Log цифровой крепости

  • Инфраструктуру ломают не уязвимости

    Её ломают исключения.

    Антивирус есть — но на этом сервере отключили.

    MFA есть — но для этой учётной записи неудобно.

    Сегментация есть — но подрядчику открыли доступ «временно».

    Пароли меняются — кроме сервисных.

    Резервные копии изолированы — но сервер бэкапов всё-таки в домене.

    У каждого исключения всегда есть нормальное объяснение.

    А потом злоумышленник собирает все эти «нормальные объяснения» в один маршрут до контроллера домена.

    ИБ строит защиту по правилам.

    А атакующий идёт по исключениям.

    И если в вашей организации исключений больше, чем правил, то у вас не система безопасности.

    У вас инструкция по обходу собственной защиты.

  • Компрометация домена не должна означать компрометацию всей организации

    Из моего опыта пентестов и общения с пентестерами: если атакующий проник во внутреннюю сеть, закрепился и получил локальные административные права, путь до полной компрометации Active Directory часто оказывается неожиданно коротким.

    Причём ему необязательно узнать пароль администратора предприятия. Хеша пароля, Kerberos-билета, прав репликации или другой привилегированной учётной записи может быть вполне достаточно.

    И вот здесь начинается главный вопрос: что произойдёт после компрометации домена?

    Если все серверы находятся в одном домене, администраторы используют одни и те же учётные записи, а сервер резервного копирования доступен из общей сети, то компрометация AD быстро превращается в компрометацию всей организации.… Читать далее…

  • Камеры — в отдельную сеть

    В 2024 году Akamai зафиксировала реальную эксплуатацию IP-камер AVTECH AVM1203.

    Через уязвимость CVE-2024-7029 злоумышленники выполняли команды на камере, загружали вредоносный код и заражали устройство вариантом ботнета Mirai. После запуска камера подключалась к другим устройствам по Telnet и пыталась распространять заражение дальше.

    Уязвимая модель к тому моменту уже была снята с производства, но продолжала использоваться по всему миру, в том числе на объектах транспорта и критической инфраструктуры.

    Поэтому камеры и видеорегистраторы нельзя держать в одной сети с компьютерами и серверами.

    Для видеонаблюдения нужен отдельный VLAN. Камерам разрешается обращаться только к видеорегистратору. Доступ к управлению — только из административного сегмента.… Читать далее…

  • От МФУ до администратора домена

    Во время недавнего пентеста специалисты Sprocket Security нашли Canon imageRUNNER с открытым VNC без пароля.

    Через экран управления они изменили адрес FTP-сервера и запустили проверку подключения. МФУ отправило на сервер пентестеров сохранённые логин и пароль доменной учётной записи.

    У учётки оказалось больше прав, чем требовалось для работы принтера. Через BloodHound нашли путь повышения привилегий и за несколько минут получили права администратора домена.  

    Это не единичный случай. Rapid7 изучила результаты 136 пентестов: в 97 случаях специалисты получили административный доступ к МФУ, а в 31 успешно забрали учётные данные через pass-back-атаку и получили доступ к Active Directory.… Читать далее…

  • Российский корневой сертификат: почему информационная кампания не поможет

    Западные CA уже не раз отказывали российским сайтам в выпуске сертификатов. Теперь еще и отзывают. Пока это выглядит как точечные истории, но санкционная логика работает в одну сторону — давление только растёт. Рано или поздно это может стать системным, и тогда обычный пользователь увидит на привычном сайте страшное предупреждение браузера. Дальше он этот сайт просто закроет.

    Когда об этом заходит разговор, первая мысль у всех одна: надо провести кампанию, дать людям инструкцию, пусть поставят российский корневой сертификат сами. Идея понятная, но я в неё не верю.

    Дело не в том, что пользователи ленивые.… Читать далее…

  • Когда хакеру даже не нужен эксплойт

    Когда люди слышат слово «взлом», большинство представляет что-то сложное.

