Pentesternes top fem

Sikkerhedsfirmaet Praetorian har på basis af 100 penetrationstests opstillet en liste over de fem mest effektive angrebsmetoder, der lod dem tage kontrol over et netværk. Ingen af dem involverede exploits.
29. september, 2016 - Kl. 13.30
[Oprindeligt publiceret af Center for Cybersikkerhed]

Selvom der er ganske gode grunde for ledelse, systemejere og it-administratorer til at frygte offentliggørelsen af det næste zero-day-exploit, tyder Praetorians undersøgelse på, at en stor del af bekymringen i lige så høj grad skal rettes mod langt mere basale sikkerhedsforanstaltninger. Sikkerheden kan forbedres mærkbart med en en effektiv passwordpolitik og korrekt segmentering af netværket.

 

Effektive angrebsveje

Med afsæt i penetrationstests af 75 organisationer, har Praetorien opstillet en liste over de mest effektive angrebsveje ind til kernen af en organisations netværk. I 66% af tilfældene var svage og dårlige passwords medårsag til, at Praetorian i sidste ende kunne tage kontrollen over firmaet infrastruktur.

 

En kedelig tendens

Tendensen med, at mange firmaer ikke har øje for ret basale sikkerhedsforanstaltninger, er en som CFCS hyppigt observerer i arbejdet med at opdage og imødegå de mere avancerede angreb (APT).

 

"Flere af de systemer, vi støder på i forbindelse med vores arbejde med at identificere APT, har upatchede sikkerhedshuller", siger en af CFCS' forensics-eksperter.

”Det er absolut ikke zero-day-sårbarheder, men derimod exploits, der har været kendt i årevis"

 

Penetrationstesterens top fem

Praetorians oversigt over de fem hyppigt forekommende sikkerhedshuller omfatter da også flere forhold som CFCS omtaler i sine vejledninger. Praetorians liste over gængse svagheder er:

 

Svage passwords - mange virksomheder bruger Microsofts Active Directory (MS AD) til at administrere de ansattes adgang og profiler. MS AD tillader imidlertid ikke kontrol af om de tilhørende passwords er tilstrækkeligt stærke, hvorfor Praetorian i mange tilfælde har haft let ved at trænge ind via en ansats brugerkonto. Praetorian har flere gange set, at lokalbrugere har fået tilkendt administratorrettigheder for at gøre det nemt at installere programmer, hvilket gør bare gør penetrationen yderligere succesful.

 

Broadcast Name Resolution Poisoning - en del firmaer bruger WPAD-protokollen til automatisk at konfigurere deres maskiner i forhold til hvilke web-proxys de skal bruge. Protokollen gør firmaets infrastuktur sårbar over for man-in-the-middle-angreb.

 

Pass the Hash – hackere kan bruge NTLM-autentifikationsprotokollen til at få adgang til brugerkonti uden det rigtige password, hvis de på anden vis kan skaffe sig adgang til brugernavn og den hashede værdi af et password.

 

Klartekstversioner af passwords i systemhukommelsen – har en hacker først fået en lokal administratoradgang til et system kan vedkommende ved at bruge forskellige værktøjer tilgå andre passwords, der gemmes i systemet.

 

Dårlig netværkskontrol – dårlig segmentering og adgangskontrol imellem dele af et netværk udsætter i 52 % af Praetorians test et netværk for en unødig risiko. Falder først en del af netværket risikerer virksomheder med dårlig netværksskontrol, at hele infrastrukturen ryger.

 

Praetorians rapport kan læses her:

How to Dramatically Improve Corporate IT Security Without Spending Millions (PDF)

(CFCS bringer alene denne rapport som reference, men tager på ingen måde ansvar for indhold eller påstande fremsat i rapporten)

 

CFCS råd til at forbedre virksomhedes passwords og dermed imødegå fire ud af fem svagheder kan hentes her