1. Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX
ТЕСТИРОВАНИЕ НА ПРОНИКНОВЕНИЕ ИТ-
ИНФРАСТРУКТУРЫ ОАО «РОГА И КОПЫТА»
ОТЧЕТ О РАБОТАХ
2. Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX
ОГЛАВЛЕНИЕ
1 ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ ...............................................................................4
2 ВВЕДЕНИЕ ..................................................................................................................5
2.1 Цель проведения работ ......................................................................................5
2.2 Методика проведения работ ............................................................................6
3 РЕЗУЛЬТАТЫ РАБОТ ...............................................................................................10
4 ОПИСАНИЕ ХОДА РАБОТ .........................................................................................16
4.1 Исследование сетевого периметра ИС ............................................................16
4.1.1 Идентификация сетевого периметра ........................................................16
4.1.2 Исследование системы DNS .......................................................................16
4.1.3 Сканирование портов узлов ......................................................................16
4.1.4 Уязвимости сетевых узлов .........................................................................16
4.2 Анализ защищенности сетевых устройств ......................................................16
4.2.1 Осуществление НСД к сетевому оборудованию ......................................16
4.2.2 Осуществление НСД в технологическую сеть .........................................17
4.3 Анализ защищенности web-приложений ........................................................17
4.3.1 Анализ защищенности web-ресурса XXX ..................................................18
4.3.2 Анализ защищенности web-ресурса YYY ..................................................18
4.3.3 Анализ защищенности web-ресурса ZZZ ..................................................18
4.4 Анализ защищенности ИС РО XXXX .................................................................19
4.4.1 Исследование ИС РО, XXXX .......................................................................19
4.4.2 Аудит ИС РО, XXXX .....................................................................................19
4.5 Анализ защищенности ИС ЦО, XXXX ...............................................................19
Тестирование на проникновение Страница 2 из 24
3. Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX
4.5.1 Исследование ИС ЦО, XXXX .......................................................................19
4.5.2 Получение доступа к серверу XYZ ............................................................19
4.5.3 Анализ защищенности беспроводных сетей в ЦО, XXXX ........................20
4.5.4 Аудит ИС ЦО, XXXX .....................................................................................20
4.6 Сравнение результатов аудита между ИС ЦО, XXXX и ИС РО, XXXX ............21
4.7 Оценка осведомленности сотрудников Заказчика в вопросах ИБ ...............22
5 ПРИЛОЖЕНИЕ А. ИСПОЛЬЗУЕМАЯ КЛАССИФИКАЦИЯ ПРИ ОЦЕНКЕ ИС ПО
ВЕКТОРАМ ПРОНИКНОВЕНИЯ ....................................................................................23
6 ПРИЛОЖЕНИЕ B. ОЦЕНКА МЕХАНИЗМОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 23
7 ПРИЛОЖЕНИЕ C. КЛАССИФИКАЦИЯ ЗЛОУМЫШЛЕННИКОВ .................................23
8 ПРИЛОЖЕНИЕ D. РЕКОМЕНДАЦИИ ПО УСТРАНЕНИЮ УЯЗВИМОСТЕЙ В WEB-
ПРИЛОЖЕНИЯХ ...........................................................................................................23
8.1 Уязвимости типа «Внедрение операторов SQL» ............................................23
8.2 Уязвимости типа «Межсайтовое выполнение сценариев» ............................23
8.3 Уязвимости типа XYZ ........................................................................................24
9 ПРИЛОЖЕНИЕ E. ДОПОЛНИТЕЛЬНЫЕ МАТЕРИАЛЫ ..............................................24
9.1 Приложение 1: Анализ используемых пользователями ИС паролей ..........24
Тестирование на проникновение Страница 3 из 24
4. Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX
1 Обозначения и сокращения
ЗИ - защита информации
ИБ - информационная безопасность
ИР - информационные ресурсы
ИС - информационная система
НСД - несанкционированный доступ
СУИБ - система управления информационной безопасностью
МСЭ - межсетевой экран
ДМЗ - демилитаризованная зона
ОС - операционная система
ЦО - центральный офис
РО - региональный офис
ЛВС - локальная вычислительная сеть
Тестирование на проникновение Страница 4 из 24
5. Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX
2 Введение
Согласно договору №XXX-XX от XX.XX.20XX г. между ЗАО «Позитив
Текнолоджиз» (далее – Исполнитель) и ОАО «Рога и Копыта» (далее –
Заказчик) в XXXX 20XX года выполнялись работы по аудиту безопасности
корпоративной информационной системы ОАО «Рога и Копыта» (далее -
ИС).
