Противостояние: игра в защите (Портал SecurityLab, июнь 2017)

22.06.2017

Основной задачей команды являлся всесторонний контроль элементов инфраструктуры как на уровне сети, так и на уровне приложений. Любая пропущенная уязвимость на сетевом оборудовании или конечных хостах могла привести к потере контроля над системой. В связи с этим основной акцент в своей игровой стратегии наша команда сделала на качественный детальный аудит, проведение изменений сетевой инфраструктуры на его основе и получение полного контроля над сетевым трафиком.

Что защищать

Подготовку к защите мы начали заранее – примерно за 3 недели до старта «Противостояния». Команде предстояло изучить имеющуюся инфраструктуру, а затем спланировать, установить и настроить все элементы защиты. На начальном этапе организаторы предоставили сетевой доступ к сканеру уязвимостей MaxPatrol и адреса двух игровых подсетей. После чего мы основательно «нагрузили» MaxPatrol различными профилями и задачами и… ушли спать, решив утром проанализировать результаты работы решения. Утром выяснилось, что сканер показал большое число уязвимых систем, работающих как на стандартных, так и на нестандартных портах TCP, различные уязвимости версий ПО, а также паролей типа P@ssw0rd и так далее. Так что предстояла значительная работа.

После изучения топологии сети мы начали мозговой штурм, по результатам которого единогласно пришли к решению, что ломать в этой «дырявой» сети нас будут со всех сторон: из сети Интернет, с нашего же VPN и из сетей другой команды защиты. Но основной удар – мы понимали это – стоит ждать в сегменте DMZ на веб-сервисы офиса.

Как защищать

После получения первых результатов аудита команда принялись вырабатывать совместное решение по защите инфраструктуры. В связи с некоторыми ограничениями организаторов на изменения, начался долгий процесс согласований наших задумок. Во-первых, нужно было сегментировать сеть офиса – это мы сделали при помощи Palo Alto Networks NGFW. Также мы включили межсетевой экран в разрыв всех доступных нам каналов связи (даже доступ с нашего VPN-сегмента до других подсетей офиса контролировался NGFW; как оказалось потом – сделано это было не зря). Все информационные потоки проходили через межсетевой экран, вдобавок были включены все виды защиты в режим блокировок: контроль приложений с запрещением «плохих» приложений (пр. ICMP/DNS туннели) и явным разрешением «хороших» (подход нулевого доверия «Zero Trust»), IPS, антивирус, песочница Wildfire, anti-spyware, который «видит» каналы управления, защита от сканирования по портам TCP/UDP.

Для хакеров должно было стать неожиданностью, что NGFW «видит» передачу файлов по различным протоколам: SMB, FTP, HTTP, SMTP, POP3, IMAP, к тому же для всех приложений мы установили блокировки на передачу файлов. Приложения были доступны хакерам для исследования, но были защищены от «эксплойтов» всеми сигнатурами системы предотвращения атак. Мы также заблокировали загрузку файлов на сервера. А для того, чтобы мы не увлеклись «блокировками», компания Positive Technologies добавила в свою сеть специальные «чекеры» для проверки доступности сервисов.

Но, несмотря на все преобразования сети, сомнения нас не оставляли: залатаны ли все дыры в нашей схеме, не потеряли ли где-то лишний роутер. И тут на помощь пришел продукт Skybox View. Загрузив в него файлы конфигураций с сетевого оборудования, мы всего за 5-10 минут получили подробную схему нашей сети (на отрисовку которой вручную ушло не менее двух дней) и полный анализ инфраструктуры на наличие уязвимостей. Благодаря этому выяснилось, что наш пограничный маршрутизатор доступен по telnet из внешней сети и для него есть подходящий «эксплойт». К счастью, мы заметили это раньше хакеров и вовремя устранили проблему.

SPAN










Карта сети, построенная при помощи SkyBox.

Полный текст статьи читайте на портале SecurityLab

Назад к разделу "Публикации"