Безопасность корпоративной сети – это один из важнейших аспектов, который должны учитывать все современные компании. Тем более, в условиях растущей недобросовестной конкуренции и широких возможностях для организации кибератак. Именно поэтому мы составили для вас материал, разделенный на две части, с целью повысить уровень осведомленности о подобных атаках.nnВажно: статья составлена исключительно в образовательно-просветительных целях!n
Причины взлома корпоративной сети
В первую очередь, хакеры оценивают структуру той сети, которую хотят взломать. Условно, переход к действию сводится к преодолению первого барьера – внешнего периметра. Как только злоумышленник получает доступ к какому-либо узлу, он может начать разворачивать более серьезные сценарии с использованием вредоносного кода. К быстрому взлому периметра часто приводят следующие причины:n
- Слабый контроль учетных записей и ненадежное хранилище паролей (слабые пароли)
- Незащищенность веб-приложений
- Отсутствие фильтрации трафика
- Отсутствие контроля уязвимостями
- Низкий уровень осведомленности сотрудников компании касательно информационной безопасности
- Отсутствие налаженного разграничения доступа/слабое администрирование
К слову, не стоит упрощать злоумышленников, так как им достаточно приметить всего одну уязвимость. Более того, в большинстве компаний отсутствуют элементарные средства защиты, из-за чего даже технологически устаревшие методы актуальны даже сегодня.n
Первый вариант взлома: захват учетных записей
Практически все администраторы компании используют удаленный доступ для ускорения обслуживания сотрудников. Не будем перечислять все виды ПО, которое пользуется популярностью, приведя лишь один пример: Radmin. Любое стороннее ПО может быть скомпрометировано.Как следствие, и учетные записи.nnДело в том, что даже начинающий хакер может осуществить свой план за счет использования удаленного доступа. Чего только стоит программа Hydra, которая до сих пор актуальна и может подобрать пароль и логин к учетке, если скачать любой из доступных в Интернете словарей.nnС этим можно бороться путем создания особого списка разрешенных IP-адресов, но это не панацея. Как только хакер сможет получить доступ к одному из узлов, он сможет проводить атаку из «зеленого» списка. Опять же, это не единственный метод.nnДо сих пор актуален метод взлома, путем подбора стандартных учетных записей, которые устанавливаются по умолчанию. Например: admin/admin, test/test и т.д. Огромное количество компаний не меняет эти данные! Более того, многие учетные записи хранятся вовсе без паролей!nnЕще один пример: для взлома корпоративной сети часто использовались следующие комбинации из логинов и паролей: Administrator: P@ssw0rd, Administrator: 123456, Administrator: Qwerty123. В случаях с гостевыми записями, логин заменяется на Guest.nnЧтобы защитить свою запись от подобных проблем, просто установите сложный пароль. В случае с SSH можно подключить авторизацию с помощью приватного ключа. Не менее эффективен файрвол с установленным ограничением доступа к определенным устройствам для удаленного доступа. Учтите, что для SSH вам может понадобиться авторизация за счет приватного ключа.nnВы также можете настроить фильтрацию доступа путем индивидуальных настроек для каждого отдельно взятого узла сети, а также создать перечень администраторов, которым разрешен доступ к определенным точкам. Не стоит игнорировать организацию персональной авторизацию для каждого сотрудника в компании. В настройке безопасности корпоративной сети также крайне полезен VPN.n
СУБД и веб-сервера
Взлом сети может произойти и за счет наличия уязвимостей в базах данных, либо в веб-приложениях. Ситуация с паролями и логинами здесь еще хуже, чем в ПО для удаленного доступа, так как многие даже не заходят в настройки веб-приложений. Примеры имеющихся стандартных учетных записей идентичны вышеописанным. Тем более, их может найти в Интернете рядовой пользователь.nnПриложение Tomcat Web Application Manager позволяет загрузить заархивированные файлы в формате .war. Это означает, что вредоносный код может быть замаскирован и внедрен в вашу базу с помощью данной опции. Достаточно одной строчки-команды, чтобы скомпрометировать сеть и даже рабочую ОС.nnРазличные варианты атаки также разворачиваются с помощью СУБД, так как она имеет доступ ко многим узлам корпоративной сети. Здесь стоит учесть тот факт, что многие хакеры ищут уязвимости именно в этой области, потому что в компаниях зачастую используют устаревшие версии БД. Яркий пример – MS SQL Server. Обратите внимание, что в старых версиях путь установки данного ПО по умолчанию значится, как NT AUTHORITY \SYSTEM.nnСоответственно, все уровни привилегий можно отыскать там. А это означает, что заполучив доступ к этому пути, хакер может без каких-либо проблем захватить работу всех устройств Windows. Это идеальный пример того, что нужно регулярно обновлять установленное ПО, так как в свежих версиях данная проблема отсутствует.nnЕще один способ атаки разворачивается с помощью самой ОС. Во время пентеста одной компании было выявлено, что юзер NT SERVICE \MSSQLSERVER обладает уровнем доступа SelmpersonatePrivilege. Это означает, что он может использовать токен делегирования, присвоив себе любые привилегии из общего списка. Хакеры используют для этой цени утилиту Mimikatz.nnЧтобы избежать проблем с подобными уязвимостями, администратор сети обязан контролировать привилегии учетных записей и уровни доступа к СУБД. По возможности, максимально ограничивайте права сотрудников в сети. Также нужно следить за актуальностью версий ПО, уровнем установленных паролей, а также списком разрешенных IP-адресов.