Metodika a nástroje k penetračnímu testování interní IT infrastruktury

Penetrační testy interní infrastruktury můžeme rozdělit podle toho, kolik informací získá tester od zadavatele, a zároveň kolik si jich musí opatřit vlastním průzkumem zadavatelovy infrastruktury:

  • Black box přístup je postaven na tom, že zadavatel neposkytuje žádné informace (nebo jen jejich naprosté minimum).
  • White box přístup počítá s dodáním podrobných informací o struktuře sítě, používaných technologiích a podobně.

Na rozdíl od penetračního testování webových aplikací však výchozí pozice testera zásadně neovlivňuje průběh ani náročnost testu.

Metodičnost a opakovatelnost patří mezi základní předpoklady kvalitně provedeného penetračního testování. K dosažení obojího nám pomáhá vlastní testovací metodika, opírající se o široce uznávanou metodologii OSSTMM (The Open Source Security Testing Methodology Manual), na tvorbě a kontinuální aktualizaci spolupracují desítky nezávislých expertů na kybernetickou bezpečnost z celého světa. Proto si můžete být jisti opravdovou účinností.

Na rozdíl od skenu zranitelností interní infrastruktury, který se opírá pouze o výstupy z automatizovaných skenerů, využíváme k penetračnímu testování mnohem více nástrojů (integrovaných v testovaném prostředí, externích, nebo dokonce námi vyvinutých). Abychom dokázali garantovat maximální bezpečnost a efektivnost testování, veškeré využívané nástroje ručně verifikujeme, sami kompilujeme a před ostrým nasazením testujeme ve vlastním laboratorním prostředí.

Penetrační test a prověření konfigurace Active Directory

Při penetračním testování interní IT infrastruktury klademe velký důraz na hloubkové prověření konfigurace a zabezpečení serverového prostředí, a zejména pak jeho stěžejní součásti Microsoft Active Directory (MS AD).

Prostředí Active Directory totiž obsahuje celou řadu zranitelností a velmi často se u něj objevují chyby v konfiguraci. To v případě Domain Controlleru bohužel znamená ovládnutí všech součástí dané domény.

Metodika penetračního testu Active Directory

Vektorů útoku na Active Directory existuje mnoho, společná jim je vždy snaha testera o eskalaci uživatelských privilegií výchozího uživatelského účtu na úroveň administrátora.

V úvodní fázi penetračního testu Active Directory tester provádí enumeraci prostředí cílové domény. S využitím vlastních skriptů i vestavěných nástrojů vyhledává informace o existujících uživatelských účtech, členství a politikách v uživatelských skupinách, uživatelských vlastnostech souborů (ACL), oprávnění běžících procesů a další. Cílem jsou v této fázi hlavně účty uživatelů a služeb s příliš vysokými, nebo nestandardně zřetězenými oprávněními. Tester k enumeraci používá zejména defaultní předinstalované nástroje ve Windows, díky tomu unikne detekci bezpečnostních mechanismů. Na základě zjištěných informací provede eskalaci oprávnění lokálního uživatelského účtu na úroveň doménového administrátora.

Po získání oprávnění administrátora je dalším krokem snaha o získání přihlašovacích údajů účtů s administrátorskými oprávněními v rámci domény (Domain Admins). K získání administrátorských přihlašovacích údajů se často využívá zranitelnosti síťového autentizačního protokolu Kerberos. Využitím vhodných nástrojů je možné zachytit a následně offline dešifrovat hash přihlašovací údaje. Pokud se podaří administrátorské přístupové údaje získat, pokračuje tester v krocích, které mu zajistí trvalé udržení kontroly nad ovládnutou doménou (útoky formou Silver Ticket, Golden Ticket).

S oprávněními doménového administrátora je tester bez problému schopen získat přístup k dalším zařízením v rámci domény. V této (postexploitační) fázi testování probíhá prohledávání sdílených úložišť, případně tester pokračuje v útocích na uživatelské stanice klíčových zaměstnanců testované organizace. Konkrétní postup se vždy odvíjí od zadaných cílů a omezení penetračního testování.

Průběh penetračního testování interní infrastruktury

Na úvodní schůzce před započetím spolupráce je potřeba přesně definovat cíle a rozsah penetračního testování síťové infrastruktury. Na základě úvodní konzultace dokážeme navrhnout optimální test tak, abychom maximálně využili stanovenou časovou dotaci.

Předmět penetračního testování, povolené nástroje a metody i případná omezení pro zajištění bezpečného průběhu testu zahrneme do smlouvy. Ta bude zároveň obsahovat nezbytné povolení k provedení penetračního testu, a také dohodu o mlčenlivosti a zákazu zneužití informací získaných v průběhu testování (NDA). Součástí smlouvy je podrobný časový plán prováděných testů.

Penetrační testování probíhá dle popsaných metodik a se zaměřením na specifikované cíle. Test končí v okamžiku dosažení cílů (ovládnutí Domain Controlleru, otestování zadaného rozsahu apod.), nebo v okamžiku vyčerpání časové dotace. Po skončení testování je vypracována detailní zpráva o průběhu a výsledcích testu.

Závěrečná zpráva obsahuje shrnutí odhalených bezpečnostních rizik, sumarizaci provedených testů a podrobný technický popis jednotlivých nálezů. V poslední části jsou detailně zdokumentovány objevené a prokázané chyby v zabezpečení. Součástí každého nálezu je uvedeno, zda a jak se ho povedlo zneužít, včetně veškerých podrobností o využitých nástrojích a mechanismech. Přesný postup testera je vhodným způsobem (například snímky obrazovky) krok za krokem zaznamenán tak, aby mohl být v případě potřeby zopakován.

Pro každý z nálezů vypracujeme doporučený postup k odstranění nebo alespoň zmírnění rizika. Zakládáme si na tom, aby námi prováděné penetrační testy skutečně přispěly ke zvýšení úrovně bezpečnosti vaší IT infrastruktury. Doporučená opatření je nutno v co nejkratší době implementovat, proto jsme schopni navázat intenzivní spolupráci s vaším IT oddělením, konzultovat implementaci a prověřit účinnost dodatečných bezpečnostních mechanismů. Po provedení oprav dle doporučení ze závěrečné zprávy můžeme po dohodě provést ověřovací penetrační test ve zkráceném rozsahu, který ověří správnost použití doporučených opatření.

Dalšími běžnými způsoby útoku na interní infrastrukturu jsou metody sociálního inženýrství, fyzické vniknutí do kanceláří, nebo útok na bezdrátové sítě.

Menu