Пентест 24/7: регулярная автоматическая проверка инфраструктуры

По данным исследования Positive Technologies, компании даже с хорошо налаженными процессами информационной безопасности анализируют киберустойчивость ИТ-инфраструктуры раз в год или только по запросу. Этого недостаточно, ведь ИТ-ландшафт постоянно меняется, что приводит к появлению новых недостатков ИБ. В то же время компании не против чаще проверять свою защищенность. Согласно данным Центра стратегических разработок, популярность таких услуг растет с каждым годом, в 2023-м объем этого рынка превысил 8 млрд рублей.

К Positive Technologies ежегодно обращаются сотни организаций с запросом на тестирование защищенности. Обеспечить такой спрос с учетом ограниченного числа специалистов в стране в настоящее время невозможно. В ответ на это мы расширили свое предложение компаниям, создав PT Dephaze — продукт для контролируемого автоматического внутреннего тестирования на проникновение. Официальный запуск системы состоится 27 февраля. А пока расскажу, как она работает и что умеет.

Система для автоматического тестирования на проникновение

PT Dephaze – это автоматическая пентест система, которая управляемо атакует выбранные узлы сети, показывая потенциальные пути злоумышленников, и предлагает меры по устранению выявленных недостатков. Например, с помощью продукта вы узнаете, смогут ли киберпреступники, скомпрометировав учётную запись бухгалтера, добраться до целевых систем компании. Продукт использует актуальные хакерские техники и инструменты, а также опыт экспертов по ИБ, благодаря этому результаты проверок максимально близки к реальности.

PT Dephaze и другие классы продуктов

Так как PT Dephaze “подсвечивает” слабые места в инфраструктуре, то на первый взгляд может показаться, что продукт работает по принципу сканера безопасности. Это заблуждение и вот почему.

Во-первых, у PT Dephaze нет цели выдать огромный список недостатков, с которыми специалисты не будут знать, что делать дальше. Продукт укажет только те уязвимости и ошибки конфигураций, которые им реально были проэксплуатированы. Зачастую вместо устранения уязвимостей используются различные компенсирующие меры, которые не дают возможности использовать хакерам подобные уязвимости и ошибки конфигурации, но классические сканеры безопасности этого определить не могут, и раз за разом подсвечивают данные недостатки.

Во-вторых, продукт показывает, можно ли проэксплуатировать уязвимости в реальных инфраструктурах с развёрнутыми средствами защиты. Злоумышленникам могут помешать, например, системы защиты конечных точек, такие как Endpoint Protection Platform (EPP) или Endpoint Detection Response (EDR).

Как работает PT Dephaze

Типичный процесс эксплуатации состоит из следующих шагов:

• Пользователь разворачивает PT Dephaze и выбирает расположение атакующих узлов согласно модели нарушителя. Далее настраивает запуск, задавая диапазоны IP-адресов и исключений для тестирования. Среди указанного набора систем могут быть не только ключевые системы, которые являются основой любой инфраструктуры, но и целевые системы, компрометация которых может привести к наступлению недопустимого события. Продукт получает эти данные и управляемо выполняет действия, подобные тем, которые выполняли бы хакеры: сканирует ИТ-инфраструктуру, проводит разведку доступных сервисов, чтобы найти пути дальнейшего продвижения.

• Обнаружив узлы и установленные на них сервисы, PT Dephaze воспроизводит контролируемые атаки на них, например, проводит перечисление записей пользователей и спреинг их паролей, проверку учётных данных по умолчанию, эксплуатирует известные уязвимости для получения более высоких привилегий. Еще он может извлекать учётные данные скомпрометированных систем, например из памяти или с диска. На пентестах часто встречается кейс, когда у пользователей находят текстовые файлы, в которых в неструктурированном виде записаны пароли от разных сервисов. Для поиска конкретных данных в хаотичном потоке информации в PT Dephaze используются большая языковая модель (Large Language Model, LLM), что позволяет повысить качество автоматизации тестирования на проникновение.

