Penetrační testování infrastruktury

Náplň penetračního testu spočívá v důkladném prověření stavu zabezpečení metodou pokusu o průnik do předem určených komponent zákazníkovy interní informační a řídící infrastruktury:

  • pracovních stanic,
  • aktivních síťových prvků,
  • aplikačních, datových a doménových serverů (MS Active Directory),
  • monitorovacích a řídících systémů výroby (SCADA),
  • monitorovacích a řídích systémů budov (BMS) a jiných.

V případě interního penetračního testu infrastruktury tester vystupuje v roli útočníka, který již získal přístup (typicky na úrovni řadového neprivilegovaného zaměstnance) do intranetu testovaného subjektu. V případě externího penetračního testu pak tester útočí na prvky infrastruktury dostupné z internetu. Po úspěšném průniku zabezpečením externího perimetru se snaží uniknout z DMZ do interní sítě a pokračovat v testování tam. Dalšími běžnými vektory útoku na interní infrastrukturu jsou metody sociálního inženýrství, fyzické vniknutí do kanceláří klienta, nebo útok na bezdrátové sítě zadavatele.

Pro testování využíváme metod, technik a nástrojů totožnými s těmi, jaké slouží k provádění reálných útoků. Další kroky testera směřují k eskalaci uživatelských oprávnění a získání a udržení kontroly nad klíčovými součástmi infrastruktury.

Cílem penetračního testu interní infrastruktury pak je:

  • podat zákazníkovi komplexní obraz o odolnosti zabezpečení interní IT infrastruktury vůči útoku vedenému aktuálně dostupnými a využívanými prostředky;
  • demonstrovat a zdokumentovat (i pomocí snímků obrazovky) reálné průniky nalezenými slabinami v zabezpečení, zhodnotit jejich dopady;
  • navrhnout řešení pro eliminaci či snížení dopadu zjištěných rizik;
  • poskytnout součinnost při implementaci těchto opatření;
  • (volitelně) provést navazujících ověřovací testy ve zkráceném rozsahu, které slouží k prověření efektivity implementovaných bezpečnostních opatření.

Kromě penetračního testování interní IT a řídící infrastruktury nabízíme našim klientům rovněž penetrační testy webových aplikací a penetrační testy cloudových služeb.

Kdo jsme a jak pracujeme

EO SECURITY s.r.o. je nezávislá česká společnost s transparentní vlastnickou strukturou. Od roku 2016 působíme v oborech ofenzivní IT bezpečnosti a ochrany informací. Díky našemu týmu expertů ve zmíněných oblastech, jejichž hranice se nutně překrývají, dokážeme klientům poskytnout komplexní služby. Od analýzy a testování stávajícího zabezpečení až po návrh a realizaci nového.

Jsme držiteli prestižních průmyslových bezpečnostních certifikací:

TUV SUD

Přínosy penetračního testování interní infrastruktury

Penetrační test představuje účinný nástroj k posouzení připravenosti organizace na reálný kybernetický útok, odhalení slabých míst stávajících bezpečnostních mechanismů a získání představy o rozsahu škod vzniklých následkem útoku.

S neustále narůstající komplexností interní IT infrastruktury nevyhnutelně roste riziko její kompromitace. V roce 2016, kdy vstoupila společnost EO SECURITY do oboru kybernetické bezpečnosti, dosahovaly škody způsobené kybernetickými útoky, nahlášené jen ve Spojených státech, výše 1,45 mld. USD. Za rok 2019 se už jednalo o částku 3,5 mld. USD.

Počet kybernetických útoků se během těchto tří let takřka ztrojnásobil: z jednoho útoku za 40 sekund na jeden útok během každých 14 sekund. Ze všech evidovaných útoků se pak stabilně zhruba polovina zaměřuje právě na interní IT infrastrukturu organizací. Tyto útoky mají za cíl extrahovat hodnotná data (informace o obchodních aktivitách, zákaznících, uživatelích, zaměstnancích) a/nebo paralyzovat chod napadené organizace znepřístupněním kritických služeb.

Globální průměrná výše škody vzniklé úspěšným prolomením zabezpečení infrastruktury, výpadkem služeb, únikem dat a poškozením dobrého jména organizace se v roce 2019 pohybovala okolo 87 mil. Kč. Ve Spojených státech pak průměrná přímá finanční ztráta jedné organizace po úspěšném útoku činí 182 mil. Kč. Ztráty pak mohou dále narůstat o smluvní pokuty a v neposlední řadě o finanční sankce plynoucí z nesplnění povinností vycházejících ze směrnice GDPR.

