Вы находитесь на странице: 1из 25

Коммерческая тайна ОАО «Рога и Копыта»

Россия, 123456, Москва, ул. XXXXX

ТЕСТИРОВАНИЕ НА ПРОНИКНОВЕНИЕ ИТ-


ИНФРАСТРУКТУРЫ ОАО «РОГА И КОПЫТА»

ОТЧЕТ О РАБОТАХ
Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX

ОГЛАВЛЕНИЕ

1 ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ ....................................................................4

2 ВВЕДЕНИЕ .........................................................................................................5

2.1 Цель проведения работ ...........................................................................5

2.2 Методика проведения работ .................................................................6

3 РЕЗУЛЬТАТЫ РАБОТ .....................................................................................10

4 ОПИСАНИЕ ХОДА РАБОТ ...............................................................................17

4.1 Исследование сетевого периметра ИС ..............................................17

4.1.1 Идентификация сетевого периметра ..........................................17

4.1.2 Исследование системы DNS ...........................................................17

4.1.3 Сканирование портов узлов ..........................................................17

4.1.4 Уязвимости сетевых узлов .............................................................17

4.2 Анализ защищенности сетевых устройств .......................................17

4.2.1 Осуществление НСД к сетевому оборудованию ........................17

4.2.2 Осуществление НСД в технологическую сеть ...........................18

4.3 Анализ защищенности web-приложений ...........................................18

4.3.1 Анализ защищенности web-ресурса XXX ....................................19

4.3.2 Анализ защищенности web-ресурса YYY.....................................19

4.3.3 Анализ защищенности web-ресурса ZZZ ....................................19

4.4 Анализ защищенности ИС РО XXXX ....................................................20

4.4.1 Исследование ИС РО, XXXX ............................................................20

4.4.2 Аудит ИС РО, XXXX ...........................................................................20

4.5 Анализ защищенности ИС ЦО, XXXX ...................................................20

Тестирование на проникновение Страница 2 из


25
Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX

4.5.1 Исследование ИС ЦО, XXXX ...........................................................20

4.5.2 Получение доступа к серверу XYZ ...............................................20

4.5.3 Анализ защищенности беспроводных сетей в ЦО, XXXX .........21

4.5.4 Аудит ИС ЦО, XXXX ..........................................................................21

4.6 Сравнение результатов аудита между ИС ЦО, XXXX и ИС РО, XXXX


.......................................................................................................................... 22

4.7 Оценка осведомленности сотрудников Заказчика в вопросах ИБ


.......................................................................................................................... 23

5 ПРИЛОЖЕНИЕ А. ИСПОЛЬЗУЕМАЯ КЛАССИФИКАЦИЯ ПРИ ОЦЕНКЕ ИС


ПО ВЕКТОРАМ ПРОНИКНОВЕНИЯ ...................................................................24

6 ПРИЛОЖЕНИЕ B. ОЦЕНКА МЕХАНИЗМОВ ИНФОРМАЦИОННОЙ


БЕЗОПАСНОСТИ ................................................................................................24

7 ПРИЛОЖЕНИЕ C. КЛАССИФИКАЦИЯ ЗЛОУМЫШЛЕННИКОВ ....................24

8 ПРИЛОЖЕНИЕ D. РЕКОМЕНДАЦИИ ПО УСТРАНЕНИЮ УЯЗВИМОСТЕЙ В


WEB-ПРИЛОЖЕНИЯХ ........................................................................................24

8.1 Уязвимости типа «Внедрение операторов SQL»..............................24

8.2 Уязвимости типа «Межсайтовое выполнение сценариев» ............24

8.3 Уязвимости типа XYZ .............................................................................25

9 ПРИЛОЖЕНИЕ E. ДОПОЛНИТЕЛЬНЫЕ МАТЕРИАЛЫ ..................................25

9.1 Приложение 1: Анализ используемых пользователями ИС паролей


.......................................................................................................................... 25

