Учения Red/Blue Team выявили простой и потому вероятный вектор преодоления периметра крупного игрока рынка. Рассказываем детали.
Телеком-операторы находятся в группе повышенного риска. Такие компании обрабатывают огромные массивы персональных данных: сведения об абонентах, информацию о подключениях, историю интернет-трафика и звонков, а также данные платежей. Утечка любой категории данных может привести к атакам на самих пользователей.
Кроме того, телекоммуникационные компании обычно обладают объемной распределённой инфраструктурой. В её состав входят дата-центры, корпоративные и абонентские сети, оборудование «последней мили», IoT-устройства, сервисные порталы и мобильные приложения.
Каждый из этих элементов может стать потенциальной точкой входа для злоумышленника. Успешная кибератака может оставить без связи миллионы пользователей.
ОСОБЕННОСТЬ КЛИЕНТА:
Клиент является крупным игроком рынка, его инфраструктура является значимым объектом КИИ. В данном случае пентест - не просто техническая проверка, а важный инструмент для поддержания устойчивости всей телеком-инфраструктуры, защиты личных данных абонентов и сохранения связи для миллионов пользователей.
ЗАПРОС:
- При проведении комплексного тестирования имитировать действия хакерских группировок
- Выявить и доказать возможность эксплуатации уязвимостей в применяемых средствах ИБ, Web/App/Infrastructure-серверах, корпоративных сервисах и порталах
- Проверить сегментацию сети, уровень защищённости оборудования и каналов связи, а также убедиться, что абонентские и корпоративные сегменты надёжно изолированы друг от друга
- Оценить зрелость команды ИБ при реагировании на APT атаки
- Предоставить комплексную оценку текущего уровня защищённости систем
- Разработать рекомендации по устранению выявленных недостатков
и для повышения уровня защищённости информационных активов
ЧТО БЫЛО СДЕЛАНО КОМАНДОЙ SIMPLITY:
Команда пентеста работала методом черного ящика в режиме активной защиты со стороны ИБ службы клиента.
В рамках учений Red/Blue Team был реализован сценарий «высококвалифицированный внешний нарушитель», который: скрытно действует со стороны сети Интернет, не имеет привилегий в сети, реализует атаки, направленные на получение доступа к одному или несколькими узлам ЛВС
- Подтвердили возможность первоначального доступа к инфраструктуре:
- С помощью уязвимости 1-day в ПО для построения облачной инфраструктуры преодолели периметр: на протяжении недели систематически читали почтовые письма, одно из которых содержало пароль администратора
- Белые хакеры при этом оставались незамеченными siem- системой клиента, что подтвердило наличие «слепых зон» в мониторинге сети
- Подтвердили возможность расширения плацдарма атаки и развития вектора: создали прокси туннель получили УЗ разработчика и подтвердили возможность взять домен
- Подтвердили возможность получения доступа к узлам объектов КИИ
РЕЗУЛЬТАТ
- Клиент узнал ключевую точку входа в сеть, причем вероятность реализации этого вектора злоумышленником – высокая ввиду низкого уровня сложности
- Клиент узнал о фактическом уровне эффективности, времени реакции на инциденты и «слепых зонах» своей системы мониторинга сети
- Клиент получил подтверждения реального уровня зрелости штатной ИБ команды
- Клиент доказательство возможности захватить домен в случае нападения злоумышленника высочайшего уровня подготовленности
- Клиенту предоставлены рекомендации в целях минимизации угроз информационной безопасности ИТ-инфраструктуры