「企業研究所」 -情報セキュリティの分野でのトレーニングプログラム。理論(ウェビナーコース)と実践的トレーニング(ペンテストラボでの作業)で構成されます。 この記事では、トレーニングプログラム全体の約80%を占める実用的なベースの内容を検証します。 この記事には、実習の課題の1つに関する簡単な分析が含まれています。
企業ネットワークのエントリポイント
現代の現実では、攻撃者による企業ネットワークのハッキングは、企業の企業Webサイトまたは電子メールアカウントの侵害から始まります。その認証フォームは、多くの場合Webサイト内またはサブドメイン上にあります。 会社のウェブサイトへのアクセスを取得すると、攻撃者は組織のネットワーク内でさらに攻撃を実行するか、この段階で経済的利益を得ることができます。
今年の8月、Jaspen Capital PartnersとAndrei Supranonkは、他の企業と同様に、Business Wire、Marketwired、PR Newswireの企業ネットワークに侵入し、5年間で15万件以上のニュースリリースを盗むことができる不正なスキームを実行したことで告発されました公式の公開前。
証券取引委員会によると、このようにして、攻撃者はなんとか1億ドル以上を違法に獲得し、Jaspen Capital PartnersとSupranonokが補償を支払うことに最初に同意しました。 他の9人の容疑者とは異なり、彼らに対する刑事告発はなかったことは注目に値します。
代理店によると、2010年から2015年までの期間、ウクライナの会社は、ニュース出版物から盗まれたプレスリリースの情報に基づいて、価格差契約を使用して取引操作を行っていました。
企業サイトのハッキングは、最も一般的なセキュリティ問題です。 前に書いたように、最初の場所の1つは脆弱なパスワードポリシーです。多くは個人生活で単純なパスワードを設定し、この慣行を企業部門に転送するために使用されます。 次に、Webアプリケーションの脆弱性です。
会社のウェブサイトはいつでも攻撃される可能性があります。攻撃者は、重要な情報(商業秘密、顧客ベースなど)にアクセスしたり、ウェブサイトの中断のない運営のために金を強要したり、フーリガンの動機からウェブサイトをハッキングしたりする可能性があります。
サイトを壊す
実践が示すように、攻撃者は所属と保護レベルに関係なく、絶対にすべてのサイトを攻撃します。
ロシアのドミトリーペスコフ大統領の広報担当者は、9月13日日曜日の1日の投票日に、クレムリンのウェブサイトがサイバー攻撃を受けたと述べました。 Peskovは、政府のインターネットリソースの防衛システムがWebページの効率を維持することに成功したとRBCが書いています。
「昨日、チュロフは中央選挙委員会のサイトをハッキングする試みについて話しました。 この点については、日曜日の05:00から10:00のどこかで、ロシア大統領のウェブサイトで非常に強力な攻撃が同時に実行されたことを知りたいと思うでしょう。 防衛システムは管理しましたが、簡単ではありませんでしたが、攻撃は非常に強力でした」とペスコフは記者団に語りました。 スポークスウーマンはまた、誰がサイバー攻撃の主催者であるかをまだ知らないことにも言及した。
ほとんどの攻撃者は、大規模なサイト、ニュースポータル、オンラインストア、メディアなどに惹かれています。 サイトから受け取った情報から利益を得ようとすることに加えて、サイト訪問者はいわゆるを使用して攻撃される可能性があります。 ドライブバイ攻撃。
攻撃が成功すると、評判が大幅に低下する場合があります。 最近の「知名度の高い」ケースのうち、攻撃的なサイバー兵器と搾取の手段の開発を専門とするイタリアの会社Hacking Teamのハッキング 。
または、 アシュリーマディソンの例:非常に道徳的に疑わしいビジネスですが、良い利益をもたらします。 サイトをハッキングすると、ほとんどの場合、サイトの機能がフィクションであることが判明しました(女性のプロフィールはほとんどなく、特別な訓練を受けた人が責任を負っていました)。自分に関するすべてのデータを削除します。
保護対策
Webアプリケーションへの不正アクセスを防ぐには、いくつかの簡単な手順に従う必要があります。 まず、これは設定済みのWebサーバーであり、すべての最新の更新プログラムがインストールされています。 2つ目は、WAF / IDS / IPSに基づく組み込みの保護です。 そして、3番目に劣らない重要な尺度は、現代の脅威と攻撃方法に対する従業員の認識です。 しかし、実践が示すように、 現代的な治療法でさえ回避することができます 。
PENTESTIT Corporate Laboratoriesでは、Webアプリケーションに対する攻撃の主なベクトル、その性質、操作方法、および対策を調査しています。 Webアプリケーションを保護する方法を理解するには(これは重要ですが、安全なコードを記述するレベルではありません)、アプリケーションの攻撃方法を理解する必要があります。 よく書かれたアプリケーションでさえ危険にさらされる可能性があります。重要でないベクトルの組み合わせは、攻撃者が効果的な攻撃シナリオを作成するのに役立ちます。
最初の段階で、インターンはSQLインジェクションの性質に関する最新情報を受け取ります。 XSSの基本; Webの脆弱性を悪用するための最新の効果的なツールのレビュー。 この一連の知識でも、脆弱性を悪用する可能性について独自のWebアプリケーションをテストするために必要なスキルを習得できます。 得られた理論的資料を統合するために、インターンは専門の侵入テスト研究所で実用的なタスクを実行します。
この段階を通過すると、受講者はWebアプリケーションの操作に関するより深刻なトピックを開始できます。
次のようなDBMSでの操作を含む、SQLインジェクションに関するワークショップの拡大。 MSSQL PostgreSQL XSS攻撃に関する大規模なワークショップの一環として、最も関連性の高いXSSのデモ:アクティブ、パッシブ、domベース。
保護対策と対策、責任者の意識、現代の脅威の理解の組み合わせによってのみ、企業はWebアプリケーションの円滑な実行と信頼できる情報保護という形で資産を保護できます。
ペンテストラボでの実践的なトレーニング。 パート1
ペンテストラボでの実践的なトレーニング。 パート3
ペンテストラボでの実践的なトレーニング。 パート4
ペンテストラボでの実践的なトレーニング。 パート5