Данный документ содержит экспертное заключение о результатах аудита
и оценку защищенности ИС Заказчика, выполненную специалистами
Исполнителя.
2.1Цель проведения работ
Целью проводимых работ являлось повышение защищенности ИС
Заказчика путем:
получения независимой оценки текущего уровня защищенности
ИС от атак со стороны сети Интернет;
получения оценки защищенности внешних Web-приложений;
получения оценки эффективности мер по противодействию
атакам с использованием методов социальной инженерии;
получения оценки уровня осведомленности сотрудников
Заказчика в вопросах информационной безопасности;
демонстрации возможности получения НСД к внутренним
информационным ресурсам Заказчика за счет эксплуатации
одной или нескольких выявленных уязвимостей на внешнем
периметре ИС со стороны сети Интернет;
разработки рекомендаций по повышению уровня защищенности
внешнего периметра ИС и устранению выявленных уязвимостей
в ИС Заказчика.
Тестирование на проникновение Страница 5 из 24
6. Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX
2.2 Методика проведения работ
Работы проводились без уведомления администраторов ИС методом
«черного ящика» 1 от имени внешнего злоумышленника. При проведении
работ специалисты исполнителя придерживались принципа минимизации
нарушения доступности ресурсов ИС Заказчика.
Под понятием «внешний злоумышленник» подразумевается лицо или
группа лиц, состоящих или не состоящих в сговоре, которые в результате
предумышленных или непредумышленных действий потенциально могут
нанести ущерб информационным ресурсам Заказчика. Для определения
типа злоумышленника использовалась классификация, разработанная
Исполнителем (см. раздел 7 на стр. 23).
Для выполнения работ был выбран следующий тип злоумышленника:
[M4-Q6-P1-AE1-AN1-AT1-SI1] – злоумышленник, мотивированный
коммерческим интересом, целью которого является определенный актив,
не имеющий физического и логического доступа к ИС, с практически
полным отсутствием знаний об исследуемой ИС и квалификацией – хакер.
При проведении работ по анализу защищенности беспроводных сетей у
злоумышленника повысился уровень физического доступа [P3] до уровня
доступа внутри периметра защиты и злоумышленник получил тип - [M4-
Q6-P3-AE1-AN1-AT1-SI1].
Помимо этого рассматривался близкий к вышеописанному тип
злоумышленника [M2-Q2-P1-AE1-AN1-AT1-SI1], уровень квалификации
которого колеблется от [Q1] до [Q2]. К данному типу злоумышленников
относятся группы хакеров (обычно подростков), которые, взламывая
Интернет-сайты различных организаций, совершают свои действия из
хулиганских побуждений, редко преследуя какую-либо коммерческую
выгоду.
Целью специалистов Исполнителя было повышение уровня знаний о
системе [SI] и уровня логического доступа [AT] до максимально
возможного.
1
Принцип «черного ящика» заключается в проведении работ по оценке защищенности ИС без
предварительного получения какой-либо информации со стороны Заказчика об исследуемой
ИС.
Тестирование на проникновение Страница 6 из 24
7. Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX
В ходе проведения работ допускалась эксплуатация (по согласованию)
выявленных уязвимостей и разрешалось нарушение целостности и
конфиденциальности обрабатываемой информации в ИС Заказчика.
