Сергей Яшин, Positive Technologies: Грезы о защищенности инфраструктуры из-за ее недоступности из интернета могут привести к плачевным последствиям

Сергей Яшин (snovvcrash), рукoводитель Red Team Development Group Positive Technologies и автор блога Offensive Twitter, рассказал порталу Cyber Media о специфике проведения внутренних пентестов, их значимости для проведения комплексного анализа защищенности и интересных кейсах из практики «внутрянщика».

Cyber Media: Насколько распространены проекты, когда заказчика интересует не только «пробив» периметра, но и дальнейшее развитие атаки в инфраструктуре? Или чаще эти два направления разбиваются на отдельные проекты? Если разбиваются, то почему?

Сергей Яшин: Если говорить о классических пентестах, то чаще всего мы имеем дело именно с комплексными проектами, когда тестирование на проникновение не заканчивается на пробиве внешнего периметра, а плавно переходит в формат внутренних работ через полученный первоначальный доступ. Такой подход позволяет более эффективно оценить актуальность того или иного вектора атаки с точки зрения внешнего нарушителя, ведь оркестровка «взломом» из-за пределов внутренней корпоративной сети заказчика накладывает дополнительные ограничения на моделируемого хакера, как, например, увеличивает сложность реализации сетевых атак канального уровня.

Если спросите мое мнение: классический внутренний пентест — когда исполнитель приходит в офис, проходя через турникет по заранее оформленному пропуску, располагается в комфортабельном опенспейсе, захватив по дороге карамельный латте из кофейни на первом этаже, и подключает свой ноутбук предварительно подготовленным для него патч-кордом в сетевую розетку, — очень оторван от реальности. Запустив Responder на час-полтора (читай: на 10 минут), в 7 случаях из 10 можно уже нащупать 2–3 вектора перспективного продвижения до администратора домена, а учитывая, что чаще всего взятие Active Directory по негласной традиции считается успехом внутренних работ (на мой взгляд, это неправильно), недобросовестный исполнитель может забить на исследование других, более лакомых для реального злоумышленника, уязвимостей.

Мы в PT SWARM ориентируемся в первую очередь на достижение максимального КПД, поэтому и оцениваем согласованный скоуп работ в комплексе — так, как будет оценивать его настоящий взломщик. Исключениями могут стать те кейсы, когда у заказчика есть четко сформированная модель нарушителя, исходя из которой для него более релевантно логически разделить этапы тестирования на «снаружи» и «изнутри». Например, когда «изнутри» нужно приземлить специалиста в конкретный VLAN конкретного офиса для проверки конкретной автоматизированной системы. Или другой пример — «внутрянку» захотели провести через беспроводную сеть, оценив возможности проникновения через гостевой Wi-Fi, или же через локалку за 802.1X, предварительно байпаснув (обойдя) аутентификацию. Однако проекты такого рода в меньшинстве.

Cyber Media: Зачем проводить проекты по внутреннему анализу защищенности, если команда пентестеров не смогла пробить периметр компании?

Сергей Яшин: Как бы ни была высока квалификация красной команды, результаты отдельно взятых работ далеко не всегда можно считать объективными на дальнюю перспективу. Локальный неуспех отдельно взятых работ (то, что вы сформулировали как «не смогли пробить периметр») не означает, что через несколько месяцев этого не удастся сделать злоумышленникам, которые в этот раз уже будут проводить несанкционированные «работы». Этому может поспособствовать множество аспектов, таких как, например, огласка новых уязвимостей, выбор злыми хакерами других методов, не входящих в первоначальный контракт с командой пентестеров, или же банальный человеческий фактор (когда новый пароль администратора внешнего ресурса окажется менее стойким по сравнению с предыдущим).

В этом случае несправедливо обходить стороной защищенность внутреннего контура организации, ведь грамотно выстроенная безопасность ЛВС (локальной вычислительной сети) послужит следующим барьером на пути злоумышленников.

Другим аргументом в пользу желательного проведения внутренних работ вне зависимости от результата на «внешке» может послужить рассмотрение разных моделей нарушителя, о чем я уже упоминал ранее. Концепция вражеского «инсайдера» внутри организации всегда была и будет актуальной угрозой для большинства компаний, поэтому грезы о защищенности инфраструктуры, например, из-за ее недоступности из сети Интернет могут привести к плачевным последствиям вплоть до прекращения жизни компании. «Осведомлен значит вооружен»: периодические чекапы внутренней сети, хотя бы в виде обычных пентестов, — неотъемлемая часть результативной кибербезопасности..

