earth-grid-select-language-button

מבדקי חוסן- גלו הכל על האקרים אתיים בראיון עם בודק חדירות

האקרים כובע לבן

ראיון עם בודק חדירות- מבט פנימה לתוך מבדקי החוסן

תורת הלחימה הידועה של סון דזה אומרת דע את האויב, ואין המחשה יותר רלוונטית לאמירה זו מאשר בדיקות החדירה. הסימולציה המציאותית הזו מדמה פריצת סייבר אמיתית, ועל מבצעי הבדיקה להיות לא רק מוכשרים ויצירתיים, אלא להיכנס לנעליהם ולראשיהם של האקרים זדוניים, על מנת לנהל מערכה עקשנית כנגד מערכות הגנת הסייבר של ארגונים על מנת למצוא פגיעויות.

בואו לקרוא ראיון עם אחד מבודקי החדירות של רד-אנטרי, חברת אבטחת מידע המתמחה במתן שירותי בדיקות חוסן, עם ניסיון של יותר מעשור בליווי ארגונים בפרויקטים של סייבר.

נתחיל משאלה פשוטה- מה זה בעצם מבדק חדירה?

ה- Penetration Testing היא דרך המאפשרת להעריך את רמת האבטחה של מערכות, אפליקציות, שירותי מובייל ותשתיות. בדיקת החדירות מתחילה במיפוי הנכסים הדיגיטלים של הארגון, כולל אינטגרציה עם מערכות צד ג', התנהגות משתמשים וכדומה.

מטרת הבדיקה היא לבדוק את רמת האבטחה של התשתית הארגונית. כשמדובר במבדקי חדירות תשיתים, המטרה היא לזהות את הפגיעויות החשופות ביותר באבטחה של תשתיות הרשת הפנימית של ארגון, ואפשר לחלק את בדיקות החוסן התשתיתיות ל-2, על פי כמות הגישה שאני כבודק מקבל.

אם זה מבדק חיצוני אז אנחנו מדמים סיטואציה של תוקף שמגיע ללא מידע פנימי כלשהו ומנסה לחדור למערכות הארגון.

אם מדובר במבדק פנימי המטרה היא לדמות מציאות של תקיפה מותך הארגון(איום פנימי), או לבדוק במידה ותוקף חיצוני הצליח להשיג גישה לארגון מה רמת הנזק וגישה שהוא יכול להשיג.

סוגי האקרים- האקר כובע לבן שמבצע מבדקי חדירות

כל כמה זמן מומלץ לבצע מבדק חדירות תשתיתי?

על פי הסטנדרטים המקובלים מומלץ לבצע מבדק על בסיס שנתי  (ישנם תקנים שגם דורשים זאת).

מי צריך לבצע מבדקי חדירות תשתיתיים?

מי שמחויב לבצע מבדקי חוסן הם במיוחד חברות המתעסקות במידע רגיש כמו מידע רפואי, תעשייתי וכלכלי. חברות אלה לרוב גם מחויבות לעשות את הבדיקה על מנת לעמוד בתקנים השונים, המוכרים בהם  GDPR, SOC HIPAA, אבל יש עוד הרבה ולכל תעשייה התקן הרלוונטי לה.

אבל חשוב מאוד לציין, שלכל חברה שיש לה נכסים דיגיטלים ומאחסנת מידע בצורה דיגיטלית, שזה פחות או יותר כולם, מומלץ לבצע מבדקי חדירות על מנת להגן בצורה טובה מהתקפת סייבר.

בסופו של דבר תקיפה זאת ההגנה הטובה ביותר, ומבדק חדירות נותן תמונה ממדויקת על עד כמה הארגון פגיע.

איך מתחילים לבצע בדיקת חדירות לרשת ארגונית?

בהתחלה אני בונה תכנית פעולה למבדק ומבצע מחקר אודות המטרה שלי. הכלי הראשון שאני מתחיל בו הוא NMAP , אחד הכלים הפופלרים ביותר בקרב בודקי חדירות. NMAP הוא קיצור של Mapper Network, והוא קוד פתוח מבוסס לינוקס שסורק כתובות IP ויציאות רשת. הכלי עוזר למפות את הרשת במהירות ללא צורך בפקודות מתוחכמות ותומך בסקריפטים מורכבים באמצעות מנוע תסריט שמשמש כמאגר נתונים.

ככה אני יכול לתת לו כתובת IP, והוא ינסה להתחבר לפורטים אחד אחרי השני. לפי התשובות שהוא מציג לי, אפשר לגלות מידע כמו האם יש שרתים שרצים על אותו נקודת קצה, הגרסאות שלהם, האם קיימים רכיבים ישנים בעלי פגיעויות ידועות שאפשר לנצל, וכדומה.

