Тестирование методом предполагаемого нарушителя с противодействием: свежий взгляд на «старого знакомого»

Тестирование методом предполагаемого нарушителя с противодействием: свежий взгляд на старого знакомого

Многие компании регулярно проводят пентесты внешнего периметра и уделяют серьезное внимание его защите. Однако нельзя забывать, что проверки внутренней инфраструктуры так же важны. Существуют разные способы тестирования безопасности корпоративной сети: один из них — метод «предполагаемого нарушителя с противодействием», подразумевающий постоянную смену циклов атаки и защиты. Формат появился еще до взлета популярности Red Teaming, поэтому его нельзя назвать самым новым подходом, но он все равно заслуживает внимания.

Дмитрий Неверов, технический консультант направления тестирования внутренней инфраструктуры компании «Бастион» и автор книги «Идем по киберследу», предлагает посмотреть на знакомый формат под новым углом и углубиться в тему тестирования методом «предполагаемого нарушителя».

Основные форматы наступательной безопасности

Главная задача классического пентеста — найти и проэксплуатировать максимум уязвимостей за отведенное время. Этот подход заметно выигрывает тем, что дает команде атакующих достаточно широкую свободу действий в рамках технического задания. Однако команда защитников в это время может только наблюдать, а все корректировки вносятся уже после завершения проекта.

Red Teaming является более агрессивным форматом. Такие киберучения имитируют целенаправленную кибератаку и показывают, сможет ли «синяя» команда ее отразить. Этот формат максимально приближен к действиям реальных злоумышленников, но здесь тоже есть минусы. Сомнения в равенстве сил, уровне подготовки команды защитников, а также невозможность для пентестеров применить эффективные, но «шумные» техники, если преимущество на стороне защитников, атакующие вынуждены действовать максимально скрытно.

Пример — атака на сервисные аккаунты через Kerberos (Kerberoasting) с целью получения пароля от сервисного аккаунта. Специалисты по информационной безопасности умеют распознавать эту технику, но часто забывают о своевременной замене паролей. Применение такого сценария в классическом Red Teaming-подходе с высокой вероятностью вызовет срабатывание систем мониторинга и потерю доступа к корпоративной сети. Даже полученный пароль привилегированной учетной записи становится бесполезным, а времени на поиск нового вектора атаки не остается. В теории, команда могла бы лучше закрепиться, использовать резервные каналы или не выполнять рискованную технику, но объективно просчитать все варианты развития событий в моменте невозможно.

Другой пример — перечисление шаблонов сертификатов для центра сертификации. Некоторые шаблоны уязвимы по умолчанию, и их эксплуатация не требует дополнительных действий. Такие сценарии остаются нереализованными в классическом Red Teaming.

Если рассматривать ситуацию со стороны команды защитников, то, с одной стороны, они смогли локализовать и устранить нарушителя, с другой — упустили возможность узнать, какие еще проблемы есть в инфраструктуре.

Purple Teaming

Purple Teaming — это взаимодействие атакующих и защитников, позволяющее улучшить средства мониторинга и реагирования на инциденты. Такой проект может развиваться по двум сценариям. Первый — «красные» в простом цикле выполняют определенную технику, меняя подходы и инструменты и пытаясь запутать систему защиты информации. «Синие», в свою очередь, ищут следы действий атакующих в журналах. Если оповещения не приходят, защитники дописывают правила и повторяют проверку. Обе команды при этом сохраняют активную коммуникацию друг с другом. Однако при таком подходе также есть свои нюансы: выполняемые техники могут быть неприменимы в текущий момент времени, эффективны только в цепочке или в синтетических условиях.

Второй сценарий Purple Teaming — это полноценный пентест, включающий тесное взаимодействие команд. Такой проект демонстрирует, может ли команда «синих» быстро корректировать свой подход к защите в зависимости от действий злоумышленников, а также усовершенствовать систему мониторинга и реагирования в режиме реального времени. При этом не ставится цель проверить готовность защитников отразить целенаправленную атаку при имеющихся пробелах в системах мониторинга и реагирования.