Cyber Media: Из каких этапов состоит тестирование внутренней сети?

Сергей Яшин: Стратегия очень схожа с действиями при планировании и проведении военных учений, которые, в свою очередь, приближены к реальным конфликтам. И хоть в условиях обычного пентеста мы не сталкиваемся с противодействием команды защиты, держать в уме гипотетическую противодействующую силу очень полезно.

Я всегда мысленно разделял типовой «внутряк» на четыре этапа: разведка в сети, планирование атаки, непосредственно, атака (повышение привилегий в ЛВС), демонстрация получения доступа к критически важным для заказчика ресурсам. Кратко расскажу, что я вкладываю в каждое из этих понятий.

Разведка. Означает именно то, что и при употреблении в других сферах — осмотреться «на местности», попутно собрав необходимое и достаточное количество информации о целях (компонентов сети) для планирования и разработки успешной атаки.

Планирование. Воспользоваться полученной на этапе разведки информацией для разработки вектора(ов) атаки на исследуемый компонент сети.

Атака. Собственно, провести саму атаку. В жизни почти всегда случается так, что разработанный на этапе планирования замысел спотыкается о погрешности суровой реальности, поэтому на этом же этапе происходит и его доработка в режиме «на коленке» здесь и сейчас. Это вполне нормально.

Ну и даже самый обычный пентест — ничто без реальной демонстрации возможных последствий от эксплуатации той или иной уязвимости. Заказчик — человек бизнеса, рассказы об эфемерных рисках отсутствия двухфакторной аутентификации в условном личном кабинете в вакууме будут априори менее сильной аргументацией, нежели скриншот из того самого личного кабинета в отчете. Разумеется, при согласии заказчика на такие действия с нашей стороны, но еще никто не отказывался, подтверждая наши размышления об их целесообразности

Описанное выше можно повторять циклами столько раз, сколько успеется в рамках отведенного на работы временного промежутка.

Cyber Media: Сейчас все чаще встречаются проекты с верификацией недопустимых событий — получением доступа к целевым системам, возможность вывода средств, кража ПДн и т. д. Какие преимущества и недостатки, на ваш взгляд, есть у такого подхода?

Сергей Яшин: С момента моего старта в Positive Technologies, моя основная рабочая деятельность — именно проекты по верификации   недопустимых событий и, на мой взгляд, если у бизнеса или гос. структуры обоснованно есть, что́ верифицировать, то минусов у этого подхода нет. Другое дело, когда незрелый в плане ИБ заказчик хочет прыгнуть в этот омут с головой, заказывая red-team-проекты, не проведя еще даже с десяток пентестов. Важно здраво оценить целесообразность такого мероприятия, подготовленность своих кадров и инфраструктуры в целом, а также то, какую пользу вы сможете вынести из полученного (многомиллионного) отчета.

Cyber Media: Какие сервисы чаще всего оказываются уязвимы в ходе проекта по «внутрянке»? На что стоит обратить внимание защитникам?

Сергей Яшин: Испокон веков считалось, что «внутрянка» равно «служба каталогов Active Directory» (AD), и отчасти я с этим согласен: не равно, но приблизительно равно. Даже в наш век трендов на импортозамещение в СНГ продукты Microsoft статистически продолжают лидировать — в 95 из 100 организаций средних и крупных размеров вы найдете AD. Следовательно, самый уязвимый сервис — это она (служба каталогов) и есть. Если говорить более конкретно, то мисконфигурации внутренних центров сертификации (AD Certificate Services), уязвимости почтовых серверов Microsoft Exchange, некорректные политики разграничения доступа, нестойкие парольные политики, архитектурные слабости сетевых протоколов, и т. д. и т. п. (можно продолжать еще долго) — все эти составляющие Active Directory в 10 случаях из 10 позволяют получить ключ от внутреннего «королевства» заказчика.