Процесс проведения работ был построен следующим образом:
Получение предварительной информации о сети Заказчика.
Использовались те же источники информации, которые
доступны злоумышленникам (Интернет, новости, конференции).
На основе собранной информации, специалистами Исполнителя
было выполнено:
• Выявление активных узлов (сканирование сетевых
портов) и составление списка доступных ресурсов (DNS,
Mail, Web и пр.).
• Идентификация версий запущенных сетевых служб и
приложений с целью определения известных
уязвимостей.
• Анализ web-приложений Заказчика. С помощью
автоматизированных утилит и ручными методами
анализировались следующие уязвимости: внедрение
операторов SQL (SQL Injection), межсайтовое выполнение
сценариев (Cross-Site Scripting), подмена содержимого
(Content Spoofing), выполнение команд ОС (OS
Commanding), уязвимости, связанные с некорректной
настройкой механизмов аутентификации и авторизации, и
др.
• Попытка осуществления НСД к ресурсам ИС за счет
эксплуатации одной или нескольких выявленных
уязвимостей в ИС Заказчика.
• Расширение прав доступа и сбор информации на
уязвимых узлах.
Проведение социотехнического тестирования и оценка
осведомленности пользователей ИС.
Анализ собранной информации и разработка аналитического
отчета о проведенном исследовании ИС.
Разработка рекомендаций по исправлению найденных
уязвимостей и ликвидации выявленных угроз.
Тестирование на проникновение Страница 7 из 24
8. Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX
Процесс исследования ИС Заказчика в рамках проводимых специалистами
Исполнителя работ был построен таким образом, чтобы охватить все
основные объекты атаки в ИС Заказчика (см. Рис. 1).
Сетевая инфраструктура;
Беспроводные сети;
Серверные системы;
Web-приложения;
Рабочие станции сотрудников.
В ходе выполнения работ специалисты Исполнителя использовали
методики и инструменты собственной разработки, а также передовой
опыт авторитетных организаций, таких как Open Source Security Testing
Methodology Manual (OSSTMM), Standards for Information Systems Auditing
(ISACA), Web Application Security Consortium (WASC), Open Web Application
Security Project (OWASP).
Тестирование на проникновение Страница 8 из 24
9. Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX
Уязвимости рабочих
мест пользователей
Недостатки
сетевой
Уязвимости архитектуры
беспроводных сетей
Недостатки сетевых
служб и СУБД
Уязвимости Web-
приложений
Рабочее место
исследователя
Рис. 1 Процесс исследования ИС
Тестирование на проникновение Страница 9 из 24
10. Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX
3 Результаты работ
В ходе выполнения работ специалистам Исполнителя удалось обойти
защитные механизмы и осуществить несанкционированный доступ к
информационным системам, обрабатывающим информацию разного
уровня конфиденциальности. В том числе успешно осуществлен НСД ко
всем внутренним и внешним ресурсам (в том числе к серверу XYZ ) ИС в
соответствии с пожеланиями Заказчика в ходе проведения работ
Исполнителем. Таким образом, злоумышленник получил тип [M4-Q6-P3-
AE4-AN5-AT3-SI5].
По оценке Исполнителя использование обнаруженных недостатков может
привести к нарушению непрерывности бизнес-процессов
Заказчика и к утечке сведений, относящихся к коммерческой
тайне Заказчика. В ходе выполнения работ специалистами Исполнителя
была продемонстрирована возможность эксплуатации различных
векторов атаки, которые приводят к указанным последствиям.
В результате выполнения работ специалистам Исполнителя удалось:
• получить административные привилегии во всех доменах, на
всех почтовых серверах и рабочих станциях путем получения
административных привилегий в качестве Enterprise Admin в
доменах XX1.YY1 (ЦО, XXXX), XX2.YY2 (РО, XXXX).