NMAP-tool
כלי NMAP המפורסם שמופיע בסרטים וסדרות

אחרי זה אני עבר למקורות שפתוחים לכל דורש באינטרנט, מה שנקרא osint, לדוגמא לינקדין. אפשר להשיג משם מידע אודות בעלי תפקידים בחברה וטכנולוגיות בשימושה, מה יכול לסייע לביצוע מתקפת פישינג בהמשך. אני גם נוטה לחפש במקורות ציבוריים כמו בלוגים, רישום ממשלתי, אתר אינטרנט ארגוני,  github, רשומות dns על כל סוגיה, וכדומה.

קיימים מספר כלים המסייעים לאוטומציה של התהליך כגון  threharvster ו- spiderfoot, שאוספים ויוצרים רשימה של כל מקורות המידע הנגישים.

כל זה עוזר לי לבנות תמונת מצב על המטרה ועל הנכסים בבעלותו, והמידע המתקבל מהשלב הזה הוא בעצם מה שיקדם אותי בשלבים הבאים של המבדק.

אחרי שאני ממצה את כל הכלים הזמינים לאיסוף מידע, אני לוקח את כל מה שגיליתי ומתחיל לחפש בכל נקודות הגישה חולשות במערך ההגנה.

 אם מדובר באתר אינטרנט אז אני אשתמש בסורקים כמו burp, המאפשר לי לבצע מתקפת MITM, ו-nesus, אחד הכלים הכי שימושיים למציאת חולשות ברשת ארגונית.לקריאה מעמיקה על כל הכלים של בודקי חדירות, עברו למאמר המלא שלנו.

חשוב לציין כמובן שכל הכלים שאנחנו משתמשים בהם הם כלים רשמיים, שנבדקו ונמצא שנקיים מפגיעויות וווירוסים.

אחפש  תיקיות ודפים מוסתרים,  וכמובן אעבור ידנית על כלל רכיבי האתר בניסיון להזריק קוד זדוני לשדות input ובקשות. בנוסף, אבחן באופן כללי את התנהגות האתר וצורת העבודה, על מנת לאתר נקודת חולשה שיאפשרו לי איזושהי פרצה- הערות בקוד שנשכחו, ניהול פריץ כתובות, api keys וכל חולשה אחרת שתעזור לי להשיג גישה ראשונית.

אם מדובר בכתובת IP חשופה אז אשתמש בכלים כמו nmap כדי לגלות איזה שירותים הוא מנגיש לרשת החיצונית, ואנסה למצוא חולשה פוטנציאלית- כמו שרתי FTP ללא סיסמה, שרתי SMTP, חיבור RDP, שרותי שיתוף כמו ,SMB ובכללי כל מידע על תוכן הנקודת קצה. ככל שיותר מידע זולג החוצה ככה יותר קל למצוא נקודת חולשה.

בשלב הבא אנצל את החולשות שנמצאו כדי להשיג גישה ראשונית לרשת – אם לדוגמה השגתי גישה לממשק ניהול של אתר אינטרנט, אני אנצל אותה כדי לפתוח shell על שרת ה- web.

במקרה אחר שבו מצאתי שרת לא מעודכן, אנצל פגיעויות ידועות במערכות ההפעלה.

באיזה שלב מבינים שחדרתם לארגון?

ברגע שהצלחתי להשיג גישה כלשהי שלא אמורה להיות נגישה מבחוץ לתוך הרשת הארגונית. מהשלב הזה זה השאלה היחידה היא כמה זמן יעבור עד שאתגלה, וכמה רחוק אצליח לנצל את הגישה הזאת אל מול ההגנות הפנימיות.

מה עושים לאחר שהשגתם גישה לרשת הארגונית?

לאחר שהשגתי גישה ראשונית אל הרשת, אנסה "לקנות" לעצמי זמן, כך שגם אם מגלים את הפרצה המקורית והיא נחסמת תהיה לי דריסת רגל בתוך המערכת. לפעמים אעשה זאת על ידי  הסתרה של הרכיב הזדוני בתוך רכיבים לגיטימיים במערכת בשיטה ששמה rootkits,  לעיתים אצור משתמש מוסתר שאוכל להשתמש בו או להבנות את הגישה שלי ברשימת פעולות שהמערכת מבצעת בכל פעם שהיא עולה.

מכאן אתחיל בניצול מקסימלי של הגישה שלי, בין אם זה על ידי השגת מידע רגיש, ריגול אחרי תעבורת הרשת, האזנות דרך מיקרופונים ומצלמות, או ביסוס שליטה על שירותים חיוניים ומערכות.

אנסה לעלות את ההרשאות שלי מרמת משתמש רגיל לרמה הגבוהה ביותר. את זה נבצע בעזרת מגוון טכניקות- אם חסרים מנגנוני חסימה של התקנת תוכנת על ידי משתמשים או ניהול הרשאות לקוי, ננצל זאת.

