ראיון עם בודק חדירות

תורת הלחימה הידועה של סון דזה אומרת דע את האויב, ואין המחשה יותר רלוונטית לאמירה זו מאשר בדיקות החדירה. הסימולציה המציאותית הזו מדמה פריצת סייבר אמיתית, ועל מבצעי הבדיקה להיות לא רק מוכשרים ויצירתיים, אלא להיכנס לנעליהם ולראשיהם של האקרים זדוניים, על מנת לנהל מערכה עקשנית כנגד מערכות הגנת הסייבר של ארגונים על מנת למצוא פגיעויות.

בואו לקרוא ראיון עם אחד מבודקי החדירות של רד-אנטרי, חברת אבטחת מידע המתמחה במתן שירותי בדיקות חוסן, עם ניסיון של יותר מעשור בליווי ארגונים בפרויקטים של סייבר.

מה זה מבדק חדירה?

ה- Penetration Testing היא דרך המאפשרת להעריך את רמת האבטחה של מערכות, אפליקציות, שירותי מובייל ותשתיות. בדיקת החדירות מתחילה במיפוי הנכסים הדיגיטלים של הארגון, כולל אינטגרציה עם מערכות צד ג', התנהגות משתמשים וכדומה.

מטרת הבדיקה היא לבדוק את רמת האבטחה של התשתית הארגונית. כשמדובר במבדקי חדירות תשיתים, המטרה היא לזהות את הפגיעויות החשופות ביותר באבטחה של תשתיות הרשת הפנימית של ארגון, ואפשר לחלק את בדיקות החוסן התשתיתיות ל-2, על פי כמות הגישה שאני כבודק מקבל.

אם זה מבדק חיצוני אז אנחנו מדמים סיטואציה של תוקף שמגיע ללא מידע פנימי כלשהו ומנסה לחדור למערכות הארגון.

אם מדובר במבדק פנימי המטרה היא לדמות מציאות של תקיפה מותך הארגון(איום פנימי), או לבדוק במידה ותוקף חיצוני הצליח להשיג גישה לארגון מה רמת הנזק וגישה שהוא יכול להשיג.

כל כמה זמן מומלץ לבצע מבדק חדירות?

על פי הסטנדרטים המקובלים מומלץ לבצע מבדק על בסיס שנתי  (ישנם תקנים שגם דורשים זאת).

מי צריך לבצע מבדקי חדירות?

מי שמחויב לבצע מבדקי חוסן הם במיוחד חברות המתעסקות במידע רגיש כמו מידע רפואי, תעשייתי וכלכלי. חברות אלה לרוב גם מחויבות לעשות את הבדיקה על מנת לעמוד בתקנים השונים, המוכרים בהם  GDPR, SOC HIPAA, אבל יש עוד הרבה ולכל תעשייה התקן הרלוונטי לה.

אבל חשוב מאוד לציין, שלכל חברה שיש לה נכסים דיגיטלים ומאחסנת מידע בצורה דיגיטלית, שזה פחות או יותר כולם, מומלץ לבצע מבדקי חדירות על מנת להגן בצורה טובה מהתקפת סייבר.

בסופו של דבר תקיפה זאת ההגנה הטובה ביותר, ומבדק חדירות נותן תמונה ממדויקת על עד כמה הארגון פגיע.

שלבים בביצוע מבדק חדירות

איך ניגשים לבצע מבדק חוסן?

בהתחלה אני בונה תכנית פעולה למבדק ומבצע מחקר אודות המטרה שלי. הכלי הראשון שאני מתחיל בו הוא NMAP , אחד הכלים הפופלרים ביותר בקרב בודקי חדירות. NMAP הוא קיצור של Mapper Network, והוא קוד פתוח מבוסס לינוקס שסורק כתובות IP ויציאות רשת. הכלי עוזר למפות את הרשת במהירות ללא צורך בפקודות מתוחכמות ותומך בסקריפטים מורכבים באמצעות מנוע תסריט שמשמש כמאגר נתונים.

ככה אני יכול לתת לו כתובת IP, והוא ינסה להתחבר לפורטים אחד אחרי השני. לפי התשובות שהוא מציג לי, אפשר לגלות מידע כמו האם יש שרתים שרצים על אותו נקודת קצה, הגרסאות שלהם, האם קיימים רכיבים ישנים בעלי פגיעויות ידועות שאפשר לנצל, וכדומה.