Mezi nejčastější prohřešky při správě interní infrastruktury organizace, které otevírají dveře kybernetickým zločincům, patří zejména:

  • provoz zařízení s dlouhodobě neaktualizovanými firmwary, operačními systémy či aplikacemi;
  • nedostatky v konfiguraci a zabezpečení stěžejních prvků infrastruktury – zejména pak prostředí MS Active Directory;
  • nedostatečná strukturovanost/špatně navržené zabezpečení interních sítí;
  • nedůsledná správa oprávnění uživatelských účtů a skupin, špatně nastavená politika hesel;
  • zanedbaná či zcela chybějící průběžná kontrola vazeb mezi jednotlivými systémy;
  • možnost připojování neprověřených (vlastních) zařízení zaměstnanců do firemní sítě atd.

Penetrační test dokáže uvedené bezpečnostní mezery odhalovat efektivněji než jakákoliv jiná forma technického bezpečnostního auditu. Obsáhlá závěrečná zpráva z testování mimo jiné demonstruje přesné postupy použité k prolomení zabezpečení infrastruktury. Spolu s nimi přináší návrhy konkrétních opatření, které zamezí zopakování útoku stejnými prostředky. Absolvováním penetračního testu interní infrastruktury a implementací vhodných bezpečnostních opatření je tudíž možné riziko plynoucí z těchto hrozeb do značné míry eliminovat.

Výhodu tohoto způsobu testování představuje rovněž fakt, že díky penetračnímu testu ví klient, kam nejefektivněji alokovat budoucí prostředky na kyberbezpečnost.

Úspěšně dokončený penetrační test pak vaší organizaci mimo jiné pomůže vyhovět požadavkům zákona o kybernetické bezpečnosti a získat certifikaci dle standardu ISO 27001, která je již prakticky nutnou podmínkou pro spolupráci se západními partnery.

Metodika a nástroje k penetračnímu testování interní infrastruktury

Penetrační testy interní infrastruktury lze dále rozdělit dle toho, kolik informací získá tester od zadavatele, a kolik si jich musí opatřit vlastní rekognoskací zadavatelovy infrastruktury:

  • black box přístup předpokládá pouze zajištění přístupu do interní sítě zadavatele za pomoci VPN;
  • white box přístup počítá s dodáním podrobných informací o struktuře sítě, používaných technologiích atd.

Na rozdíl od penetračního testování webových aplikací však výchozí pozice testera zásadně neovlivňuje průběh ani náročnost testu.

Metodičnost a opakovatelnost patři mezi základní předpoklady kvalitně provedeného penetračního testování. K dosažení obojího nám pomáhá vlastní testovací metodika, opírající se o široce uznávanou metodologii OSSTMM (The Open Source Security Testing Methodology Manual), na jejíž tvorbě a kontinuální aktualizaci spolupracují desítky nezávislých expertů na kybernetickou bezpečnost z celého světa.

Na rozdíl od skenu zranitelností interní infrastruktury, který se opírá pouze o výstupy z automatizovaných skenerů, využíváme k penetračnímu testování mnohem širší paletu nástrojů (integrovaných v testovaném prostředí, externích, nebo námi vyvinutých). Abychom dokázali garantovat maximální bezpečnost testování, veškeré využívané nástroje ručně verifikujeme, sami kompilujeme a před ostrým nasazením testujeme ve vlastním laboratorním prostředí.

Penetrační test a prověření konfigurace MS Windows Server a Active Directory

Při testování interní IT infrastruktury klademe velký důraz na hloubkové prověření konfigurace a zabezpečení serverového prostředí Microsoft Windows Server a zejména pak jeho stěžejní součásti: Microsoft Active Directory (MS AD). Při útoku na interní infrastrukturu provozovanou v prostředí MS Windows Server je právě tato komponenta primárním cílem útočníků.

Prostředí Active Directory obsahuje celou řadu zranitelností a velmi často se u něj rovněž objevují chyby v konfiguraci, což v případě Domain Controlleru znamená rovněž ovládnutí všech součástí dané domény.

Metodika penetračního testu Active Directory

Vektorů útoku na Active Directory existuje mnoho, jejich společným jmenovatelem je však vždy snaha testera o eskalaci uživatelských privilegií výchozího uživatelského účtu na úroveň (v konečné fázi doménového) administrátora. Získání administrátorských privilegií garantuje testerovi přístup ke všem zdrojům domény Windows, tedy především k souborovým úložištím a k ostatním uživatelským účtům v rámci dané domény.

V úvodní fázi penetračního testu Active Directory tester provádí enumeraci prostředí cílové domény. S využitím vlastních skriptů i vestavěných nástrojů vyhledává informace o existujících uživatelských účtech, členství a politikách v uživatelských skupinách, uživatelských vlastnostech souborů (ACL – access control list), oprávnění běžících procesů apod. Cílem jsou v této fázi zejména účty uživatelů a služeb s příliš vysokými, nebo nestandardně zřetězenými oprávněními. Pro enumeraci využívá tester zejména neinvazivní postupy, které uniknou detekci bezpečnostních mechanismů.