לאחר מכן, אנסה להשיג כמה שיותר מידע מחיפוש תיקיות רגישות שנגישות ברשת לביצוע מניפולציה לשירותים, כמו kerberos שמאחסן סיסמאות ופקוטוקולי אימות חשבון. המטרה היא בעצם לבצע dump, כלומר לגנוב מידע על פרטי כניסה לחשבונות.

אני יכול גם לבצע איסוף מידע על מבנה הרשת והדומיין עם כלים כמו bloodhound, אבל באופן כללי המטרה היא לנסות לחפש בכל מקום אפשרי מידע שניתן לנצל לרעה.

האם הסיסמא שלכם מוגנת

האם קורה שבמהלך בדיקת החוסן אתם נחסמים? 

קורה לא מעט שאנו נחסמים, בעיקר על ידי ארגונים שעומדים בתקינות כאלה ואחרות ועוקבות אחר הסטנדרטים המקובלים הכוללים שמוש במערכות edr ומערכות SIEM.

באיזה שלב אתם מחליטים לעצור את ה-Pen Test?

בשלב שבו אני מרגיש שכיסיתי בצורה משמעותית את דרכי המתקפה הקיימות והשגתי גישה משמעותית,  או שלחילופין שכלל הדרכים חסומות ואין שום חור ברשת ההגנה.

וכמובן אנחנו תמיד עוצרים לפני השלב של ביצוע מתקפות גורמות נזק או שיבוש לתפקוד העסק, לדוגמה לא נבצע ddos על סביבת production, מתקפות של מחיקת נותנים ושיבוש שרותים וכמובן שלא נוציא לפועל מתקפות Ransomware על מחשבים שאין בהם חסימה של הרצת קבצים. אנחנו תמיד נעצור בשלב של הדגמת יכולות ופוטנציאל הנזק.

Bots

כאן מגיע השלב שאני מבצע ניתוח של כל המידע שנצבר במהלך הבדיקה, ומתרגם אותו לדו"ח בשביל הלקוח שמגלם בתוכו את כלל הפגיעויות והדרכים שאפשרו לי לפרוץ בהצלחה למערכת.

הדו"ח מרכז בשביל הלקוח את חולשות מערך ההגנה, הנזק שהתאפשר כתוצאה מקיום החולשה וכמובן המלצות לתיקון ודרכי מניעה מתקפות דומות. הדו"ח כולל צילומי מסך וראיות אחרות שנקראות הדגמת יכולת, שמדגימים את פוטנציאל הנזק מבלי לבצע את מלוא המתקפה.


האם כל הממצאים חמורים באותה מידה?

ממש לא, הממצאים מחולקים לפי הקריטריונים של חומרת ההשפעה שלהם, כמה קשה לנצל אותם ומה סבירות השימוש בהם. ממצא בעל השפעה חמורה, שקל לנצל אותו והסבירות לניצו היא גובהה, נסווג ברמה קריטית מאוד.

מה הממצאים הכי מעניינים?

אני חובב גדול של אירוניה, אז כשאני מוצא חולשות דווקא באותם מערכות אבטחה שאמורות להגן על התשתית אני מופתע- כמו חולשות בחומת אש של מערכות הגנה שהוטמעו.

ומה הממצאים הכי נפוצים?

הרבה מאוד פעמים החולשות נובועות מגרסאות ישנות חוסר עדכון של תוכנות, ציוד וכן מהגדרה לא נכונה של שרותים ורכיבים שונים. יש גם הרבה פעמים שמדובר בחוסר תחזוקה וניהול, ואפילו חוסר הגדרה נכונה של מוצרי אבטחה או העידר שלהם, מה שהופך את המתקפה על הארגון לקלה. האירוניה היא שאלו גם דברים שקל מאוד לתקן אותם, אז אם ארגונים מחפשים איך להתייעל מבחינת הגנת סייבר, שיפנו דבר ראשון למרכיבים האלה.

אם אתם בעלי עסק או חלק מהצוות הטכני של ארגון, פנו לחברות אבטחת מידע להתייעצות בנוגע שירותי מבדקי חדירות, ומנעו את מתקפת הסייבר הבאה.

שיתוף ב facebook
שיתוף ב twitter
שיתוף ב whatsapp
שיתוף ב linkedin

בואו לקבל דו"ח לדוגמא
של בדיקת חדירות

מבדק חדירות רדאנטרי

העדכונים האחרונים
בעולם הסייבר

חדשות סייבר

חדשות סייבר 02/10/2022

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.

חדשות סייבר

חדשות סייבר 18/9/2022

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.

בואו נאפיין את הפרויקט שלכם

בואו לקבל דו"ח לדוגמא
של בדיקת חדירות

מבדק חדירות רדאנטרי

העדכונים האחרונים
בעולם הסייבר

חדשות סייבר

חדשות סייבר 02/10/2022

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.

חדשות סייבר

חדשות סייבר 18/9/2022

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.