אחרי זה אני עבר למקורות שפתוחים לכל דורש באינטרנט, מה שנקרא osint, לדוגמא לינקדין. אפשר להשיג משם מידע אודות בעלי תפקידים בחברה וטכנולוגיות בשימושה, מה יכול לסייע לביצוע מתקפת פישינג בהמשך. אני גם נוטה לחפש במקורות ציבוריים כמו בלוגים, רישום ממשלתי, אתר אינטרנט ארגוני,  github, רשומות dns על כל סוגיה, וכדומה.

קיימים מספר כלים המסייעים לאוטומציה של התהליך כגון  threharvster ו- spiderfoot, שאוספים ויוצרים רשימה של כל מקורות המידע הנגישים.

כל זה עוזר לי לבנות תמונת מצב על המטרה ועל הנכסים בבעלותו, והמידע המתקבל מהשלב הזה הוא בעצם מה שיקדם אותי בשלבים הבאים של המבדק.

אחרי שאני ממצה את כל הכלים הזמינים לאיסוף מידע, אני לוקח את כל מה שגיליתי ומתחיל לחפש בכל נקודות הגישה חולשות במערך ההגנה.

 אם מדובר באתר אינטרנט אז אני אשתמש בסורקים כמו burp, המאפשר לי לבצע מתקפת MITM, ו-nesus, אחד הכלים הכי שימושיים למציאת חולשות ברשת ארגונית.לקריאה מעמיקה על כל הכלים של בודקי חדירות, עברו למאמר המלא שלנו.

חשוב לציין כמובן שכל הכלים שאנחנו משתמשים בהם הם כלים רשמיים, שנבדקו ונמצא שנקיים מפגיעויות וווירוסים.

אחפש  תיקיות ודפים מוסתרים,  וכמובן אעבור ידנית על כלל רכיבי האתר בניסיון להזריק קוד זדוני לשדות input ובקשות. בנוסף, אבחן באופן כללי את התנהגות האתר וצורת העבודה, על מנת לאתר נקודת חולשה שיאפשרו לי איזושהי פרצה- הערות בקוד שנשכחו, ניהול פריץ כתובות, api keys וכל חולשה אחרת שתעזור לי להשיג גישה ראשונית.

אם מדובר בכתובת IP חשופה אז אשתמש בכלים כמו nmap כדי לגלות איזה שירותים הוא מנגיש לרשת החיצונית, ואנסה למצוא חולשה פוטנציאלית- כמו שרתי FTP ללא סיסמה, שרתי SMTP, חיבור RDP, שרותי שיתוף כמו ,SMB ובכללי כל מידע על תוכן הנקודת קצה. ככל שיותר מידע זולג החוצה ככה יותר קל למצוא נקודת חולשה.

בשלב הבא אנצל את החולשות שנמצאו כדי להשיג גישה ראשונית לרשת – אם לדוגמה השגתי גישה לממשק ניהול של אתר אינטרנט, אני אנצל אותה כדי לפתוח shell על שרת ה- web.

במקרה אחר שבו מצאתי שרת לא מעודכן, אנצל פגיעויות ידועות במערכות ההפעלה.

באיזה שלב מבינים שחדרתם לארגון?

ברגע שהצלחתי להשיג גישה כלשהי שלא אמורה להיות נגישה מבחוץ לתוך הרשת הארגונית. מהשלב הזה זה השאלה היחידה היא כמה זמן יעבור עד שאתגלה, וכמה רחוק אצליח לנצל את הגישה הזאת אל מול ההגנות הפנימיות.

מה עושים לאחר השגת גישה לרשת הארגונית?

לאחר שהשגתי גישה ראשונית אל הרשת, אנסה "לקנות" לעצמי זמן, כך שגם אם מגלים את הפרצה המקורית והיא נחסמת תהיה לי דריסת רגל בתוך המערכת. לפעמים אעשה זאת על ידי  הסתרה של הרכיב הזדוני בתוך רכיבים לגיטימיים במערכת בשיטה ששמה rootkits,  לעיתים אצור משתמש מוסתר שאוכל להשתמש בו או להבנות את הגישה שלי ברשימת פעולות שהמערכת מבצעת בכל פעם שהיא עולה.

מכאן אתחיל בניצול מקסימלי של הגישה שלי, בין אם זה על ידי השגת מידע רגיש, ריגול אחרי תעבורת הרשת, האזנות דרך מיקרופונים ומצלמות, או ביסוס שליטה על שירותים חיוניים ומערכות.