Тестирование на проникновение Страница 3 из


25
Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX

1 Обозначения и сокращения

ЗИ - защита информации

ИБ - информационная безопасность

ИР - информационные ресурсы

ИС - информационная система

НСД - несанкционированный доступ

СУИБ - система управления информационной безопасностью

МСЭ - межсетевой экран

ДМЗ - демилитаризованная зона

ОС - операционная система

ЦО - центральный офис

РО - региональный офис

ЛВС - локальная вычислительная сеть

Тестирование на проникновение Страница 4 из


25
Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX

2 Введение
Согласно договору №XXX-XX от XX.XX.20XX г. между ЗАО
«Позитив Текнолоджиз» (далее – Исполнитель) и ОАО «Рога и
Копыта» (далее – Заказчик) в XXXX 20XX года выполнялись
работы по аудиту безопасности корпоративной информационной
системы ОАО «Рога и Копыта» (далее - ИС).

Данный документ содержит экспертное заключение о


результатах аудита и оценку защищенности ИС Заказчика,
выполненную специалистами Исполнителя.

2.1 Цель проведения работ


Целью проводимых работ являлось повышение защищенности ИС
Заказчика путем:
 получения независимой оценки текущего уровня
защищенности ИС от атак со стороны сети Интернет;
 получения оценки защищенности внешних Web-
приложений;
 получения оценки эффективности мер по
противодействию атакам с использованием методов
социальной инженерии;
 получения оценки уровня осведомленности сотрудников
Заказчика в вопросах информационной безопасности;
 демонстрации возможности получения НСД к
внутренним информационным ресурсам Заказчика за
счет эксплуатации одной или нескольких выявленных
уязвимостей на внешнем периметре ИС со стороны сети
Интернет;
 разработки рекомендаций по повышению уровня
защищенности внешнего периметра ИС и устранению
выявленных уязвимостей в ИС Заказчика.

Тестирование на проникновение Страница 5 из


25
Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX

2.2 Методика проведения работ


Работы проводились без уведомления администраторов ИС
методом «черного ящика» 1 от имени внешнего злоумышленника.
При проведении работ специалисты исполнителя
придерживались принципа минимизации нарушения
доступности ресурсов ИС Заказчика.

Под понятием «внешний злоумышленник» подразумевается лицо


или группа лиц, состоящих или не состоящих в сговоре, которые
в результате предумышленных или непредумышленных
действий потенциально могут нанести ущерб информационным
ресурсам Заказчика. Для определения типа злоумышленника
использовалась классификация, разработанная Исполнителем
(см. раздел 7 на стр. 24).

Для выполнения работ был выбран следующий тип


злоумышленника:

[M4-Q6-P1-AE1-AN1-AT1-SI1] – злоумышленник,
мотивированный коммерческим интересом, целью которого
является определенный актив, не имеющий физического и
логического доступа к ИС, с практически полным отсутствием
знаний об исследуемой ИС и квалификацией – хакер.

При проведении работ по анализу защищенности беспроводных


сетей у злоумышленника повысился уровень физического
доступа [P3] до уровня доступа внутри периметра защиты и
злоумышленник получил тип - [M4-Q6-P3-AE1-AN1-AT1-SI1].

Помимо этого рассматривался близкий к вышеописанному тип


злоумышленника [M2-Q2-P1-AE1-AN1-AT1-SI1], уровень
квалификации которого колеблется от [Q1] до [Q2]. К данному
типу злоумышленников относятся группы хакеров (обычно
подростков), которые, взламывая Интернет-сайты различных
организаций, совершают свои действия из хулиганских
побуждений, редко преследуя какую-либо коммерческую выгоду.

Целью специалистов Исполнителя было повышение уровня


знаний о системе [SI] и уровня логического доступа [AT] до
максимально возможного.
1
Принцип «черного ящика» заключается в проведении работ по оценке защищенности ИС без
предварительного получения какой-либо информации со стороны Заказчика об исследуемой
ИС.

Тестирование на проникновение Страница 6 из


25
Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX

В ходе проведения работ допускалась эксплуатация (по


согласованию) выявленных уязвимостей и разрешалось
нарушение целостности и конфиденциальности обрабатываемой
информации в ИС Заказчика.

Процесс проведения работ был построен следующим образом:


 Получение предварительной информации о сети
Заказчика. Использовались те же источники
информации, которые доступны злоумышленникам
(Интернет, новости, конференции).
 На основе собранной информации, специалистами
Исполнителя было выполнено:
• Выявление активных узлов (сканирование сетевых
портов) и составление списка доступных ресурсов
(DNS, Mail, Web и пр.).
• Идентификация версий запущенных сетевых
служб и приложений с целью определения
известных уязвимостей.
• Анализ web-приложений Заказчика. С помощью
автоматизированных утилит и ручными методами
анализировались следующие уязвимости:
внедрение операторов SQL (SQL Injection),
межсайтовое выполнение сценариев (Cross-Site
Scripting), подмена содержимого (Content
Spoofing), выполнение команд ОС (OS
Commanding), уязвимости, связанные с
некорректной настройкой механизмов
аутентификации и авторизации, и др.
• Попытка осуществления НСД к ресурсам ИС за
счет эксплуатации одной или нескольких
выявленных уязвимостей в ИС Заказчика.
• Расширение прав доступа и сбор информации на
уязвимых узлах.
 Проведение социотехнического тестирования и оценка
осведомленности пользователей ИС.
 Анализ собранной информации и разработка
аналитического отчета о проведенном исследовании ИС.
 Разработка рекомендаций по исправлению найденных
уязвимостей и ликвидации выявленных угроз.

Тестирование на проникновение Страница 7 из


25
Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX

Процесс исследования ИС Заказчика в рамках проводимых


специалистами Исполнителя работ был построен таким образом,
чтобы охватить все основные объекты атаки в ИС Заказчика (см.
Рис. 1).

 Сетевая инфраструктура;

 Беспроводные сети;

 Серверные системы;

 Web-приложения;

 Рабочие станции сотрудников.

В ходе выполнения работ специалисты Исполнителя


использовали методики и инструменты собственной разработки,
а также передовой опыт авторитетных организаций, таких как
Open Source Security Testing Methodology Manual (OSSTMM),
Standards for Information Systems Auditing (ISACA), Web Application
Security Consortium (WASC), Open Web Application Security Project
(OWASP).

Тестирование на проникновение Страница 8 из


25
Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX

Уязвимости рабочих
мест пользователей
Недостатки
сетевой
Уязвимости архитектуры
беспроводных сетей
Не

Рис. 1 Процесс исследования ИС

Уяз
п

Рабочее место
исследователя

Тестирование на проникновение Страница 9 из


25
Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX

3 Результаты работ
В ходе выполнения работ специалистам Исполнителя удалось
обойти защитные механизмы и осуществить
несанкционированный доступ к информационным системам,
обрабатывающим информацию разного уровня
конфиденциальности. В том числе успешно осуществлен НСД ко
всем внутренним и внешним ресурсам (в том числе к серверу
XYZ ) ИС в соответствии с пожеланиями Заказчика в ходе
проведения работ Исполнителем. Таким образом,
злоумышленник получил тип [M4-Q6-P3- AE4-AN5-AT3-SI5].

По оценке Исполнителя использование обнаруженных


недостатков может привести к нарушению непрерывности
бизнес-процессов Заказчика и к утечке сведений,
относящихся к коммерческой тайне Заказчика. В ходе
выполнения работ специалистами Исполнителя была
продемонстрирована возможность эксплуатации различных
векторов атаки, которые приводят к указанным последствиям.