• осуществить НСД к серверу XYZ, обрабатывающему наиболее
важную для Заказчика информацию.
• получить уровень доступа privileges_15 на магистральных
каналах связи.
• получить доступ к системе SAP с различными привилегиями (в
частности к модулю XXYY с привилегиями AABBCC).
• продемонстрировать возможность получения НСД через
беспроводное соединение к ИС ЦО (XXXX) с использованием
уязвимостей на рабочих станциях сотрудников Заказчика.
• продемонстрировать недостаточную осведомленность
сотрудников Заказчика в вопросах, связанных с обеспечением
информационной безопасности.
• осуществить доступ к официальному сайту Заказчика
(www.XXXX.ru) с правами администратора web-приложения.
• XXXX YYYY ZZZZ
Тестирование на проникновение Страница 10 из 24
11. Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX
Выявленные бизнес-риски:
• нарушение доступности ВСЕХ информационных ресурсов ИС
Заказчика (ЦО XXXX, РО XXXX), включая технологические
сети XXXX.
• получение доступа к системам, критически важным для бизнес-
процессов (серверы XYZ , ZYX и пр.)
• Проникновение во внутреннюю сеть Заказчика:
o получение доступа ко всем внутренним ресурсам
(коммерческая информация, электронная почта,
файловые хранилища, базы данных и т.д.);
o получение доступа к магистральному оборудованию с
максимальными привилегиями;
o получение доступа к доменам XX1.YY1 (ЦО, XXXX),
XX2.YY2 (РО XXXX), XX3.YY3 (РО XXXX) с максимальными
привилегиями Enterprise Admin (контроль над всеми
информационными потоками в ИС Заказчика ).
Основные результаты работ по каждому из этапов приведены в
Табл. 1.
Тестирование на проникновение Страница 11 из 24
12. Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX
Табл. 1 Основные результаты
Этап работ Результат Степень риска
Результат 1
Результат 2
Исследование сетевого периметра ИС Критический
…
Результат N
Результат 1
Анализ защищенности сетевых устройств Результат 2
Критический
…
Результат N
Результат 1
Результат 2
Анализ защищенности web-приложений Критический
…
Результат N
Результат 1
Результат 2
Анализ защищенности беспроводных сетей Критический
…
Результат N
Результат 1
Результат 2
Оценка осведомленности сотрудников Заказчика
Высокий
в вопросах информационной безопасности
…
Результат N
Результат 1
Результат 2
Анализ защищенности внутренних сетей
Высокий
…
Результат N
Для оценки состояния ИБ Заказчика по векторам проникновения в ИС
Тестирование на проникновение Страница 12 из 24
13. Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX
использовалась классификация, разработанная Исполнителем (см. раздел
5 на стр. 23). В соответствии с ней текущее состояние ИБ Заказчика
находится на уровне, близкому к самому низкому (см. Табл. 2).
Табл. 2 Оценка состояния ИБ Заказчика по векторам проникновения
Вектор проникновения Текущее состояние Оценка
Сетевая инфраструктура Описание состояния уровня 2 2
Сетевые устройства Описание состояния уровня 1 1
Беспроводные сети Описание состояния уровня 2 2
Сетевые службы и СУБД Описание состояния уровня 2 2
Web-приложения Описание состояния уровня 2 2
Рабочие места Описание состояния уровня 3
3
пользователей
Рис. 2 Оценка состояния ИБ Заказчика по векторам проникновения
Полученные в ходе выполнения работ данные использовались
Исполнителем для оценки применяемых Заказчиком механизмов
обеспечения информационной безопасности. Оценка производилась в
соответствии с приведенной в разделе 6 на стр. 23 классификацией.
Результаты оценки показывают, что текущий уровень реализации этих
механизмов близок к минимальному (см. Табл. 3).
