ملاحظات بنتيستر: الحجر الصحي والموظفين البعيدين وكيفية العيش معها

على خلفية الحجر الصحي الشامل والانتقال إلى udalenku بدأت بعض زملائنا إلى بقوة رمي تتصاعد - يقول، في جميع أنحاء لديك مجموعة من الشركات اختراق. أريد أن أتحدث عن ما يمكن القيام به في وقت قصير ، لأن صدعك كان أكثر صعوبة.

آمل ألا أفتح حجاب السرية بأن RDP إلى الخارج سيئ ، حتى لو أدى RDP هذا إلى خادم قفزة في شبكة DMZ - في هذه الحالة ، يمكن للمهاجمين مهاجمة مستخدمين آخرين لخادم القفزة والبدء في الهجوم داخل DMZ. من واقع تجربتنا ، فإن الخروج من DMZ في شبكة الشركة ليس بالأمر الصعب - فقط احصل على كلمة مرور المسؤول المحلي أو مسؤول المجال (وكثيرًا ما تستخدم كلمات المرور نفسها) ويمكنك التعمق في شبكة الشركة.

حتى إذا كان لديك خادم محدث بالكامل وتعتقد أنه لا توجد ثغرات لـ RDP ، فلا يزال هناك العديد من نواقل الهجوم المحتملة:

1. اختيار كلمة المرور (علاوة على ذلك ، لا يمكن للمهاجمين تحديد كلمات المرور ، ولكن حساباتهم - ما يسمى برش كلمة المرور)
2. , , , .
3. .
4. RDP .

الحل الجيد هو استخدام Remote Desktrop Gateway (RDG) ، لذلك لا تفتح RDP. الحقيقة هي ، لا تنس أنه في بداية العام تم العثور على ثغرات خطيرة ( 2020-0609 و CVE-2020-0610 ) وتحتاج إلى تحديث خوادمك - ومع ذلك ، يجب أن يتم ذلك دائمًا ، وليس فقط عندما يتم إصدار الثغرات الأمنية الحرجة.

سيكون الحل الأفضل هو استخدام VPN + RDG ، بالإضافة إلى تكوين 2FA لجميع الخدمات. وبالتالي ، سيتم حل مشكلة إزالة RDG إلى المحيط الخارجي ولن يكون الوصول إليها إلا من خلال VPN ، مما سيجعل من السهل تتبع من يتصل بـ RDG. بالإضافة إلى ذلك ، سيساعد استخدام 2FA على التعامل مع مشكلة كلمات المرور البسيطة المحتملة: من خلال اختيار كلمة مرور ، ولكن بدون عاملين ، سيظل المهاجم غير قادر على الاتصال بـ VPN \ RDP.

لا تنس تحديثات خدمة VPN. في اليوم الآخر ، نشرت شركة Cisco في الاستشارة أنها وجدت العديد من نواقل الهجوم الجديدة مع ثغرة CVE-2018-0101. وعلى الرغم من أنه في وقت كتابة المقال ، لم يكن هناك رمز استغلال عام حتى الآن ، نظرًا للحالة ، يجدر تحديث أجهزتك.

يستخدم بعض الأشخاص أنظمة VDI للوصول عن بُعد (على سبيل المثال ، Citrix و VMware) - قد تكون هناك أيضًا مشكلات. بدءًا من القدرة على تحديد كلمات المرور والحصول على مزيد من الوصول إلى سطح المكتب / التطبيق ، وتنتهي بهجمات على أنظمة لم يتم إصلاحها والحسابات / كلمات المرور الافتراضية المثبتة.

إذا تمكن مهاجم من الوصول إلى VDI ، فإن ما يسمى بالخروج من وضع التطبيق يمكن أن يعمل كهجوم: عندما يتم تكوين اختصارات لوحة المفاتيح بشكل غير صحيح ، يمكنك الخروج من التطبيق في نظام التشغيل ثم استخدام سطر الأوامر لمهاجمة نظام التشغيل والمستخدمين.

ليس فقط أنظمة الوصول عن بعد ، ولكن أيضًا تطبيقات الشركات الأخرى يمكن أن تهاجم. على سبيل المثال ، يفتح الكثيرون الآن تطبيقات OWA على المحيط الخارجي ، والتي يمكن للموظفين من خلالها استلام البريد ، وفتح Jira لتتبع المهام ، ونسيان الهجمات المحتملة على هذه التطبيقات.

يمكن مهاجمة أي تطبيقات ويب واستخدامها لمزيد من الهجمات. إذا كان ذلك ممكنًا ، يجب منحهم حق الوصول من خلال VPN أو على الأقل تطبيق إجراءات الأمان الأساسية ، مثل التصحيح ، وحظر طلبات إعادة تعيين كلمة المرور / كلمة المرور المتعددة.

يمكن للمهاجمين مهاجمة التطبيقات على النحو التالي:

1. استغلال الثغرات الأمنية في الخدمات نفسها (على سبيل المثال ، تم العثور على CVE-2019–11581 في Jira العام الماضي ، وخلال مشاريع Pentest وجدنا بشكل متكرر خوادم ضعيفة).
2. حاول التقاط كلمات المرور أو الحسابات.
3. استفد من حقيقة أن الأنظمة لديها حسابات افتراضية ممكّنة ، ولا يتم تغيير كلمات المرور منها.

بالطبع ، يعد الموظفون رابطًا ضعيفًا: يمكن مهاجمتهم عن طريق التصيد الاحتيالي ثم استخدام أجهزتهم لاختراق المحيط الداخلي للمؤسسة. مرة أخرى - إذا كان من المرجح أن تكون مضادات الفيروسات على أجهزة الكمبيوتر المحمولة الخاصة بالعمل ، فعندئذ في حالة الأجهزة الشخصية لا يوجد مثل هذا اليقين - فقد تكون مصابة جيدًا.

لهذه الأسباب ، عندما يعمل الناس من المنزل ، من الضروري اتخاذ تدابير إضافية لزيادة محو الأمية في قضايا أمن المعلومات - القيام بتدريب إضافي من خلال الدورات أو الندوات عبر الإنترنت ، وإجراء رسائل بريدية مع تحذيرات وإخبار عن أنواع جديدة من التصيد الاحتيالي.

على سبيل المثال ، إليك تعليماتنا للموظفين - كيفية العمل عن بُعد والبقاء في أمان.