www.anti-virus.by  / пресс-центр / новости иб ENGНа главнуюНаписать письмоПоискКарта сайта
 ВирусБлокАда 
ПОИСК ПО САЙТУ
Перейти к просмотру корзины В корзине:
0 прод.
 
 
 

НОВОСТИ ИБ

 

29 мая 2017

Как хакеры атакуют корпоративные сети: самые популярные сценарии

Positive Technologies опубликовала отчет с описанием самых популярных сценариев атак, используемых в тестированиях на проникновение, а также методы защиты от этих атак.

Согласно отчету, эксперты компании выделяют несколько типов уязвимостей, характерных для корпоративных информационных систем любой организации: недостатки управления учетными записями и паролями; уязвимости веб-приложений; недостатки фильтрации трафика; недостатки управления уязвимостями и обновлениями; плохая осведомленность пользователей в вопросах информационной безопасности; недостатки конфигурации и разграничения доступа.

Самый простой в исполнении сценарий - подбор учетных данных, используя интерфейсы управления и удаленного доступа, а также администрирования веб-серверов и СУБД.

"В большинстве случаев достаточно ноутбука, программы для подбора учетных данных (легко найти в открытом доступе, например Hydra) и словаря (в Интернете можно найти множество готовых словарей идентификаторов и паролей пользователей, наиболее распространенных для каждой конкретной системы или службы). Примерами распространенных комбинаций идентификатора и пароля для доступа по SSH и Telnet являются root:root, root:toor, admin:admin; test:test. Иногда можно получить доступ с максимальными привилегиями и вовсе без ввода пароля. Для доступа по RDP используются локальные либо доменные учетные записи, среди которых часто встречаются Administrator:P@ssw0rd; Administrator:123456; Administrator:Qwerty123, а также гостевая учетная запись Guest с пустым паролем. Если для управления серверами по протоколам SSH, Telnet и т. п. необходимо изначально задать определенное значение пароля вручную, то для различных СУБД и веб-серверов, устанавливаемых «из коробки», обычно существуют стандартные (установленные вендором по умолчанию) учетные данные. Конечно, в документации к системам производители настоятельно рекомендуют сменить стандартный пароль при первом же подключении. Однако, как показывает практика, далеко не все администраторы следуют этим указаниям, а многие изменяют учетные данные на столь же простые комбинации. Примеры наиболее распространенных учетных данных, которые выявляются в наших тестах на проникновение: для СУБД — sa:sa, sa:P@ssw0rd; oracle:oracle; postgres:postgres; mysql:mysql, mysql:root; различные комбинации с пустым паролем;для серверов Tomcat — tomcat:tomcat, tomcat:admin", - обращают внимание эксперты.

Далее в списке распространенных сценариев следует эксплуатация веб-уязвимостей, атаки на уязвимый протокол, атаки на уязвимое ПО. "По статистике наших исследований, использование устаревших версий ПО — один из наиболее распространенных недостатков безопасности, выявляемых на сетевом периметре",  - подчеркивается в отчете.

Основной защитой от социальной инженерии (одиного из наиболее распространенных методов целевых атак) была и остается бдительность сотрудников. "Проверять адрес отправителя, не переходить по сомнительным ссылкам и не запускать приложенные к письму файлы, если нет уверенности в безопасности их содержимого. Кроме того, ни при каких обстоятельствах нельзя сообщать никому свои учетные данные, в том числе администраторам и со-
трудникам службы безопасности. Однако существуют методы атак, которые выявить крайне трудно, например если письма приходят от доверенного лица. Для защиты от таких атак рекомендуется использовать антивирусные решения, способные проверять файлы, получаемые по электронной почте, до открытия их сотрудником".

Эксперты также отмечают, что, используя открытые данные, "любой внешний нарушитель может получить доступ к ресурсам с возможностью загрузки произвольных файлов без каких-либо атак на систему, если выявит учетную запись, например, для доступа к ресурсу по протоколу SSH, для подключения к СУБД или к интерфейсу администрирования веб-приложения".

Еще одним популярным сценаприем атаки на КИС  Positive Technologies считает "выход из песочницы". К примеру, запустив в Citrix браузер Internet Explorer, нарушитель может использовать встроенную функцию — открытие файла. Если на сервере не настроено строгое разграничение доступа к файлам и директориям, эта функция браузера позволяет получить доступ к файловой системе, в том числе к директории установки ОС, и запустить файл cmd.exe для выполнения произвольных команд. "Для предотвращения подобных атак следует пересмотреть вопрос о необходимости размещения корпоративных ресурсов на периметре сети. Если такое размещение действительно необходимо — реализовать строгую парольную политику, а также строгое разграничение доступа к директориям и файлам ОС, чтобы пользователи таких систем, как Citrix, не могли получить доступ к файловой системе сервера, особенно на исполнение файлов (в частности, ограничить доступ к директории установки ОС)".