Ключевой недостаток Purple Teaming во время пентеста заключается в том, что «синие» не могут прерывать цепочку атаки по оговоренным условиям. Они способны только наблюдать и отслеживать действия атакующих, поэтому оценить реальную эффективность защиты невозможно.

В чем суть метода предполагаемого нарушителя с противодействием?

Атакующие получают начальный доступ и учетную запись внутри инфраструктуры. Защитники могут откатывать действия «красных» на исходную позицию, одновременно устраняя уязвимости и корректируя мониторинг, что исключает спорные результаты и дает максимальную пользу обеим командам.

Основная же выгода непосредственно для «синей» команды — возможность прокачать не только настройку правил, но и сам процесс реагирования на инциденты. Также это позволяет выявить бреши и зоны роста в инфраструктуре.

В качестве примера применения метода предполагаемого нарушителя с противодействием можно привести такую ситуацию: атакующие выполнили технику Kerberoasting и получили сервисный билет от незнакомого аккаунта, извлекли из билета хэш пароль и успешно подобрали саму комбинацию. Захваченная учетная запись может и не представлять ценности, но подобранный пароль иногда удается применить к профилям с расширенным доступом. Для этого выполняется техника распыления пароля.

В случае, если техника была распределенной и защитники ее не обнаружили, «красные» получают еще один профиль, который имеет привилегии на определенном сервере, и могут использовать эту учетную запись для доступа к хосту. Внутренняя ИБ-команда зафиксирует подозрительную активность и заблокирует аккаунт. После этого атакующие получают штрафную паузу.

Штрафная пауза, длительностью около 30 минут, предоставляется защитникам для закрытия уязвимости, корректировки правил мониторинга и расследования инцидента. Атакующие за это время перегруппировываются и готовят новый вектор проникновения. К тому же не исключено, что они сформировали не одну, а несколько цепочек компрометации, так что «синие» могут использовать эту паузу для перепроверки. «Красным» перерыв поможет собраться с мыслями, перегруппироваться и начать выполнять новую атаку.

Получается беспрерывный цикл: пентестеры пытаются проникнуть в инфраструктуру, ИБ-команда обнаруживает вторжение, происходит откат и, через некоторое время, ― еще одна попытка. Такой алгоритм повторяется до окончания срока проекта или полного кризиса идей для дальнейших векторов у «красных». Формат напоминает киберполигоны, но в реальной инфраструктуре уязвимости сложнее, а их обнаружение требует больше времени.

Что касается оценки успешности такого взаимодействия, то здесь часто используют соответствующие метрики: количество «прыжков», за которые атакующие захватили систему или инфраструктуру, время реакции на инцидент от его регистрации до закрытия со всеми исправлениями, сложность векторов и другие.

Правила взаимодействия в ходе тестирования

Чтобы описанный формат работал эффективно, а действия команд были синхронизированы, необходимо установить правила взаимодействия (Rule of Engagement). Это договоренности между исполнителем и заказчиком, которые определяют границы работ, сроки, цели проекта и критерии успешности. Также правила регламентируют, что разрешено делать по умолчанию, какие техники стоит согласовывать перед реализацией, а что выполнять категорически запрещено. Эти договоренности можно оформить отдельным документом, но чаще всего они включаются в техническое задание проекта.

Например, при обнаружении подозрительной активности защитники могут исправить недостаток и вернуть атакующих на предыдущий шаг или в стартовые условия. При этом первоначальная учетная запись может быть отключена на срок не более 30 минут.

Также можно заранее договориться о правиле, касающемся критических недостатков, обнаруженных в ходе проекта. Если такие недостатки требуют немедленного устранения, но при этом не являются финальным или предпоследним шагом для захвата домена или jump‑сервера, то атакующие вправе сохранить полученные права для выполнения других последовательностей атаки. Пример — права GenericAll от низкопривилегированной учетной записи к высокопривилегированной. Этот пункт не отменяет предыдущий, а лишь предоставляет «красным» пространство для маневра, иначе они рискуют попасть в ловушку, когда невозможно действовать за пределами своего хоста.