    Неизвестные уязвимости.

    Хитрые скрипты.

    Специальное программное обеспечение.

    Профессиональных хакеров в тёмных комнатах перед несколькими мониторами.

    На практике всё часто выглядит намного проще.

    Иногда злоумышленнику даже не нужно искать уязвимости.

    Достаточно открыть настройки обычного МФУ.

    Одна из самых удивительных вещей, которые регулярно встречаются в инфраструктурах организаций, — использование привилегированных учётных записей для настройки функций сканирования.

    Логика обычно выглядит так:

    Нужно настроить сканирование документов в сетевую папку.

    Администратор создаёт подключение.

    Проверяет.

    Работает.

    На этом задача считается выполненной.

    А какая именно учётная запись используется для доступа к папке — вопрос второстепенный.… Читать далее…

  • Система безопасности просто показала проблему

    Есть одна закономерность, которую я наблюдаю практически постоянно.

    Появляется новое средство защиты.

    WAF. Антивирус. EDR. IDS. IPS. Контроль приложений. Любой другой инструмент безопасности.

    И через некоторое время обязательно находится человек, который говорит:

    — Эта штука всё ломает.

    Иногда это администратор. Иногда разработчик. Иногда руководитель проекта.

    Но смысл всегда один:

    — До вас всё работало нормально.

    На самом деле это одна из самых интересных иллюзий в информационной безопасности.

    Очень часто система безопасности ничего не ломает.

    Она просто показывает проблему, которая существовала задолго до её появления.

    Проблему, которую никто раньше не замечал.

    Или не хотел замечать.… Читать далее…

  • Внутренний сервер тоже нужно защищать от брутфорса

    Очень часто можно услышать фразу:

    «Этот сервер не доступен из Интернета, значит всё нормально».

    На первый взгляд логика понятна. Если злоумышленник не может подключиться к серверу извне, то и опасаться вроде бы нечего.

    Но современная информационная безопасность давно перестала ограничиваться только защитой периметра.

    Любая сеть должна проектироваться исходя из того, что однажды злоумышленник всё-таки окажется внутри.

    Неважно каким способом.

    Через заражённое письмо, украденную VPN-учётную запись, скомпрометированный ноутбук подрядчика, уязвимость в каком-либо сервисе или обычную ошибку пользователя.

    После получения первоначального доступа начинается следующий этап атаки — изучение инфраструктуры.

    Злоумышленник ищет серверы, сетевое оборудование, базы данных, веб-интерфейсы, SSH, RDP и другие сервисы управления.… Читать далее…

  • Безопасность не живёт в одной коробке

    В ИБ до сих пор живёт очень удобная иллюзия: можно купить правильную коробку, поставить её на периметр, настроить несколько правил — и дальше сеть как будто сама становится защищённой. Коробка мигает лампочками, рисует графики, пишет красивые отчёты, и всем вокруг становится чуть спокойнее. Проблема в том, что атакующему на это спокойствие обычно всё равно.

    Безопасность действительно не живёт в одной коробке. Ни в межсетевом экране, ни в антивирусе, ни в EDR, ни в почтовом шлюзе, ни даже в SIEM. Любое отдельное средство защиты — это только один рубеж. Иногда сильный. Иногда полезный.… Читать далее…

  • TLS: не про шифрование, а про доверие

    TLS часто описывают как «шифрование трафика», и формально это правда, но для понимания этого недостаточно. Если смотреть глазами специалиста по ИБ, TLS — это в первую очередь способ безопасно установить доверие между клиентом и сервером в среде, где доверия по умолчанию нет.

    Когда приложение подключается к серверу, оно не знает, кто на другой стороне. Это может быть нужный сервер, прокси провайдера, атакующий в той же сети или кто-то, кто подменил маршрут. Без TLS вы просто отправляете данные в неизвестность и надеетесь, что их никто не тронет.

    TLS решает три базовые задачи.… Читать далее…