Lo más peligroso es el enemigo, del que no sospechas.
(Fernando Rojas) La
infraestructura informática de una empresa moderna se puede comparar con un castillo medieval. Muros altos, un foso profundo y guardias en las puertas protegen del enemigo externo, y prácticamente nadie observa lo que sucede dentro de los muros de la fortaleza. Asimismo, muchas empresas: hacen enormes esfuerzos para proteger el perímetro exterior, mientras que la infraestructura interna permanece privada. Las pruebas de penetración interna son un proceso exótico y no muy claro para la mayoría de los clientes. Por eso, decidimos contar de él todo (bueno, casi todo) que querías saber, pero tenías miedo de preguntar.
El enemigo externo (un hacker aterrador con una sudadera con capucha negra) parece intimidante, pero una gran parte de las filtraciones de información corporativa se deben a la culpa de los iniciados. Según las estadísticas de nuestro centro de monitoreo Solar JSOC, los incidentes internos representan aproximadamente el 43% del número total de amenazas. Algunas organizaciones dependen de protecciones, a menudo mal configuradas, que se pueden omitir o desactivar fácilmente. Otros no ven a la información privilegiada como una amenaza en absoluto y hacen la vista gorda ante las fallas en la protección de la infraestructura interna.
Los problemas que identificamos al analizar el "mercado interior" vagan de empresa en empresa:
- contraseñas débiles e inalterables para cuentas de servicio y privilegiadas;
- contraseñas idénticas para cuentas de administrador regular y privilegiadas;
- ;
- ;
- ;
- ;
- .
: Windows- Active Directory.
A nivel mundial, las pruebas de penetración revelan cuánto puede dañar un atacante potencial la infraestructura de TI de una empresa en particular. Para ello, los especialistas en ciberseguridad que realizan una prueba de penetración simulan las acciones de un hacker utilizando técnicas y herramientas reales, pero sin dañar al cliente. Los resultados de la auditoría pueden ayudar a mejorar la seguridad de una organización al tiempo que reducen los riesgos comerciales. Dicha prueba tiene dos direcciones: externa e interna. En el primer caso, el "hacker blanco" debe encontrar vulnerabilidades que puedan penetrar la red interna (es decir, atravesar esa misma muralla).
Las pruebas de penetración internas verifican qué tan vulnerable es la infraestructura para un interno o un intruso que tiene acceso a la red local de una organización. ¿Podrán, si lo desean, controlar la LAN, moverse libremente e influir en el funcionamiento de los servidores individuales? Dicho trabajo se lleva a cabo en la red interna y, más a menudo, desde la posición de un empleado con privilegios mínimos. Al mismo tiempo, es posible (y necesario) verificar incluso a aquellos empleados que solo tienen acceso físico a las computadoras (por ejemplo, limpieza, electricistas, guardias de seguridad, mensajeros, etc.).
La prueba de penetración no debe revelar todas las vulnerabilidades existentes en la empresa en todos los hosts de la red interna (esto se puede hacer usando un escáner de vulnerabilidades o configurando correctamente las políticas de administración de vulnerabilidades). Tiene una tarea completamente diferente: encontrar una o dos rutas que un atacante pueda seguir para atacar con éxito a su víctima. La ejecución del trabajo se centra en la configuración de seguridad y las funciones de Windows. En una palabra, ya no se realizará, por ejemplo, escanear puertos abiertos y buscar hosts con actualizaciones desinstaladas.
Como sucedió esto
Las pruebas de seguridad de la infraestructura interna se llevan a cabo en varias etapas: A
continuación, se muestra un ejemplo de cómo se llevó a cabo en realidad una prueba de penetración interna similar en el marco de uno de nuestros proyectos:
- Primero, identificamos los archivos compartidos que alojaban las aplicaciones web;
- SA (Super Admin) MS SQL;
- MS SQL sqldumper.exe xp_cmdshell LSASS, :
- .
