Мой знакомый™ руководитель отдела ИБ пребывал в дурном расположении духа после «пентеста» из предыдущего поста. Деньги освоены, в руках отчёт, а что с этим делать дальше – непонятно. Мы знакомы достаточно давно, и я предложил ему попробовать обойтись тем, что у него уже есть, и практически бесплатно.
Я совсем не адепт opensource и призывов заменить всё, до чего дотягиваются руки, на бесплатные аналоги. Но в некрупных компаниях, где руководство смогло сформулировать цели, силами достаточно квалифицированных сотрудников можно решить очень много задач буквально подручными средствами.
Мы начали с wifi. В отчёте «пентестеров» было указано, что с ней всё ок. По факту у нас была одна сеть с EAP-TLS. При этом для аутентификации мы используем сертификаты. Простых рабочих способов взломать такую сеть в публичном доступе нет.
Конечно, всегда есть опасность появления rouge точек доступа и атак evil twin, но мы можем провести с сотрудниками обучение, где расскажем, как должна выглядеть наша беспроводная сеть, а как не должна. В нашу сеть так, конечно, не попадешь, но при должной внимательности мы и учетных данных пользователей не потеряем.
Сайт компании решили перенести на хостинг. Хостить сайт у себя довольно затратное занятие. Нагрузка на сайт невелика, поэтому нашли хостинг и доплатили за WAF.
Осталось самое интересное – внутреннее тестирование. Есть такой класс продуктов как Breach and Attack Simulation (BAS). Это довольно нишевое развлечение, да и, конечно, пентест заменить оно пока не может, однако даже после того, как хайп спал, применение ему нашлось. Аргументов против много: стоит дорого, проверки привязаны к известным уязвимостям, никакого креативного мышления и попыток скомбинировать уязвимости, и много чего другого. Зато есть несомненный плюс, пентест – это же проверка безопасности в моменте, а BAS будет вас тестировать непрерывно 24/7. Уязвимости он будет искать самые типовые – это плохо. Но можно подумать, что приглашенные «хакеры» будут заниматься чем-то другим?
Большинство решений BAS работают примерно одинаково: сервер управления и агенты сканируют окружающие доступные сети, определяют версии программного обеспечения, находят известные уязвимости и пытаются их эксплуатировать. Собственно, реализуются типовые сценарии MITRE ATT&CK. При этом, в BAS есть «вегетарианские» варианты эксплойтов, так что взлом факту происходит, только без последствий.
Я предложил использовать Guardicore Infection Monkey, потому что у этого решения есть opensource-вариант. Он, конечно, не умеет в red teaming / blue teaming, база сценариев атак и уязвимостей тоже не блещет, но нам это и не нужно сейчас. Развертывание решения довольно простое – можно скачать готовую виртуальную машину или дистрибутив под вашу любимую операционную систему. Входим в систему, выбираем тесты и указываем нашу подсеть. Или не указываем, и Infection Monkey начнёт искать сама:

Дополнительно мы можем указать логины и пароли, которые мы смогли вытащить каким-то способом. Infection Monkey сможет использовать их для password spraying, вдруг учетные данные используются где-то еще?

Еще укажем порты для типовых служб. На настоящем пентесте «хакеры» запустят свой nmap и определят http на нестандартных портах, здесь у нас такой роскоши нет, поэтому укажем руками:

Отдельно стоит сказать про исключения. Если это первый запуск, и вы хотите начать с тестовой зоны, то лучше убрать отдельные хосты из тестирования.
И гвоздь программы – собственно уязвимости, которые мы будем искать и эксплуатировать:

Жмём Run, и обезьянки с криками начинают скакать по сети (даже круче, чем космические обезьянки в стакане бурбона, Роджер!). На сервере управления мы начинаем видеть карту сети и хосты, до которых обезьянки уже добрались, а также отчёт о тестировании:

Интересная особенность Infection Monkey в том, что отчёт – живой, и строится в реальном времени прямо на наших глазах. И, конечно же, всё это ложится на матрицу MITRE ATT&CK.

Результат моего знакомого™ устроил. Чуть более чем за час обезьянки пробежались по всем доступным хостам и попробовали типовые атаки. Кое-что даже потребовало дальнейшего расследования. Мы стали смотреть другие решения того же класса на будущее, но стоимость их, конечно, пока повергает в уныние. Если это направление продолжит развиваться, то, надеюсь, мы увидим подобное за более гуманную цену.