Clever Geek Handbook

彻底测试我:谁需要内部渗透测试,为什么



最危险的是敌人,您不必怀疑。

(Fernando Rojas)



可以将现代公司IT基础结构与中世纪城堡进行比较。高高的城墙,深deep的护城河和城门处的守卫保护着自己免受外部敌人的侵害,实际上没有人看着堡垒城墙内发生的一切。同样,许多公司:他们在保护内部外围设备方面付出了巨大的努力,而内部基础设施却被剥夺了。对于大多数客户而言,内部渗透测试仍然是一个陌生且不太清晰的过程。因此,我们决定将您想知道但不敢问的所有事情都告诉他。



外部敌人(身穿黑色连帽衫的恐怖黑客)看起来令人生畏,但公司信息泄漏的很大一部分是由于内部人员的过失所致。根据我们的Solar JSOC监控中心的统计,内部事件约占威胁总数的43%。一些组织依赖于保护(通常配置错误),可以轻松绕开或禁用这些保护。其他人则根本不认为内部人员是威胁,而对保护内部基础设施的缺陷视而不见。



我们在分析“内部市场”时发现的问题在公司之间徘徊:



  • 服务帐户和特权帐户的密码薄弱且无法更改;
  • 普通管理员帐户和特权帐户的密码相同;
  • ;
  • ;
  • ;
  • ;
  • .


: Windows- Active Directory.





在全球范围内,渗透测试揭示了潜在的攻击者可以损害特定公司的IT基础架构的程度。为此,进行渗透测试的网络安全专家会使用真实的技术和工具来模拟黑客的行为,但不会对客户造成伤害。审核结果有助于提高组织的安全性,同时降低业务风险。这种测试有两个方向:外部和内部。在第一种情况下,“白人黑客”必须找到可以穿透内部网络的漏洞(即突破那座堡垒墙)。



内部渗透测试检查基础结构对有权访问组织的本地网络的内部人员或入侵者的脆弱性。如果愿意,他们是否能够控制LAN,在LAN上自由移动并影响单个服务器的运行?此类工作是在内部网络上进行的,并且通常是在具有最小特权的员工的位置上进行的。同时,有可能(并且有必要)甚至检查那些仅能物理访问计算机的员工(例如,清洁工,电工,保安人员,快递员等)。



渗透测试不应揭示公司内部网络上所有主机上存在的所有漏洞(可以使用漏洞扫描程序或通过正确配置漏洞管理策略来完成)。他的任务完全不同:找到攻击者可以遵循的一条或两条路线,以成功攻击其受害者。工作执行的重点是安全设置和Windows功能。总之,将不再执行任何操作,例如,扫描打开的端口并搜索具有未安装更新的主机。



这是怎么发生的



内部基础结构安全性测试分多个阶段进行:







这是一个示例,说明在我们的一个项目的框架内实际上如何进行类似的内部渗透测试:



  • 首先,我们确定了托管Web应用程序的文件共享。
  • SA (Super Admin) MS SQL;
  • MS SQL sqldumper.exe xp_cmdshell LSASS, :
  • .






由于内部渗透测试仅考虑组织的内部(显然)基础结构,因此攻击者如何获得对网络的初始访问无关紧要-他如何使用此访问很重要。因此,根据渗透测试的结果编写的最终报告描述了未发现的漏洞,但描述了专家如何通过网络迁移的历史,他遇到的障碍和困难,如何绕过它们以及如何完成任务。专家可以检测到几个缺陷,但是要实现该目标,将选择最理想或最有趣的缺陷之一。同时,“途中”发现的所有漏洞也将包括在报告中。结果,客户将收到有关纠正缺陷和提高内部基础结构安全性的建议。



实际上,内部渗透测试是对外部渗透测试的继续,回答了一个问题:“网络犯罪分子进入网络后会发生什么?”。相比之下,以下方法通常用于外围渗透测试过程中:







谁进入基础设施



因此,攻击者如何进入网络并不重要,因此在计划内部渗透测试的初始阶段,可以考虑内部人员或外部攻击者的模型。



  1. 内部模型。内部人员是一个积极进取的内部攻击者,可以合法地访问组织的基础结构,仅受工作职责的限制。例如,一个真正的员工决定伤害他的公司。另外,支持服务的员工(安全警卫,清洁工,电工等)可以充当内部人员,他们可以合法访问办公室,但不能访问基础结构。
  2. 外部入侵者模型。该模型未关注如何获得对组织内部网络的访问权限(外围软件漏洞,凭据泄漏,社会工程或其他)。起点是“局外人”已经在里面的事实。


编译威胁模型之后,将模拟情况本身,其中执行者将可以访问基础架构:



  • ;
  • . , (Wi-Fi);
  • . : , , ;
  • «» , . (Command & Control), . , .


同时,渗透测试并不是在其他人的基础架构上漫无目的的徘徊。“白黑客”始终有客户设定的目标。内部渗透测试最常见的情况是获取域管理员权限。但是,实际上,攻击者很少寻求获得这种特权,因为这会引起他们不必要的注意。因此,在大多数情况下,域管理员特权不是目标,而是实现目标的手段。目标可能是,例如,接管公司网络,获得对工作站和服务器或对应用程序和数据库的访问权限。



谁需要这一切



对于客户而言,让渗透测试人员进入其公司网络甚至值得吗?绝对值得。这是公司最关键的数据和主要秘密所在。为了保护局域网,您需要了解其所有角落,缺点和缺点。内部渗透测试可以帮助实现这一目标。它使您可以查看基础结构中的弱点或检查已配置的安全控制并加以改进。此外,内部渗透测试是Red Team更加经济的选择。好吧,如果任务是向管理层证明分配的资金不足以确保内部基础设施的安全,则内部渗透测试可让您以事实为依据来支持本论文。



作者:Dmitry Neverov,Rostelecom-Solar安全分析专家


More articles:


All Articles