Тестирование на проникновение Страница 13 из 24
14. Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX
Табл. 3 Оценка применяемых Заказчиком механизмов обеспечения ИБ
Применяемый механизм
Текущее состояние Оценка
обеспечения ИБ
Управление конфигурацией Описание состояния уровня 3 3
Управление межсетевыми Описание состояния уровня 2
2
экранами
Управление учетными Описание состояния уровня 3
3
записями
Управление Описание состояния уровня 2
2
аутентификацией
Безопасность персональных Описание состояния уровня 2
2
данных пользователей
Осведомленность Описание состояния уровня 2
2
пользователей
Антивирусная защита Описание состояния уровня 3 3
Управление уязвимостями и Описание состояния уровня 2
2
обновлениями
Управление инцидентами Описание состояния уровня 2 2
Криптографическая защита Описание состояния уровня 2 2
Тестирование на проникновение Страница 14 из 24
15. Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX
Рис. 3 Оценка применяемых Заказчиком механизмов обеспечения ИБ
Подобная оценка обусловлена тем, что СУИБ Заказчика реализована не в
полном объеме. Существующие процессы в СУИБ Заказчика
являются неэффективными в настоящее время и не отвечают
требованиям бизнеса.
XXX ZZZ
Тестирование на проникновение Страница 15 из 24
16. Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX
4 Описание хода работ
4.1Исследование сетевого периметра ИС
Описание этапа…
4.1.1 Идентификация сетевого периметра
Подробное описание, каким образом и из каких источников была собрана
информация…
4.1.2 Исследование системы DNS
Описание…
4.1.3 Сканирование портов узлов
Описание, общая картина обнаруженных сервисов…
4.1.4 Уязвимости сетевых узлов
Описание, общая картина инструментального исследования, подробное
описание выявленных уязвимостей и способов их устранения
прилагаются на DVD-диск…
4.2Анализ защищенности сетевых устройств
Описание этапа…
4.2.1 Осуществление НСД к сетевому оборудованию
Подробное описание хода работ, выявленных уязвимостей, ранжирование
их по степени потенциальной опасности, результаты от их
использования, способы устранения, уровень полученных привилегий и
полученный уровень знаний об ИС.
Тестирование на проникновение Страница 16 из 24
17. Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX
4.2.2 Осуществление НСД в технологическую сеть
Подробное описание хода работ, выявленных уязвимостей, ранжирование
их по степени потенциальной опасности, результаты от их
использования, способы устранения, уровень полученных привилегий и
полученный уровень знаний об ИС.
4.3Анализ защищенности web-приложений
Описание этапа, аналитика…
Рис. 4 Распределение уязвимостей в web-приложениях по категориям
На Рис. 5 показано распределение уязвимостей по причинам их
возникновения.
Тестирование на проникновение Страница 17 из 24
18. Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX
Рис. 5 Распределение уязвимостей в web-приложениях по причинам их
возникновения
Аналитика, совокупная таблица по всем обнаруженным уязвимостям…
4.3.1 Анализ защищенности web-ресурса XXX
Результат использования наиболее критических уязвимостей, таблица с
подробным описанием каждой обнаруженной уязвимости, ранжирование
их по степени потенциальной опасности, способы их устранения.
4.3.2 Анализ защищенности web-ресурса YYY
Результат использования наиболее критических уязвимостей, таблица с
подробным описанием каждой обнаруженной уязвимости, ранжирование
их по степени потенциальной опасности, способы их устранения.
4.3.3 Анализ защищенности web-ресурса ZZZ
Результат использования наиболее критических уязвимостей, таблица с
подробным описанием каждой обнаруженной уязвимости, ранжирование
их по степени потенциальной опасности, способы их устранения.
Тестирование на проникновение Страница 18 из 24
19. Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX
4.4Анализ защищенности ИС РО XXXX
Описание этапа…
4.4.1 Исследование ИС РО, XXXX
Подробное описание хода работ, выявленных уязвимостей, ранжирование
их по степени потенциальной опасности, результаты от их
использования, способы устранения, уровень полученных привилегий и
полученный уровень знаний об ИС.
