О чем статья
На примере PT Dephaze разбираемся, какие задачи можно решить с помощью систем автопентеста.
При построении системы ИБ любая средняя или крупная компания обязательно сталкивается с двумя сакральными вопросами: «Достаточно ли хорошо мы защищены прямо сейчас?» и «Насколько эффективно расходуется бюджет на кибербезопасность?». Чтобы на них ответить, нужно в том числе проводить пентесты, и желательно с помощью классной внешней команды. Проблема только в том, что чем лучше эксперты, тем больше денег придется потратить. Хорошая внутренняя команда тоже подойдет, но, чтобы ее собрать, понадобится еще больше денег. К тому же пентестеры отлично справляются с выявлением возможных векторов компрометации инфраструктуры, а вот на оценке эффективности СЗИ и процессов SOC могут заскучать. Все-таки для этого нужно делать массу рутинных операций, так что сильно обсуждать не будем :)
Для быстрого и безболезненного решения подобных задач лучше использовать средства автопентеста. В нашем случае это PT Dephaze — инструмент для автоматической проверки возможности захвата критичных систем. Давайте разбираться, в каких случаях автопентест-системы могут сильно упростить вам жизнь.
Экспертиза PT Dephaze опирается не только на наш опыт проведения пентестов. В разработке активно используется опыт разных команд PT Expert Security Center.
Низко висящие фрукты
Пентестеры регулярно находят даже в зрелых инфраструктурах классические небезопасные конфигурации и уязвимости. Они могут стать причиной целого ряда атак: на службы сертификации (ADCS), Coerce-атаки (PrinterBug, PetitPotam), протоколы NTLM (NTLM-Relay, NetNTLMv1), Kerberos (Kerbetoastring, ASRepRoastring, NoPAC) и т. д. Это так называемые низко висящие фрукты, которые хорошие пентестеры замечают и эксплуатируют сразу. А могли бы в это время заниматься чем-то посложнее и поинтереснее… Если специалист не тратит время на поиск низко висящих фруктов, он начинает копать глубже и обнаруживает куда более сложные и неочевидные векторы. Мораль проста: не нужно грузить людей скучными задачами!
Но что тогда делать с типовыми уязвимостями и небезопасными конфигурациями? Самый простой вариант — отдать низко висящие фрукты PT Dephaze. Система проанализирует выделенные ей узлы и выдаст рекомендации по устранению проблем безопасности. Отмечу, что некоторые широко распространенные и хорошо изученные атаки (например, спреинг учетных записей или эксплуатация EternalBlue) могут привести к достаточно серьезным последствиям. В этом случае система автопентеста должна запрашивать подтверждение на эксплуатацию в отношении отдельного хоста уже после выполнения безопасной проверки, говорящей о присутствии данной уязвимости. Подобный механизм согласований позволяет гибко принимать решение о проведении тех или иных атак в зависимости от роли целевого актива. Если же автопентест проводится на тестовом стенде, оператор может выбрать режим согласования только критичных атак, чтобы снизить уровень контроля.
И здесь мы плавно подходим еще к одному плюсу средств автоматического пентеста — возможности проверить, были ли найденные недостатки устранены.
В среднем компании проводят пентесты 1–2 раза в год. Собранные по итогам проверок отчеты превращаются в список задач для ИТ- и ИБ-подразделений, и на этом моменте все успокаиваются. Зря! В рекомендациях могут содержаться следующие пункты: отключить старые протоколы SMBv1/NTLMv1, использовать подписи в LDAP и SMB, отказаться от RC4 при авторизации через Kerberos и т. д. Зачастую ИТ-службы противятся подобным изменениям, потому что это обязательно что-то сломает (многие старые системы работают только с устаревшими протоколами). А иногда ИТ-шники даже при всем желании не могут установить необходимые обновления из-за проблем с обратной совместимостью. В этом случае применяются костыли компенсирующие меры, которые не закрывают, а мешают эксплуатировать уязвимости. К примеру, это может быть ограничение сетевого доступа к уязвимым сервисам, дополнительная фильтрация трафика (виртуальный патчинг) или частичное обновление критичных систем.
Если ждать очередного пентеста, об устранении (или неустранении) всех этих недостатков вы узнаете примерно через год. Здесь на помощь бизнесу приходят системы автопентеста. С помощью PT Dephaze можно регулярно проводить проверки и двигаться итерационно: начать с критичных уязвимостей и ошибок конфигурации, проверить, что они устранены, затем перейти к менее опасным недостаткам и т. д.
Проверка ИТ-инфраструктуры
Ни для кого не секрет, что состояние ИТ-инфраструктуры в большинстве организаций (но, конечно же, не в вашей, мой уважаемый читатель) формально оценивается как «у нас все отлично», а на самом деле находится ближе к «скорее всего, все хорошо, но это неточно». Дело в том, что любой современный ИТ-ландшафт динамично меняется: появляются новые сервисы, свежие правила доступа (которые редко инвалидируются) и т. д. Все это сложно контролировать даже при наличии CMDB, IPAM и при выстроенных процессах управления активами. Необновленные сервисы или потерянные активы найдутся всегда, но фиксировать подобные моменты раз в год после проведения пентеста/редтимиинга — не лучшая идея.
Без автоматизации здесь не обойтись. Например, после получения отчета по итогам автопентеста вы сможете быстро скорректировать политику безопасности (возможно, доступ к некоторым узлам стоит сильно ограничить или вообще закрыть). Чтобы оперативно решать подобные задачи, мы реализовали в PT Dephaze механизм целей, позволяющий проверять сетевую доступность конкретных узлов и подсетей.