Еще одно правило, которое можно включить в техническое задание — если «синие» обнаружили подозрительную активность, но не исправили ее первопричину, пентестеры имеют право воспользоваться ей неограниченное количество раз. С другой стороны, некоторые уязвимости и недостатки нельзя исправить простым обновлением, поэтому по договоренности между командами такие объекты инфраструктуры можно исключить из дальнейших действий.

Скрывать от «синей» команды факт тестирования нецелесообразно, так как они узнают о проекте после первой же ошибки команды «красных». Информирование команды заранее позволяет избежать саботажа и не отвлекает защитников от рутинных задач — риски регулируются правилами взаимодействия, например, требованием обосновывать блокировку записями из журналов.

Как долго длится тестирование?

Сроки такого тестирования зависят от конкретных обстоятельств: специфики инфраструктуры, поставленных целей и т. д. В любом случае, подобные работы займут намного меньше времени, чем Red Teaming, ведь перед атакующими не ставится задача преодолеть внешний периметр, и степень скрытности здесь ниже. Однако охват проверок и цепочек, напротив, шире. В сравнении с классическим инфраструктурным пентестом, такой подход с предполагаемым нарушителем длится существенно дольше.

Финальная точка такого проекта тоже может быть разной. Например, проверка завершается, когда атакующие уже использовали все техники и не могут дальше продвигаться в инфраструктуре. Возможен сценарий, при котором пентестеры возвращаются с новыми векторами атаки, и проект переходит в режим непрерывного тестирования (Continuous Penetration Testing) для внутренней инфраструктуры. В этом случае требуется дополнительный контроль, чтобы исключить прямую блокировку действий «красных» без доказательной базы.

Когда применять метод предполагаемого нарушителя с противодействием

Пентест с противодействием может стать хорошим инструментом для обеих команд. Он помогает повысить навыки защитников и атакующих, а также усилить инфраструктуру. Однако важно понимать, что данный подход не заменит другие классические форматы наступательной безопасности.

Фактически этот подход стоит на границе всех трех методов и подойдет для компаний, которые уже переросли простые пентесты, но не готовы к полноценному Red Teaming. Также он позволяет оценить эффективность проведенного Purple Teaming. Проект не требует сложной подготовки и следует концепции «предполагаемого взлома» (Assumed Breach) — методике защиты, при которой мы изначально исходим из того, что злоумышленник уже находится внутри системы.

Кроме того, метод предполагаемого нарушителя с противодействием дает возможность внутренней команде точнее настроить правила, увидеть слабые места в инфраструктуре и отработать процесс реагирования на инциденты. Поскольку подход предполагает беспрерывный цикл атак и защиты, заказчик получит максимально полную картину возможных векторов развития проникновения. Это ценная информация для дальнейшей работы.

Дмитрий Неверов, технический консультант направления тестирования внутренней инфраструктуры компании «Бастион»

Бастион
Автор: Бастион
«Бастион» – компания по информационной безопасности. Входит в «ИКС Холдинг» в составе Группы компаний «Гарда». «Бастион» оказывает полный спектр услуг ИБ: от тестирования на проникновение и аудитов на соответствие законодательству до комплексных ИТ/ИБ-аудитов, построения стратегии ИБ и внедрения решений ведущих вендоров для защиты ИТ-инфраструктуры, а также мониторинга, поддержки и администрирования систем защиты. Команда экспертов имеет богатый опыт реализации масштабных проектов в сфере информационной безопасности. Компания обладает необходимыми лицензиями ФСБ и ФСТЭК России на оказание работ в сфере защиты информации. «Бастион» сотрудничает с ключевыми отечественными вендорами ИБ-решений: «Лаборатория Касперского», Код безопасности, UserGate, Positive Technologies, Astra Lunix, Infotecs, Infowatch, Security Vision, SearchInform, Конфидент и др.
Комментарии: