Yang paling berbahaya adalah musuh, yang tidak Anda curigai.
(Fernando Rojas)
Infrastruktur TI perusahaan modern dapat dibandingkan dengan kastil abad pertengahan. Tembok tinggi, parit yang dalam, dan penjaga di gerbang melindungi dari musuh luar, dan praktis tidak ada yang melihat apa yang terjadi di dalam tembok benteng. Demikian pula, banyak perusahaan: mereka melakukan upaya luar biasa untuk melindungi perimeter luar, sementara infrastruktur internal tetap dirampas. Pengujian penetrasi internal masih merupakan proses yang eksotis dan tidak terlalu jelas bagi sebagian besar pelanggan. Karena itu, kami memutuskan untuk memberi tahu tentang dia semua (yah, hampir semua) yang ingin Anda ketahui, tetapi takut untuk bertanya.
Musuh eksternal (peretas menakutkan dengan hoodie hitam) terlihat mengintimidasi, tetapi sebagian besar kebocoran informasi perusahaan disebabkan oleh kesalahan orang dalam. Menurut statistik dari pusat pemantauan Solar JSOC kami, insiden internal mencapai sekitar 43% dari jumlah total ancaman. Beberapa organisasi mengandalkan perlindungan - seringkali salah konfigurasi - yang dapat dengan mudah dilewati atau dinonaktifkan. Yang lain tidak melihat orang dalam sebagai ancaman sama sekali dan menutup mata terhadap kelemahan dalam melindungi infrastruktur internal.
Masalah yang kami identifikasi saat menganalisis "pasar internal" yang berpindah dari satu perusahaan ke perusahaan lain:
- kata sandi yang lemah dan tidak dapat diubah untuk layanan dan akun dengan hak istimewa;
- kata sandi yang sama untuk administrator biasa dan akun dengan hak istimewa;
- ;
- ;
- ;
- ;
- .
: Windows- Active Directory.
Secara global, pengujian penetrasi mengungkapkan seberapa besar penyerang potensial dapat merusak infrastruktur TI perusahaan tertentu. Untuk melakukan ini, spesialis keamanan siber yang melakukan uji penetrasi mensimulasikan tindakan peretas menggunakan teknik dan alat nyata, tetapi tanpa merugikan pelanggan. Hasil audit membantu meningkatkan keamanan organisasi sekaligus mengurangi risiko bisnis. Pengujian tersebut memiliki dua arah: eksternal dan internal. Dalam kasus pertama, "peretas putih" harus menemukan kerentanan yang dapat menembus jaringan internal (yaitu, menembus tembok benteng itu).
Pengujian penetrasi internal memeriksa seberapa rentan infrastruktur bagi orang dalam atau penyusup yang memiliki akses ke jaringan lokal organisasi. Akankah mereka, jika mereka ingin, untuk mengontrol LAN, dengan bebas bergerak di sekitarnya dan mempengaruhi pengoperasian server individu? Pekerjaan semacam itu dilakukan di jaringan internal, dan lebih sering dari posisi karyawan dengan hak istimewa minimal. Pada saat yang sama, dimungkinkan (dan perlu) untuk memeriksa bahkan para karyawan yang hanya memiliki akses fisik ke komputer (misalnya, pembersih, tukang listrik, penjaga keamanan, kurir, dll.).
Tes penetrasi tidak boleh mengungkapkan semua kerentanan yang ada di perusahaan pada semua host di jaringan internal (ini dapat dilakukan dengan menggunakan pemindai kerentanan atau dengan mengkonfigurasi kebijakan manajemen kerentanan dengan benar). Dia memiliki tugas yang sama sekali berbeda: menemukan satu atau dua rute yang dapat diikuti penyerang agar berhasil menyerang korbannya. Eksekusi kerja berfokus pada pengaturan keamanan dan fitur Windows. Singkatnya, tidak akan lagi dilakukan, misalnya, memindai port terbuka dan mencari host dengan pembaruan yang dihapus.
Bagaimana ini bisa terjadi
Pengujian keamanan infrastruktur internal berlangsung dalam beberapa tahap:
Berikut adalah contoh bagaimana pengujian penetrasi internal yang serupa terjadi pada kenyataannya dalam kerangka salah satu proyek kami:
- Pertama, kami mengidentifikasi berbagi file yang menghosting aplikasi web;
- SA (Super Admin) MS SQL;
- MS SQL sqldumper.exe xp_cmdshell LSASS, :
- .
Karena pengujian penetrasi internal hanya mempertimbangkan infrastruktur internal (jelas) organisasi, tidak masalah bagaimana penyerang mendapatkan akses awal ke jaringan - penting bagaimana dia menggunakan akses ini. Oleh karena itu, laporan akhir, yang dibuat berdasarkan hasil pentest, menggambarkan kerentanan yang tidak ditemukan, tetapi sejarah bagaimana spesialis bergerak melalui jaringan, hambatan dan kesulitan apa yang dia hadapi, bagaimana dia mengatasinya dan bagaimana dia menyelesaikan tugasnya. Seorang spesialis dapat mendeteksi beberapa kekurangan, tetapi untuk mencapai tujuan, salah satu yang paling optimal atau menarik akan dipilih. Pada saat yang sama, semua kerentanan yang ditemukan "dalam perjalanan" juga akan disertakan dalam laporan. Alhasil, pelanggan akan mendapat rekomendasi untuk memperbaiki kekurangan dan meningkatkan keamanan infrastruktur internal.
Faktanya, tes penetrasi internal melanjutkan tes eksternal, menjawab pertanyaan: "Apa yang terjadi setelah penjahat dunia maya memasuki jaringan?" Sebagai perbandingan, metodologi berikut biasanya digunakan dalam proses pengujian penetrasi perimeter eksternal:
Siapa yang memasuki infrastruktur
Jadi, bagaimana penyerang masuk ke jaringan tidak penting, oleh karena itu, pada tahap awal perencanaan pengujian penetrasi internal, model orang dalam atau penyerang eksternal dapat dipertimbangkan.
- Model orang dalam. Orang dalam adalah penyerang internal bermotivasi yang memiliki akses sah ke infrastruktur organisasi, hanya dibatasi oleh tanggung jawab pekerjaan. Misalnya, seorang karyawan sungguhan yang memutuskan untuk merugikan perusahaannya. Selain itu, karyawan layanan pendukung (penjaga keamanan, pembersih, tukang listrik, dll.) Dapat bertindak sebagai orang dalam, mereka memiliki akses yang sah ke kantor, tetapi mereka tidak memiliki hak akses ke infrastruktur.
- Model penyusup eksternal. Model tersebut tidak berfokus pada bagaimana akses diperoleh (kerentanan perimeter, kebocoran kredensial, manipulasi psikologis, atau yang lainnya) ke jaringan internal organisasi. Titik awalnya adalah kenyataan bahwa "orang luar" sudah ada di dalam.
Setelah menyusun model ancaman, situasinya sendiri juga dimodelkan di mana pelaku akan mendapatkan akses ke infrastruktur:
- ;
- . , (Wi-Fi);
- . : , , ;
- ยซยป , . (Command & Control), . , .
Pada saat yang sama, pentesting bukanlah berkeliaran tanpa tujuan di sekitar infrastruktur orang lain. "White hacker" selalu memiliki tujuan yang ditetapkan oleh pelanggan. Skenario paling umum untuk pengujian penetrasi internal adalah untuk mendapatkan hak istimewa administrator domain. Namun, pada kenyataannya, penyerang jarang berusaha mendapatkan hak istimewa tersebut, karena hal ini dapat menarik perhatian yang tidak perlu kepada mereka. Oleh karena itu, dalam banyak kasus, hak istimewa administrator domain tidak akan menjadi tujuan, tetapi sarana untuk mencapainya. Dan tujuannya bisa jadi, misalnya, mengambil alih jaringan perusahaan, mendapatkan akses ke stasiun kerja dan server, atau ke aplikasi dan database.
Siapa yang butuh semuanya
Apakah bermanfaat bagi pelanggan untuk membiarkan penguji penetrasi masuk ke jaringan perusahaan mereka? Sangat berharga. Di sinilah data paling penting dan rahasia utama perusahaan berada. Untuk melindungi LAN, Anda perlu mengetahui semua sudut dan celah serta kekurangannya. Dan pengujian penetrasi internal dapat membantu dalam hal ini. Ini memungkinkan Anda untuk melihat kelemahan dalam infrastruktur atau memeriksa kontrol keamanan yang dikonfigurasi dan memperbaikinya. Selain itu, pengujian penetrasi internal adalah alternatif yang lebih terjangkau untuk Tim Merah. Nah, jika tugasnya adalah untuk menunjukkan kepada manajemen bahwa dana yang dialokasikan tidak cukup untuk memastikan keamanan infrastruktur internal, uji penetrasi internal memungkinkan Anda mendukung tesis ini dengan fakta.
Penulis: Dmitry Neverov, pakar analisis keamanan, Rostelecom-Solar