אנסה לעלות את ההרשאות שלי מרמת משתמש רגיל לרמה הגבוהה ביותר. את זה נבצע בעזרת מגוון טכניקות- אם חסרים מנגנוני חסימה של התקנת תוכנת על ידי משתמשים או ניהול הרשאות לקוי, ננצל זאת.

לאחר מכן, אנסה להשיג כמה שיותר מידע מחיפוש תיקיות רגישות שנגישות ברשת לביצוע מניפולציה לשירותים, כמו kerberos שמאחסן סיסמאות ופקוטוקולי אימות חשבון. המטרה היא בעצם לבצע dump, כלומר לגנוב מידע על פרטי כניסה לחשבונות.

אני יכול גם לבצע איסוף מידע על מבנה הרשת והדומיין עם כלים כמו bloodhound, אבל באופן כללי המטרה היא לנסות לחפש בכל מקום אפשרי מידע שניתן לנצל לרעה.

האם אפשר להיחסם במהלך PT?

קורה לא מעט שאנו נחסמים, בעיקר על ידי ארגונים שעומדים בתקינות כאלה ואחרות ועוקבות אחר הסטנדרטים המקובלים הכוללים שמוש במערכות edr ומערכות SIEM.

מתי עוצרים את בדיקת החדירות?

בשלב שבו אני מרגיש שכיסיתי בצורה משמעותית את דרכי המתקפה הקיימות והשגתי גישה משמעותית,  או שלחילופין שכלל הדרכים חסומות ואין שום חור ברשת ההגנה.

וכמובן אנחנו תמיד עוצרים לפני השלב של ביצוע מתקפות גורמות נזק או שיבוש לתפקוד העסק, לדוגמה לא נבצע ddos על סביבת production, מתקפות של מחיקת נותנים ושיבוש שרותים וכמובן שלא נוציא לפועל מתקפות Ransomware על מחשבים שאין בהם חסימה של הרצת קבצים. אנחנו תמיד נעצור בשלב של הדגמת יכולות ופוטנציאל הנזק.

כאן מגיע השלב שאני מבצע ניתוח של כל המידע שנצבר במהלך הבדיקה, ומתרגם אותו לדו"ח בשביל הלקוח שמגלם בתוכו את כלל הפגיעויות והדרכים שאפשרו לי לפרוץ בהצלחה למערכת.

הדו"ח מרכז בשביל הלקוח את חולשות מערך ההגנה, הנזק שהתאפשר כתוצאה מקיום החולשה וכמובן המלצות לתיקון ודרכי מניעה מתקפות דומות. הדו"ח כולל צילומי מסך וראיות אחרות שנקראות הדגמת יכולת, שמדגימים את פוטנציאל הנזק מבלי לבצע את מלוא המתקפה.

---

דירוג ממצאים של PT

הממצאים מחולקים לפי הקריטריונים של חומרת ההשפעה שלהם, כמה קשה לנצל אותם ומה סבירות השימוש בהם. ממצא בעל השפעה חמורה, שקל לנצל אותו והסבירות לניצו היא גובהה, נסווג ברמה קריטית מאוד.

ממצאים מעניינים שמוצאים במבדקי חוסן

אני חובב גדול של אירוניה, אז כשאני מוצא חולשות דווקא באותם מערכות אבטחה שאמורות להגן על התשתית אני מופתע- כמו חולשות בחומת אש של מערכות הגנה שהוטמעו.

ממצאים נפוצים במבדקי חוסן

הרבה פעמים החולשות נובועות מגרסאות ישנות חוסר עדכון של תוכנות, ציוד וכן מהגדרה לא נכונה של שרותים ורכיבים שונים. יש גם הרבה פעמים שמדובר בחוסר תחזוקה וניהול, ואפילו חוסר הגדרה נכונה של מוצרי אבטחה או העידר שלהם, מה שהופך את המתקפה על הארגון לקלה. האירוניה היא שאלו גם דברים שקל מאוד לתקן אותם, אז אם ארגונים מחפשים איך להתייעל מבחינת הגנת סייבר, שיפנו דבר ראשון למרכיבים האלה.

אם אתם בעלי עסק או חלק מהצוות הטכני של ארגון, פנו לחברות אבטחת מידע להתייעצות בנוגע שירותי מבדקי חדירות, ומנעו את מתקפת הסייבר הבאה.