, и выписать эти способы компрометации в привязке к узлу или сети. Добавить эту информацию в перечень.

Гостевые и другие беспроводные сети, отделенные от локальной вычислительной сети, могут не учитываться в перечне. Однако рекомендуется проверить реальную сегментацию сетей не только на уровне файлов конфигурации, но и в рамках тестирований на проникновение через беспроводные сети. На практике могут существовать уязвимости и недостатки защиты, позволяющие внешнему злоумышленнику провести успешную атаку.

4. Проанализировать актуальные результаты инвентаризации устройств самообслуживания, расположенных в общедоступных помещениях организации:

А) Устройства самообслуживания (например, системы электронной очереди, терминал самообслуживания), которые имеют сетевое подключение к одному из сегментов сети организации, являются точками проникновения нарушителя. Их IP-адреса и доменные имена необходимо добавить в перечень. При этом важно не исключать устройства, которые подключены к сегментам сети, отделенным от корпоративного сегмента. Исключать из перечня такие устройства рекомендуется только после практической проверки эффективности фильтрации трафика между сегментами сетей в рамках тестирования на проникновение через устройства самообслуживания.

Б) Оценить, как нарушитель может использовать эти устройства для проникновения, и выписать эти способы компрометации в привязке к устройству. Добавить эту информацию в перечень.

5. Проанализировать актуальные результаты инвентаризации сетевых розеток, расположенных в общедоступных помещениях организации:

А) Розетки, которые имеют сетевую связность с корпоративной сетью организации и расположены в общедоступных помещениях, являются точками проникновения. Их идентификаторы необходимо добавить в перечень. При этом важно не исключать розетки, которые обеспечивают подключение к сегментам сети, отделенным от корпоративного сегмента. Исключать из перечня такие розетки рекомендуется только после практической проверки эффективности фильтрации трафика между сегментами сетей в рамках тестирования на проникновение через сетевые розетки в общедоступных помещениях организации.

Б) Оценить, как нарушитель может использовать активные сетевые розетки для проникновения, и выписать эти способы компрометации. Добавить эту информацию в перечень

6. Проанализировать актуальные результаты инвентаризации рабочих мест сотрудников, включая ноутбуки:

А) Те устройства, которые подключены или периодически подключаются к корпоративной сети и с которых есть выход в интернет, являются точками проникновения, их IP-адреса и доменные имена необходимо добавить в перечень.

Б) Оценить, как нарушитель может использовать эти узлы для проникновения, и выписать эти способы компрометации в привязке к узлу. Добавить эту информацию в перечень.

Как убедиться, что точки проникновения определены правильно

Для практической проверки полноты и качества проработки перечня точек проникновения может быть проведено внешнее тестирование на проникновение в IT-инфраструктуру организации. Важно, чтобы такие работы проводились регулярно (не реже одного раза в год), так как IT-инфраструктура организации постоянно меняется, на сетевой периметр могут выводиться новые сервисы, в том числе тестовые, отключаться старые. Для того чтобы регулярно получать детальную и актуальную информацию о состоянии защищенности сетевого периметра, можно использовать сервисы по контролю защищенности, в рамках которых внешняя независимая специализированная организация реализует сканирование доступных из интернета сетевых служб на периметре сети организации с поиском уязвимостей. По договоренности с владельцем IT-инфраструктуры такие сканирования могут проводиться с заданной частотой (к примеру, ежеквартально или ежемесячно). При наличии соответствующих компетенций и сканнеров безопасности подобные сканирования могут осуществляться самостоятельно представителями IT-подразделения или отделом ИБ. Результаты практической проверки должны стать источником информации для актуализации перечня точек проникновения.

Как использовать перечень точек проникновения

Актуальный перечень точек проникновения позволяет не только определить системы, требующие особого уровня контроля и защиты, но и понять, от каких именно методов атак их необходимо защитить в первую очередь. Определив точки и соответствующие способы проникновения, вы получаете возможность обеспечить более эффективную защиту с меньшим объемом затраченных ресурсов. Усиленная защита и мониторинг событий безопасности для систем из перечня позволят сделать проникновение более сложным для злоумышленника и повысят вероятность его обнаружения на ранних этапах атаки. Само наличие перечня и процесс его регулярной актуализации дают возможность оперативно отследить появление на сетевом периметре тех систем, которые не должны быть доступны из внешней сети, оперативно принять меры по их отключению или дополнительной фильтрации трафика.