4.4.2 Аудит ИС РО, XXXX
Аналитика, на основе собранных данных…
4.5Анализ защищенности ИС ЦО, XXXX
Описание этапа…
4.5.1 Исследование ИС ЦО, XXXX
Подробное описание хода работ, выявленных уязвимостей, ранжирование
их по степени потенциальной опасности, результаты от их
использования, способы устранения, уровень полученных привилегий и
полученный уровень знаний об ИС.
4.5.2 Получение доступа к серверу XYZ
Подробное описание хода работ, выявленных уязвимостей, ранжирование
их по степени потенциальной опасности, результаты от их
использования, способы устранения, уровень полученных привилегий и
полученный уровень знаний об ИС.
Дополнительные материалы на прилагаемом DVD-диске:
С дополнительными материалами можно ознакомиться,
обратившись к каталогу «XYZ» на прилагаемом к отчету DVD-
диске.
Тестирование на проникновение Страница 19 из 24
20. Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX
Видео демонстрация на прилагаемом DVD-диске:
С видео-материалом можно ознакомиться, обратившись к каталогу
«XYZ» на прилагаемом к отчету DVD-диске.
4.5.3 Анализ защищенности беспроводных сетей в ЦО,
XXXX
Подробное описание хода работ, выявленных уязвимостей, ранжирование
их по степени потенциальной опасности, результаты от их
использования, способы устранения, уровень полученных привилегий и
полученный уровень знаний об ИС.
4.5.4 Аудит ИС ЦО, XXXX
Аналитика, на основе собранных данных…
Рис. 6 Сравнение состояние ИБ ИС Заказчика с CIS Windows 2003 (1)
Аналитика…
Тестирование на проникновение Страница 20 из 24
21. Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX
4.6Сравнение результатов аудита между ИС ЦО,
XXXX и ИС РО, XXXX
Аналитика, на основе собранных данных…
Интегральная уязвимость определяется по формуле: N5 * 5
+ N3 * 3 + N4 + N2 + N1 , где:
N5 - количество серьезных уязвимостей
N4 - количество подозрений на уязвимость высокого уровня
N3 - количество уязвимостей среднего уровня
N2 - количество подозрений на уязвимость среднего уровня
N1 - количество уязвимостей низкого уровня
Рис. 7 Сравнение состояния защищенности между ИС ЦО, XXXX и ИС РО, XXXX
Аналитика…
Тестирование на проникновение Страница 21 из 24
22. Коммерческая тайна ОАО «Рога и Копыта»
Россия, 123456, Москва, ул. XXXXX
4.7Оценка осведомленности сотрудников
Заказчика в вопросах ИБ
оценка эффективности программы повышения осведомленности
сотрудников Заказчика;
статистика по каждому из типов атаки и действиям пользователей
(по целевым группам, регионам и т.д.);
информация о сотрудниках, ненадлежащим образом выполняющих
требования по обеспечению ИБ.
Тестирование на проникновение Страница 22 из 24
23. 5 Приложение А. Используемая
классификация при оценке ИС по
векторам проникновения
Подробное описание…
6 Приложение B. Оценка
механизмов информационной
безопасности
Подробное описание…
7 Приложение C. Классификация
злоумышленников
Подробное описание…
8 Приложение D. Рекомендации по
устранению уязвимостей в web-
приложениях
8.1Уязвимости типа «Внедрение операторов
SQL»
Подробное описание…
8.2Уязвимости типа «Межсайтовое выполнение
сценариев»
Подробное описание…
24. 8.3Уязвимости типа XYZ
Подробное описание…
9 Приложение E. Дополнительные
материалы
9.1Приложение 1: Анализ используемых
пользователями ИС паролей
Аналитика отдельным документом.