Согласно отчету, атаки на ресурсы внутренних сетей КИС, как правило, осуществляются от лица двух типов нарушителей — внутреннего, обладающего доступом к сетевой розетке на территории организации, либо внешнего, успешно преодолевшего сетевой периметр, и сводятся к семи основным сценариям: подбор доменной учетной записи, атаки на протоколы сетевого и канального уровней, атака SMB Relay, чтение памяти процесса, эксплуатация групповых политик, использование Kerberos и атака на двухфакторную аутентификацию.

В отчете эксперты отмечают, что сложность компрометации ресурсов в значительной степени зависит от того, является ли подход к защите комплексным. Даже в случае применения дорогостоящих решений по обеспечению безопасности они могут оказаться бесполезными, если пользователи и администраторы ресурсов применяют словарные пароли. "В нашей практике было множество примеров, когда словарный пароль лишь одного пользователя позволял развить вектор атак в ЛВС до получения полного контроля над всей инфраструктурой корпоративной сети. Также было показано, что, получив привилегии локального администратора на рабочей станции или сервере, нарушитель может использовать специализированные утилиты для получения учетных данных даже при наличии антивируса".

Базовые принципы организации безопасной КИС:
+ использовать строгую парольную политику,
+ защищать привилегированные учетные записи,
+ повышать осведомленность сотрудников в вопросах ИБ,

+ не хранить чувствительную информацию в открытом виде,
+ ограничить число интерфейсов сетевых служб, доступных на периметре,
+ защищать либо отключать неиспользуемые протоколы канального или сетевого
уровня,
+ разделять сеть на сегменты, минимизировать привилегии пользователей и служб,
+ регулярно обновлять ПО и устанавливать обновления безопасности ОС,
+ регулярно проводить тестирование на проникновение КИС и анализ защищенности
веб-приложений на периметре.


Все новости | Июль 2018 | Июнь 2018 | Май 2018 | Апрель 2018 | Март 2018 | Февраль 2018 | Январь 2018 | Декабрь 2017 | Ноябрь 2017 | Октябрь 2017 | Сентябрь 2017 | Август 2017 | Июль 2017 | Июнь 2017 | Май 2017 | Апрель 2017 | Март 2017 | Февраль 2017 | Август 2014 | Март 2014 | Февраль 2014 | Январь 2014 | Декабрь 2013 | Ноябрь 2013 | Октябрь 2013 | Сентябрь 2013 | Январь 2013 | Декабрь 2012 | Ноябрь 2012 | Октябрь 2012 | Сентябрь 2012 | Август 2012 | Июль 2012 | Июнь 2012 | Май 2012 | Апрель 2012 | Март 2012 | Февраль 2012 | Январь 2012 | Декабрь 2011 | Ноябрь 2011 | Октябрь 2011 | Сентябрь 2011 | Август 2011 | Июль 2011 | Июнь 2011 | Май 2011 | Сентябрь 2010 | Август 2010 | Июль 2010 | Июнь 2010 | Май 2010 | Апрель 2010 | Март 2010 | Февраль 2010 | Январь 2010 | Декабрь 2009 | Ноябрь 2009 | Октябрь 2009 | Сентябрь 2009 | Август 2009 | Июль 2009 | Июнь 2009 | Май 2009 | Апрель 2009 | Март 2009 | Февраль 2009 | Январь 2009 | Декабрь 2008 | Ноябрь 2008 | Октябрь 2008 | Сентябрь 2008 | Август 2008 | Июль 2008 | Июнь 2008 | Май 2008 | Апрель 2008 | Март 2008 | Февраль 2008 | Январь 2008 | Декабрь 2007 | Ноябрь 2007 | Октябрь 2007 | Сентябрь 2007 | Август 2007 | Июль 2007 | Июнь 2007 | Май 2007 | Апрель 2007 | Март 2007 | Февраль 2007 | Январь 2007 | Ноябрь 2006 | Октябрь 2006 | Сентябрь 2006 | Август 2006 | Июль 2006 | Июнь 2006 | Май 2006 | Апрель 2006 | Март 2006 | Февраль 2006 | Январь 2006 | Декабрь 2005 | Ноябрь 2005 | Октябрь 2005 | Сентябрь 2005 | Август 2005 | Июль 2005 | Июнь 2005 | Май 2005 | Апрель 2005 | Март 2005 | Апрель 2004 | Март 2004 | Февраль 2004
 
КОНТАКТЫ
220088, РБ, Минск, ул. Смоленская, 15 — 803б
телефон: (+375 17) 294-84-29 (коммерческий отдел)
телефон: (+375 17) 290-59-29 (технический отдел)
E-mail: info@anti-virus.by
Прислать вирус: feedback@anti-virus.by
Для локального компьютераДля рабочей станции в сетиСредство программное КАНОЭКонсольный сканерДля файловых серверовАвтоматизированное управление и обновлениеЗащита почтовых системЗащита интернет-шлюзовУтилитыКупить
Антивирус
Антивирус на месяцИмпортозамещениеПоддержка образованияПоддержка медициныДисконтная система «Клубная карта ХК «Динамо-Минск»
Основные сведенияБлогЛицензии и сертификатыКлиентыПартнерыУслугиВакансии
Новости компанииПродукты и обновленияНовости ИБПресс-китПодписка на рассылку
БеларусьУкраинаБолгарияПриглашение к сотрудничеству