В результате выполнения работ специалистам Исполнителя


удалось:
• получить административные привилегии во всех
доменах, на всех почтовых серверах и рабочих станциях
путем получения административных привилегий в
качестве Enterprise Admin в доменах XX1.YY1 (ЦО, XXXX),
XX2.YY2 (РО, XXXX).
• осуществить НСД к серверу XYZ, обрабатывающему
наиболее важную для Заказчика информацию.
• получить уровень доступа privileges_15 на
магистральных каналах связи.
• получить доступ к системе SAP с различными
привилегиями (в частности к модулю XXYY с
привилегиями AABBCC).
• продемонстрировать возможность получения НСД через
беспроводное соединение к ИС ЦО (XXXX) с
использованием уязвимостей на рабочих станциях
сотрудников Заказчика.
• продемонстрировать недостаточную осведомленность
сотрудников Заказчика в вопросах, связанных с
обеспечением информационной безопасности.

Тестирование на проникновение Страница 10


из 25
Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX

• осуществить доступ к официальному сайту Заказчика


(www.XXXX.ru) с правами администратора web-
приложения.
• XXXX YYYY ZZZZ

Тестирование на проникновение Страница 11


из 25
Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX

Выявленные бизнес-риски:
• нарушение доступности ВСЕХ информационных
ресурсов ИС Заказчика (ЦО XXXX, РО XXXX), включая
технологические сети XXXX.
• получение доступа к системам, критически важным для
бизнес-процессов (серверы XYZ , ZYX и пр.)
• Проникновение во внутреннюю сеть Заказчика:
o получение доступа ко всем внутренним ресурсам
(коммерческая информация, электронная почта,
файловые хранилища, базы данных и т.д.);
o получение доступа к магистральному
оборудованию с максимальными привилегиями;
o получение доступа к доменам XX1.YY1 (ЦО, XXXX),
XX2.YY2 (РО XXXX), XX3.YY3 (РО XXXX) с
максимальными привилегиями Enterprise Admin
(контроль над всеми информационными потоками
в ИС Заказчика ).

Основные результаты работ по каждому из этапов приведены в Табл.


1.

Тестирование на проникновение Страница 12


из 25
Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX

Табл. 1 Основные результаты


Этап работ Результат Степень риска

Результат 1

Результат 2
Исследование сетевого периметра ИС Критический

Результат N

Результат 1

Анализ защищенности сетевых устройств Результат 2


Критический

Результат N

Результат 1

Результат 2
Анализ защищенности web-приложений Критический

Результат N

Результат 1

Результат 2
Анализ защищенности беспроводных сетей Критический

Результат N

Результат 1

Оценка осведомленности сотрудников Результат 2


Заказчика Высокий
в вопросах информационной безопасности …

Результат N

Результат 1

Результат 2
Анализ защищенности внутренних сетей
Высокий

Результат N

Для оценки состояния ИБ Заказчика по векторам проникновения

Тестирование на проникновение Страница 13


из 25
Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX

в ИС использовалась классификация, разработанная


Исполнителем (см. раздел 5 на стр. 24). В соответствии с ней
текущее состояние ИБ Заказчика находится на уровне, близкому
к самому низкому (см. Табл. 2).

Табл. 2 Оценка состояния ИБ Заказчика по векторам проникновения


Вектор проникновения Текущее состояние Оценка

Сетевая инфраструктура Описание состояния уровня 2 2

Сетевые устройства Описание состояния уровня 1 1

Беспроводные сети Описание состояния уровня 2 2

Сетевые службы и СУБД Описание состояния уровня 2 2

Web-приложения Описание состояния уровня 2 2

Рабочие места Описание состояния уровня 3


3
пользователей

Рис. 2 Оценка состояния ИБ Заказчика по векторам проникновения

Полученные в ходе выполнения работ данные использовались


Исполнителем для оценки применяемых Заказчиком механизмов
обеспечения информационной безопасности. Оценка
производилась в соответствии с приведенной в разделе 6 на стр.
24 классификацией. Результаты оценки показывают, что

Тестирование на проникновение Страница 14


из 25
Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX

текущий уровень реализации этих механизмов близок к


минимальному (см. Табл. 3).