Na základě zjištěných informací provede eskalaci privilegií lokálního uživatelského účtu na úroveň administrátora. K tomu může využít například enumerací prokázaných slabin ve omezení oprávnění u složek, služeb či registrů. Dalšími často zneužívanými zranitelnostmi jsou DLL Hijacking či Unquoted Service Paths, metod a nástrojů pro eskalaci lokálních privilegií však existuje nespočet.

Po získání privilegií lokálního administrátora představuje další krok snaha o extrakci přihlašovacích údajů účtů s administrátorskými oprávněními v rámci domény (Domain Admins). K získání administrátorských přihlašovacích údajů je často možné zneužít zranitelností síťového autentizačního protokolu Kerberos. S využitím vhodných nástrojů je například možné zachytit a následně offline dešifrovat hash přihlašovacích údajů. Pokud se podaří administrátorské přístupové údaje získat, pokračuje tester v krocích, které mu zajistí trvalé udržení kontroly nad ovládnutou doménou (útoky formou Silver Ticket, Golden Ticket, atd.).

S oprávněními doménového administrátora je již tester schopen získat přístup k dalším zařízením v rámci domény. V této (postexploitační) fázi testování rovněž probíhá prohledávání sdílených úložišť, případně tester pokračuje v útocích na uživatelské stanice klíčových zaměstnanců testované organizace. Konkrétní postup se vždy odvíjí od zadaných cílů a omezení penetračního testování.

Průběh penetračního testování interní infrastruktury

Na úvodní schůzce před započetím spolupráce je třeba přesně definovat cíle a subjekty penetračního testování síťové infrastruktury. Na základě úvodní konzultace dokážeme navrhnout test s optimálním poměrem šířky a hloubky záběru tak, abychom maximálně využili stanovenou časovou dotaci.

Předměty penetračního testování, povolené nástroje a metody i případná omezení pro zajištění bezpečného průběhu testu zahrneme do smlouvy. Ta bude rovněž obsahovat nezbytné povolení k provedení penetračního testu, a také dohodu o mlčenlivosti a zákazu zneužití informací získaných v průběhu testování (NDA). Součástí smlouvy je rovněž podrobný časový plán prováděných testů.

Pro uskutečnění penetračního testu interní infrastruktury je nutné ze strany zadavatele zajistit VPN přístupy. Penetrační testování poté probíhá dle popsaných metodik a se zaměřením na specifikované cíle. Test končí v okamžiku dosažení specifikovaných cílů (ovládnutí uživatelské stanice, získání přístupu k zadaným datům apod.), nebo v okamžiku vyčerpání časové dotace. Po skončení testování je vypracována detailní zpráva o průběhu a výsledcích testu.

Závěrečná zpráva sestává ze stručného manažerského shrnutí odhalených bezpečnostních rizik, sumarizace provedených testů a podrobného technického popisu jednotlivých nálezů. V poslední části jsou detailně zdokumentovány objevené a prokázané chyby v zabezpečení. U každého z nálezů je uvedeno, zda a jak se jej povedlo zneužít, včetně veškerých podrobností o využitých exploitačních nástrojích a mechanismech. Přesný postup testera je vhodným způsobem (například snímky obrazovky) krok za krokem zaznamenán tak, aby mohl být v případě potřeby zopakován.

Pro každý z nálezů rovněž vypracujeme doporučený postup k odstranění či zmírnění rizika z něj plynoucího. Velmi si zakládáme na tom, aby námi prováděné penetrační testy skutečně přispěly ke zvýšení úrovně bezpečnosti vaší IT infrastruktury. Doporučená opatření je nutno v co možná nejkratší době zapracovat, proto jsme, zejména v případě kritických nálezů, schopni navázat intenzivní spolupráci s vaším IT oddělením, konzultovat implementaci a prověřit účinnost dodatečných bezpečnostních mechanismů. Po provedení oprav dle doporučení ze závěrečné zprávy můžeme po dohodě provést ověřovací penetrační test ve zkráceném rozsahu, který ověří správnost implementace doporučených opatření.

Máte zájem o penetrační testování?

V případě zájmu o penetrační testování nás kontaktujte na e-mailu sales@eo-security.com

Další služby

Skenování zranitelností webových aplikací a interní infrastruktury

Testování pomocí metod sociálního inženýrství

Testování Wi-Fi sítí

Penetrační testování webových aplikací

Konzultace IT bezpečnosti

Menu