Dado que las pruebas de penetración interna solo consideran la infraestructura interna (obviamente) de la organización, no importa cómo un atacante obtuvo el acceso inicial a la red, es importante cómo usó este acceso. Por tanto, el informe final, elaborado a partir de los resultados del pentest, describe las vulnerabilidades no encontradas, pero la historia de cómo el especialista se movió por la red, qué obstáculos y dificultades enfrentó, cómo los superó y cómo completó la tarea. Un especialista puede detectar varias fallas, pero para lograr el objetivo, se elegirá una de las más óptimas o interesantes. Al mismo tiempo, todas las vulnerabilidades detectadas "en el camino" también se incluirán en el informe. Como resultado, el cliente recibirá recomendaciones para corregir las deficiencias y mejorar la seguridad de la infraestructura interna.
De hecho, la prueba de penetración interna continúa con la externa, respondiendo a la pregunta: "¿Qué sucede después de que un ciberdelincuente ingresa a la red?" En comparación, la siguiente metodología se usa comúnmente en el proceso de prueba de penetración del perímetro externo:
Quién ingresa a la infraestructura
Entonces, cómo el atacante ingresó a la red no es importante, por lo tanto, en la etapa inicial de planificación de las pruebas de penetración interna, se pueden considerar modelos de un atacante interno o externo.
- Modelo interno. Un insider es un atacante interno motivado que tiene acceso legítimo a la infraestructura de una organización, limitado solo por responsabilidades laborales. Por ejemplo, un empleado real que decidió perjudicar a su empresa. Además, los empleados de los servicios de apoyo (guardias de seguridad, limpiadores, electricistas, etc.) pueden actuar como insiders, tienen acceso legítimo a la oficina, pero no tienen derechos de acceso a la infraestructura.
- Modelo de intruso externo. El modelo no se centra en cómo se obtuvo el acceso (vulnerabilidad de software perimetral, fuga de credenciales, ingeniería social o cualquier otra cosa) a la red interna de la organización. El punto de partida es el hecho de que el "extraño" ya está dentro.
Después de elaborar un modelo de amenaza, la situación en sí también se modela en la que el ejecutante obtendrá acceso a la infraestructura:
- ;
- . , (Wi-Fi);
- . : , , ;
- «» , . (Command & Control), . , .
Al mismo tiempo, pentesting no es deambular sin rumbo por la infraestructura de otra persona. El "hacker blanco" siempre tiene un objetivo establecido por el cliente. El escenario más común para las pruebas de penetración interna es obtener privilegios de administrador de dominio. Sin embargo, en realidad, los atacantes rara vez buscan obtener tales privilegios, ya que esto puede atraer una atención innecesaria sobre ellos. Por lo tanto, en la mayoría de los casos, los privilegios de administrador de dominio no serán el objetivo, sino el medio para lograrlo. Y el objetivo podría ser, por ejemplo, hacerse cargo de una red corporativa, obtener acceso a una estación de trabajo y un servidor, o a una aplicación y una base de datos.
Quien lo necesita todo
¿Vale la pena para el cliente permitir que los probadores de penetración entren en su red corporativa? Definitivamente vale la pena. Aquí es donde se ubican los datos más críticos y los principales secretos de la empresa. Para proteger una LAN, necesita conocer todos sus rincones y recovecos y deficiencias. Y las pruebas de penetración internas pueden ayudar con esto. Le permite ver debilidades en la infraestructura o verificar los controles de seguridad configurados y mejorarlos. Además, las pruebas de penetración internas son una alternativa más asequible al Red Team. Bueno, si la tarea es demostrarle a la gerencia que los fondos asignados no son suficientes para garantizar la seguridad de la infraestructura interna, la prueba de penetración interna permite respaldar esta tesis con hechos.
Autor: Dmitry Neverov, experto en análisis de seguridad, Rostelecom-Solar