Табл. 3 Оценка применяемых Заказчиком механизмов обеспечения ИБ


Применяемый механизм
Текущее состояние Оценка
обеспечения ИБ

Управление Описание состояния уровня 3


3
конфигурацией

Управление Описание состояния уровня 2


2
межсетевыми экранами

Управление учетными Описание состояния уровня 3


3
записями

Управление Описание состояния уровня 2


2
аутентификацией

Безопасность Описание состояния уровня 2


персональных данных 2
пользователей

Осведомленность Описание состояния уровня 2


2
пользователей

Антивирусная защита Описание состояния уровня 3 3

Управление Описание состояния уровня 2


уязвимостями и 2
обновлениями

Управление Описание состояния уровня 2


2
инцидентами

Криптографическая Описание состояния уровня 2


2
защита

Тестирование на проникновение Страница 15


из 25
Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX

Рис. 3 Оценка применяемых Заказчиком механизмов обеспечения ИБ

Подобная оценка обусловлена тем, что СУИБ Заказчика


реализована не в полном объеме. Существующие процессы в
СУИБ Заказчика являются неэффективными в настоящее
время и не отвечают требованиям бизнеса.

XXX ZZZ

Тестирование на проникновение Страница 16


из 25
Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX

4 Описание хода работ

4.1 Исследование сетевого периметра ИС


Описание этапа…

4.1.1 Идентификация сетевого периметра


Подробное описание, каким образом и из каких источников была
собрана информация…

4.1.2 Исследование системы DNS


Описание…

4.1.3 Сканирование портов узлов


Описание, общая картина обнаруженных сервисов…

4.1.4 Уязвимости сетевых узлов


Описание, общая картина инструментального исследования,
подробное описание выявленных уязвимостей и способов их
устранения прилагаются на DVD-диск…

4.2 Анализ защищенности сетевых устройств


Описание этапа…

4.2.1 Осуществление НСД к сетевому оборудованию


Подробное описание хода работ, выявленных уязвимостей,
ранжирование их по степени потенциальной опасности,

Тестирование на проникновение Страница 17


из 25
Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX

результаты от их использования, способы устранения, уровень


полученных привилегий и полученный уровень знаний об ИС.

4.2.2 Осуществление НСД в технологическую сеть


Подробное описание хода работ, выявленных уязвимостей,
ранжирование их по степени потенциальной опасности,
результаты от их использования, способы устранения, уровень
полученных привилегий и полученный уровень знаний об ИС.

4.3 Анализ защищенности web-приложений


Описание этапа, аналитика…

Рис. 4 Распределение уязвимостей в web-приложениях по категориям

На Рис. 5 показано распределение уязвимостей по причинам их


возникновения.

Тестирование на проникновение Страница 18


из 25
Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX

Рис. 5 Распределение уязвимостей в web-приложениях по причинам их


возникновения

Аналитика, совокупная таблица по всем обнаруженным


уязвимостям…

4.3.1 Анализ защищенности web-ресурса XXX


Результат использования наиболее критических уязвимостей,
таблица с подробным описанием каждой обнаруженной
уязвимости, ранжирование их по степени потенциальной
опасности, способы их устранения.

4.3.2 Анализ защищенности web-ресурса YYY


Результат использования наиболее критических уязвимостей,
таблица с подробным описанием каждой обнаруженной
уязвимости, ранжирование их по степени потенциальной
опасности, способы их устранения.

4.3.3 Анализ защищенности web-ресурса ZZZ


Результат использования наиболее критических уязвимостей,
таблица с подробным описанием каждой обнаруженной
уязвимости, ранжирование их по степени потенциальной
опасности, способы их устранения.

