Киберполигон — мультифункциональный программно-аппаратный комплекс для проведения киберучений. Инфраструктура Киберполигона основана на реальных уязвимостях, обнаруженных в различных информационных системах. Максимально приближен к боевой обстановке для подготовки Red Team и Blue Team команд.
Точка входа в корпоративную сеть
В современных реалиях взлом злоумышленниками корпоративной сети начинается с компрометации корпоративного сайта компании или учетной записи электронной почты, форма авторизации которой, зачастую, находится в пределах сайта или на поддомене. Получение доступа к веб-сайту компании позволяет злоумышленникам проводить дальнейшие атаки внутрь сети организации или уже на этом этапе извлекать финансовую выгоду:
В августе нынешнего года Jaspen Capital Partners и Андрею Супранонку наряду с другими лицами были выдвинуты обвинения во взломе корпоративных сетей компаний Business Wire, Marketwired и PR Newswire и в осуществлении мошеннической схемы, позволившей им в течение пяти лет похитить свыше 150 тыс. новостных пресс-релизов до их официальной публикации.
По данным Комиссии по ценным бумагам и биржам, таким образом злоумышленникам удалось нелегально заработать более $100 млн. Jaspen Capital Partners и Супранонок стали первыми, кто согласился на выплату компенсации. Стоит отметить, что в отличие от девяти других подозреваемых, уголовные обвинения им не предъявлялись.
Как сообщили в ведомстве, в период с 2010 по 2015 годы украинская компания использовала контракты на разницу цен для проведения торговых операций, основываясь на информации из пресс-релизов, похищенных у новостных изданий.
Взлом корпоративного сайта — наиболее часто встречаемая проблема безопасности. Как мы и писали ранее, на одном из первых мест стоит слабая парольная политика — многие привыкли ставить простые пароли в личной жизни, и переносят эту практику в корпоративный сектор. На втором месте — уязвимость веб-приложений.
Сайт вашей компании может быть атакован в любой момент времени — злоумышленники могут быть заинтересованы в получении доступа к критичной информации (коммерческая тайна, клиентская база и т.д.), вымогать средства за бесперебойную работу сайта или взломать сайт из хулиганских побуждений.
Ломают любые сайты
Как показывает практика, злоумышленники атакуют абсолютно любые сайты, невзирая на их принадлежность и уровень защиты:
Пресс-секретарь президента России Дмитрий Песков сообщил о том, что в единый день голосования, в воскресенье, 13 сентября, сайт Кремля подвергся кибератаке. Песков отметил, что защитной системе правительственного интернет-ресурса удалось сохранить работоспособность web-страницы, пишет РБК.
«Чуров вчера рассказывал о попытках взломать сайт Центризбиркома. В этой связи вам, наверное, будет интересно узнать, что где-то с 05:00 до 10:00 в воскресенье очень мощная атака проводилась одновременно и на сайт президента России. Защитные системы справились, хотя было нелегко, атака была достаточно мощной», — рассказал Песков журналистам. Пресс-секретарь также отметил, что ему пока неизвестно, кто является организатором кибератаки.
Больше всего злоумышленников привлекают крупные сайты, новостные порталы, интернет-магазины, СМИ и т.д. Помимо попыток извлечения выгоды из полученной с сайта информации могут быть атакованы посетители сайта, с помощью т.н. drive-by атак.
Иногда успешная атака может привести к огромным репутационным потерям. Из последних «громких» случаев: взлом итальянской компании Hacking Team, специализирующейся в области разработки наступательного кибер-оружия и средств эксплуатации.
Или пример с компанией Ashley Madison: хотя и очень сомнительный с моральной точки зрения бизнес, но приносящий неплохую прибыль. Взлом сайта показал что функционал сайта, по большей части оказался фикцией (женских анкет было ничтожно мало, а отвечали за них специально обученные люди), более того, компания не сдерживала свои обещания: в сеть попала личная информация даже тех пользователей, которые отдельно заплатили сервису за удаление всех данных о себе.
Защитные меры
Для предотвращения несанкционированного доступа к вашему веб-приложению необходимо придерживаться нескольких простых действий. В первую очередь это сконфигурированный веб-сервер, со всеми установленными актуальными обновлениями. Во вторую — выстроенная защита на основе WAF/IDS/IPS. И третья, не менее важная мера — это осведомленность персонала о современных угрозах и методах атаки. Но, как показывает практика, даже современные средства защиты можно обойти.
Для того, чтобы понять как защищать свои веб-приложения (не на уровне написания безопасного кода, хотя и это немаловажно), необходимо понимать как они могут быть атакованы. Даже грамотно написанное приложение может быть скомпрометировано: совокупность незначительных векторов может помочь злоумышленнику составить действенный сценарий атаки. Именно такие реалистичные сценарии уязвимых веб-приложений в Киберполигоне позволяют получить необходимые навыки для проверки собственных веб-приложений на возможность эксплуатации уязвимостей или защиты корпоративного веба.
Прохождение этого этапа позволяет участникам приступить к более серьезным вещам — таким как эксплуатации внутренней инфраструктуры.