• Затем продукт пытается применить найденные данные к обнаруженным сервисами, сетевым протоколам, веб-приложениям, например GitLab или Confluence, — ко всему, что может привести к продвижению атаки.

• Проникая в новые системы с помощью обнаруженных ранее данных, PT Dephaze проделывает те же самые шаги по кругу и получает все больше привилегий. Цель — охватить проверками все заданные для тестирования узлы и найти как можно больше реальных уязвимостей и некорректных конфигураций, чтобы компания успела исправить эти недостатки прежде, чем ими воспользуются злоумышленники.

Каждая из тестовых атак была протестирована в различном окружении, чтобы исключить вероятность нарушения бизнес-процессов в тестируемой компании.

На чем фокусируется PT Dephaze

Безопасность. PT Dephaze – это прежде всего управляемый автопентест. В случае, если при повышении привилегий продукт создает новую учётную запись с повышенными привилегиями, то для неё автоматически генерируется уникальный и устойчивый к перебору пароль, что не даёт возможности злоумышленникам использовать её в случае компрометации данного узла. В PT Dephaze расширяются параметры настройки. Пользователь может выбрать, какие узлы точно нельзя атаковать, какие атаки нужно согласовывать, а также задать важные для него узлы в качестве целей для продукта. Уже сейчас можно настроить уровень интенсивности атак, чтобы скорость и объем проверок не нарушили работу сети и всего бизнеса. Например, это позволит избежать излишней нагрузки на сетевые каналы.

Усиление имеющейся защиты. Большинство злоумышленников по всему миру не тратят время на создание уникальных вредоносных инструментов, а используют готовые популярные программы. На них же разработчики решений по ИБ обучают свои средства защиты обнаруживать вредоносную активность. Если установленные СЗИ не реагируют на публичные инструменты киберпреступников, возможно, проблема в конфигурации. PT Dephaze тоже применяет актуальные хакерские инструменты, продукт позволяет оценить, насколько эффективно работают средства защиты различных классов: SIEM, NTA, IPS, IDS, EPP, EDR, NDR, SOAR, Sandbox.

Наглядный результат. Важная задача продукта попытаться получить высокие привилегии в ключевых системах, например домене Active Directory. В идеале — захватить домен и получить доступ к целевым системам. Если это не удалось, то продукт будет пытаться завладеть доступными учетными записями и узлами. Даже такой результат даст понимание, какие узлы уязвимы и требуют немедленной защиты.

Рекомендации. Одних полученных векторов компрометации от продукта недостаточно, хорошая автопентест-система должна давать базовые рекомендации по устранению выявленных уязвимостей и ошибок конфигурирования, по внедрению компенсирующих мер и указывать на возможные варианты мониторинга подобной нелегитимной активности в СЗИ. И мы в PT Dephaze реализовали данные рекомендации.

Непрерывный автопентест с PT Dephaze

PT Dephaze не замена ручного пентеста, а продукт для более качественной подготовки к проведению подобных работ. Продукт позволяет выявлять типовые недостатки ИБ, охватывая всю инфраструктуру. Автоматические проверки помогут приоритизировать реально возможные атаки, а также проверить установку обновлений и проведение компенсирующих мер, это можно сделать повторным запуском для сравнения результата тестирования до и после. Когда типовые уязвимости будут устранены, то команда пентестеров может показать еще более крутые результаты, выявляя более сложные вектора компрометации.

Продукт подходит как крупным компаниям со зрелой системой кибербезопасности, так и тем организациям, которые только внедряют СЗИ или налаживают процессы ИБ. Инструмент может быть полезен внутренним командам пентестеров, осуществляющим ручное тестирование на проникновение, — PT Dephaze возьмет на себя рутинные операции, а все творческие возьмёт на себя команда.

Подключайтесь к официальному запуску PT Dephaze 27 февраля в 14:00! Для участия необходима регистрация.

Дмитрий Федосов, руководитель отдела наступательной безопасности PT Expert Security Center.

Реклама. АО "Позитив Текнолоджиз", ИНН 7718668887 , erid:2SDnjbsmphS