Если вспомнить службы, отличные от компонент AD, то в основном это различные отечественные решения, аудит которых пока не так распространен, как их зарубежных собратьев. Зарубежными решениями пользуется весь мир, поэтому обнародование связанных с ними уязвимостей происходит чаще, вследствие чего обнаружить что-то новое становится труднее. Российские же продукты в силу их меньшей распространенности в мировом масштабе периодически дарят нам векторы для проникновения во «внутрянку» и способы повышения привилегий в ЛВС. Это выгодно как нам (пентестерам), так и отечественным вендорам, так как после каждого такого проекта, в котором мы нашли 0-day уязвимость, эта уязвимость отправляется вендору в рамках программы ответственного разглашения, закрывается им, и все довольны.

Cyber Media: Насколько проекты по внутреннему пентесту зависимы от договоренностей с SOC? Какой вариант оптимален, если взять за скобки red-team-проекты?

Сергей Яшин: Договоренность простая: не вмешиваться. Если мы говорим об обычных пентестах, то наша цель заключается в формировании оценки защищенности (и рекомендаций по устранению уязвимостей) систем, но не бизнес-процессов организации, поэтому «внешний» фактор в виде противодействия со стороны SOC только мешает нашей непосредственной работе. Это дополнительно обговаривается в явном виде перед началом работ, хоть сейчас уже бо́льшая часть заказчиков и так понимает разницу.

Важно понимать, что речь идет не о том, что нам «слабó» уклоняться от мониторинга или применять продвинутые техники на пентестах. Просто это идет вразрез с концепцией проводимых работ, тратит дополнительные усилия специалистов на сторонние моменты и, если хотите, отвлекает их от успешного завершения проекта в полном объеме. Другими словами, хотите red-team — заказывайте red-team, чтобы обе стороны понимали, к чему готовиться.

Cyber Media: Поделитесь вашим опытом в red-team-проектах: какие кейсы из вашей практики наиболее показательны и интересны?

Сергей Яшин: Накопилось довольно много забавных историй и баек из этой области, поэтому даже не знаю, какие выделить.

Вот относительно недавно был поучительный случай, как нельзя поступать администраторам в Active Directory (AD) при реагировании на инцидент ИБ: мы проломили с «внешки» один, на первый взгляд, ничем не примечательный узел, входящий в корпоративный домен AD, и безрезультатно провозились на нем несколько дней — ценной информации для продвижения глубже в кроличью нору на нем не оказалось, а сетевая видимость была только до контроллеров по ограниченному списку портов.

Но была одна интересная деталь: по логам мы установили, что на этот сервер неделю назад логинился привилегированный в AD пользователь (не доменный администратор, но тот, от кого повысить привилегии до доменного не составляло бы большого труда). Решили действовать нагло: на пробитом узле повесили ловушку данных аутентификации в открытом виде в момент логина и намеренно спровоцировали свое обнаружение на этом сетевом узле, надеясь на ошибку со стороны команды защиты. Это и произошло: от неожиданности именно тот привилегированный пользователь и пришел на этот сервер разбираться, в чем дело, со своей доменной учетной записью (конечно же, так делать нельзя). В итоге через пару часов вся инфраструктура была под нашим контролем.

Cyber Media: Все компании сейчас испытывают дефицит кадров в части ИБ, в том числе и специалистов по анализу защищенности. Как вы решаете проблему с поиском новых пентестеров в свои команды?

Сергей Яшин: Не представляете, насколько дефицит квалифицированных пентестеров для нас актуален. Наши hr-специалисты, трудятся не покладая рук, но найм новых сотрудников, которые в итоге становятся частью команды, все равно продолжает оставаться весьма трудоемкой задачей.

Недавно я на своей шкуре осознал это в полной мере, так как уже не первый месяц набираю людей в свою группу наступательной разработки, в рамках которой мы с коллегами разрабатываем новый инструментарий для команды пентестеров и поддерживаем существующий в виде недетектируемых образцов. В этом помимо классического ханта по опубликованной вакансии помогает и сарафанное радио — мир ИБ очень тесен, сплочен и оснащен большим количеством широковещательных способов обмена информацией, как то: тематические форумы, группы в соцсетях, каналы в Telegram, хештеги в Twitter.

Если захотеть, можно дотянуться до кого угодно. В качестве примера: недавно я размещал пост в своем канале, на который откликнулось много людей, и один из них получил-таки заветный офер.