Тестирование на проникновение Страница 19


из 25
Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX

4.4 Анализ защищенности ИС РО XXXX


Описание этапа…

4.4.1 Исследование ИС РО, XXXX


Подробное описание хода работ, выявленных уязвимостей,
ранжирование их по степени потенциальной опасности,
результаты от их использования, способы устранения, уровень
полученных привилегий и полученный уровень знаний об ИС.

4.4.2 Аудит ИС РО, XXXX


Аналитика, на основе собранных данных…

4.5 Анализ защищенности ИС ЦО, XXXX


Описание этапа…

4.5.1 Исследование ИС ЦО, XXXX


Подробное описание хода работ, выявленных уязвимостей,
ранжирование их по степени потенциальной опасности,
результаты от их использования, способы устранения, уровень
полученных привилегий и полученный уровень знаний об ИС.

4.5.2 Получение доступа к серверу XYZ


Подробное описание хода работ, выявленных уязвимостей,
ранжирование их по степени потенциальной опасности,
результаты от их использования, способы устранения, уровень
полученных привилегий и полученный уровень знаний об ИС.

Дополнительные материалы на прилагаемом DVD-

Тестирование на проникновение Страница 20


из 25
Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX

диске:

С дополнительными материалами можно ознакомиться,


обратившись к каталогу «\XYZ\» на прилагаемом к отчету
DVD-диске.

Видео демонстрация на прилагаемом DVD-диске:

С видео-материалом можно ознакомиться, обратившись к


каталогу «\XYZ\» на прилагаемом к отчету DVD-диске.

4.5.3 Анализ защищенности беспроводных сетей в ЦО,


XXXX
Подробное описание хода работ, выявленных уязвимостей,
ранжирование их по степени потенциальной опасности,
результаты от их использования, способы устранения, уровень
полученных привилегий и полученный уровень знаний об ИС.

4.5.4 Аудит ИС ЦО, XXXX


Аналитика, на основе собранных данных…

Тестирование на проникновение Страница 21


из 25
Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX

Рис. 6 Сравнение состояние ИБ ИС Заказчика с CIS Windows 2003 (1)

Аналитика…

4.6 Сравнение результатов аудита между ИС


ЦО, XXXX и ИС РО, XXXX
Аналитика, на основе собранных данных…

Интегральная уязвимость определяется по формуле:


N5 * 5 + N3 * 3 + N4 + N2 + N1 , где:

N5 - количество серьезных уязвимостей


N4 - количество подозрений на уязвимость высокого уровня
N3 - количество уязвимостей среднего уровня
N2 - количество подозрений на уязвимость среднего уровня
N1 - количество уязвимостей низкого уровня

Тестирование на проникновение Страница 22


из 25
Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX

Рис. 7 Сравнение состояния защищенности между ИС ЦО, XXXX и ИС РО, XXXX

Аналитика…

4.7 Оценка осведомленности сотрудников


Заказчика в вопросах ИБ
 оценка эффективности программы повышения
осведомленности сотрудников Заказчика;

 статистика по каждому из типов атаки и действиям


пользователей (по целевым группам, регионам и т.д.);

 информация о сотрудниках, ненадлежащим образом


выполняющих требования по обеспечению ИБ.

Тестирование на проникновение Страница 23


из 25
5 Приложение А. Используемая
классификация при оценке ИС по
векторам проникновения

Подробное описание…

6 Приложение B. Оценка
механизмов информационной
безопасности
Подробное описание…

7 Приложение C. Классификация
злоумышленников
Подробное описание…

8 Приложение D. Рекомендации по
устранению уязвимостей в web-
приложениях
8.1 Уязвимости типа «Внедрение операторов
SQL»
Подробное описание…

8.2Уязвимости типа «Межсайтовое выполнение


сценариев»
Подробное описание…
8.3 Уязвимости типа XYZ
Подробное описание…

9 Приложение E. Дополнительные
материалы

9.1 Приложение 1: Анализ используемых


пользователями ИС паролей
Аналитика отдельным документом.