Контроль защищенности точек проникновения должен быть основан на понимании используемого ПО и других компонентов информационных систем, доступных внешнему злоумышленнику. Актуальный перечень точек проникновения позволяет оперативно определить, какие из них могут быть уязвимы в случае появления информации о ранее неизвестных уязвимостях в ПО (уязвимостях нулевого дня). Для критически опасных уязвимостей нулевого дня в точках проникновения должен быть построен отдельных процесс их устранения с максимально строгими требованиями по скорости установки патчей и применения дополнительных мер защиты. Если в точке проникновения есть уязвимость нулевого дня или уже известная ранее уязвимость с высокой или критически опасной степенью риска, она должна устраняться в течение 12 часов с момента получения информации о ней, но не позднее выхода в публичном поле PoC-кода для ее эксплуатации. Эти временные рамки необходимо выдерживать даже в выходные или праздничные дни и нерабочее время.

Как оформить результат определения точек проникновения

Точка проникновения	Категория точки проникновения	IP-адрес и доменное имя (идентификатор)	Способы воздействия на точку проникновения
Веб-приложение	Системы, доступные из внешней сети (например, из интернета)	https://domain.com/admin/admin.php ХХХ.ХХХ.ХХХ.ХХХ (внешний IP) 10.10.0.123 (внутренний IP)	Эксплуатация уязвимостей в веб-приложении, позволяющих удаленно выполнять команды в ОС на сервере. Использование функциональности веб-интерфейса администрирования для выполнения команд ОС на сервере в результате подбора учетной записи администратора
Почтовый сервер	Системы, доступные из внешней сети (например, из интернета)	mail.domain.com ХХХ.ХХХ.ХХХ.ХХХ (внешний IP) 10.11.0.43 (внутренний IP)	Эксплуатация уязвимостей сервера электронной почты, позволяющих удаленно выполнять команды в ОС на сервере
Файловый сервер	Системы, доступные из внешней сети (например, из интернета)	storage.domain.com ХХХ.ХХХ.ХХХ.ХХХ (внешний IP) 10.10.1.55 (внутренний IP)	Подбор учетной записи для доступа к интерфейсу удаленного управления сервером по протоколу SSH
Компьютер сотрудника	Автоматизированное рабочее место с выходом в интернет	192.168.10.167 (username-1412)	Заражение вредоносным ПО
Компьютер сотрудника	Автоматизированное рабочее место с выходом в интернет	192.168.10.157 (username-165)	Заражение вредоносным ПО
Ноутбук сотрудника	Автоматизированное рабочее место с выходом в интернет	192.168.12.129 (username-542)	Заражение вредоносным ПО
RDP-шлюз	Выделенные каналы подключения из внешних сетей	rdp.domain.com ХХХ.ХХХ.ХХХ.ХХХ (внешний IP) 10.17.2.19 (внутренний IP)	Эксплуатация уязвимостей в ПО шлюза, позволяющих удаленно выполнять команды в ОС на сервере. Подбор учетной записи сотрудника
VPN-шлюз	Выделенные каналы подключения из внешних сетей	vpn.domain.com ХХХ.ХХХ.ХХХ.ХХХ (внешний IP) 10.18.9.161 (внутренний IP)	Эксплуатация уязвимостей в ПО шлюза, позволяющих удаленно выполнять команды в ОС на сервере. Подбор учетной записи
Сервер внутренней сети	Выделенные каналы подключения из внешних сетей	10.12.5.117	Подбор учетной записи
Беспроводной маршрутизатор	Компоненты беспроводных сетей	10.11.7.1	Подбор ключа для подключения к беспроводной сети. Подбор учетной записи администратора. Эксплуатация уязвимости в прошивке устройства. Изменение конфигурации устройства
Ноутбук сотрудника	Компоненты беспроводных сетей	10.11.7.197 (username-172)	Эксплуатация уязвимостей ОС, позволяющих получить контроль над устройством
Коммутатор	Компоненты беспроводных сетей	10.11.9.1	Подбор учетной записи администратора. Эксплуатация уязвимости в прошивке устройства. Изменение конфигурации устройства
Сетевой принтер (многофункциональное устройство)	Компоненты беспроводных сетей	10.21.2.1	Подбор ключа для подключения к беспроводной сети. Эксплуатация уязвимости в прошивке устройства. Изменение конфигурации устройства
Терминал электронной очереди	Устройства самообслуживания посетителей	10.5.3.12	Выход из режима киоска. Эксплуатация уязвимостей в ОС устройства
Сетевые розетки в зоне ожидания посетителей	Сетевые розетки в общедоступных помещениях	INT-21-123 INT-21-32 INT-24-216 INT-05-11 INT-14-169 INT-55-19	Подключение стороннего оборудования для проведения атак