PT Dephaze выдает не только описание найденных уязвимостей и ошибок конфигурации, но и рекомендации по их устранению. Если же устранение невозможно, а задача решается за счет усиления мониторинга критичных активов, система все равно выдаст оптимальные рекомендации. Например, подскажет, какие ИБ-продукты (SIEM, EDR, NTA, IDS и т. д.) помогут обнаружить нелегитимную активность.
Еще один интересный сценарий использования систем автопентеста связан со слиянием и поглощением компаний (M&A). Предположим, инфраструктура одной или нескольких организаций вливается в материнскую. Что это значит с точки зрения кибербезопасности? В инфраструктуре появится множество новых активов — со всеми проблемами в части ИБ, о которых я упоминал выше. Автопентест вливаемой инфраструктуры позволит быстро оценить реальный уровень безопасности новых активов и упростит глобальный процесс анализа защищенности поглощаемой компании.
Проверка СЗИ
Непрерывная проверка и донастройка СЗИ необходимы для обеспечения защиты компании. Делать это вручную слишком сложно и трудоемко (наше исследование показывает, что крупные организации могут использовать от 10 до 30 разных ИБ-продуктов). Гораздо эффективнее использовать для решения этой задачи средства автопентеста. С помощью PT Dephaze можно проверить весь джентльменский набор современных СЗИ — от FW/NGFW до Deception и Honeypot. Активность системы должна четко фиксироваться имеющимися в компании средствами защиты. Если этого не происходит, они настроены неправильно.
В случае с SIEM, PT Dephaze помогает выявлять проблемы с отсутствием логирования узлов или неполнотой поступающих логов. Например, для выявления атак и проведения Threat Hunting на Windows на конечных точках нужно настроить расширенный аудит, а для Linux — правильно сконфигурировать сервисы логирования (Auditd и др.). Если же события с конечных точек поступают корректно, можно проверить дальнейший пайплайн их обработки: верно ли проводятся нормализация, обогащение и т. д.
Кроме того, важно, чтобы сетевой трафик из критичных сегментов инфраструктуры отправлялся в NTA/IDS/IPS/NDR. Без этого ИБ-решения попросту не смогут находить артефакты, которые оставляют после себя атакующие. Избежать подобных проблем позволит своевременная проверка автопентест-системой с последующим тюнингом СЗИ. Во время тестирования PT Dephaze генерирует сетевой трафик, воспроизводящий активность атакующего, что позволяет проверять как детекты, так и реагирование.
PT Dephaze проверяет доступы не только к типовым сервисам Windows и Linux, но и к другим критичным системам, например GitLab. Это особенно важно для вендоров, ведь если злоумышленники получат доступ к репозиториям, у них появится возможность реализовать атаку supply chain на клиентов компании.
При получении доступа к конечной точке, PT Dephaze пытается провести разведку и горизонтальное перемещение, повысить свои привилегии и извлечь данные с диска и из памяти. В свою очередь, AV/EPP/EDR-система должна будет задетектить и заблокировать эту активность. Если СЗИ промолчат, значит, защита конечных точек отключена, ИБ-продукты не обновлены или же политика реагирования настроена некорректно.
Не могу не упомянуть еще один важный момент, который точно не встречается в вашей инфраструктуре. Речь о состоянии самих средств защиты: хватает ли им места в хранилище, оперативной памяти, ресурсов процессора и т. д. Все это можно проверить с помощью PT Dephaze — например, сравнивая фактический тайминг проходимой атаки и детекта. Да, хорошие СЗИ могут тестировать сами себя, но внешняя объективная оценка точно не будет лишней.
Проверка SOC
Среднее время реагирования/детектирования, процент покрытия мониторингом и другие SLA полезны при оценке общей эффективности SOC, но они не показывают, как он отрабатывает здесь и сейчас — например, если инцидент происходит в ночь с пятницы на субботу или в новогодние праздники (да простят меня коллеги из SOC за такие примеры). Конечно, подобные проверки можно проводить вручную, но это трудозатратно (как минимум потребуется дополнительный специалист в смене), поэтому лучше поручить их средствам автопентеста.
PT Dephaze позволяет гибко настраивать параметры тестирования, вплоть до интенсивности влияния на инфраструктуру. При этом вы получите объективные данные об эффективности всех процессов SOC — от мониторинга до отдельных действий по реагированию. Например, таким образом можно проверить скорость блокировки сетевого доступа скомпрометированного узла или учетной записи.
Кроме того, с помощью инструментов автопентеста можно обучать специалистов первой линии SOC. Идея проста: периодически запускаем PT Dephaze, не уведомляя об этом дежурную смену, и смотрим, как отрабатывают сотрудники. Запуски нужно распределять так, чтобы с некоторой периодичностью затрагивать всех дежурных специалистов. По итогам проверок PT Dephaze собирает подробные отчеты, которые можно использовать для анализа инцидентов и подходов к защите. Таким образом вы избавите себя от необходимости придумывать сферические примеры для тестовых стендов, предоставите команде возможность учиться на реальных кейсах и разнообразите рутину операторов.
***
Автопентесты можно назвать своего рода домашней работой, которую нужно регулярно выполнять перед экзаменом — полноценным тестированием на проникновение. PT Dephaze поможет вам устранить типовые уязвимости и небезопасные конфигурации, проверить эффективность СЗИ и отладить процессы SOC. Благодаря этому команда пентестеров не будет тратить время на очевидные векторы и поможет вам обнаружить куда менее очевидные недостатки защиты.
