Случайные посетители могут открыть ваш ЦОД нараспашку

14 мая 2015 г. | Амороси Дрю | Категория: Обсуждаем статью

Дата-центр – даже ваш, вполне средний и обычный – это объект, напичканный высокими технологиями и оборудованием. Это – мозги IT-инфраструктуры любой организации и ключ к ее информации. Хотя, казалось бы, логически нужно ожидать, что эта цифровая «нервная система» должна стать целью номер 1 для атакующих взломщиков, часто они могут достичь цели лишь с помощью физического проникновения на объект, и иногда им это сделать проще, чем взломать цифровую систему.

Звучит как сюжет для какого-нибудь голливудского кибер-триллера, но такие вещи происходят довольно часто, и существуют люди, типа Питера Вуда, в изобилии производящие на свет такие схемы. Однако Вуд не проникает в ЦОД компаний, чтобы поставить в сеть вредоносную программу, в надежде получить дивиденды от обладания информацией. Он – исполнительный директор фирмы First Base Technologies, тестирующей технологии проникновения, и Вуд со своей командой зарабатывают на жизнь путем продажи консультаций потенциальным жертвам, которые заключают контракты на апробацию систем защиты, как физических, так и цифровых.

Симуляция преступной атаки

«Моя роль – руководить командой, которая разрабатывает симуляции преступных атак на организации», - говорит Вуд в выступлении перед аудиторией конференции DCD Converged в Лондоне. Его команда занимается идентификацией ключевых уязвимых точек организации – как делал бы любой преступник, и после выполнения серии попыток проникновения выдает отчет клиенту с рекомендациями, как закрыть потенциальные дыры в безопасности.

Говоря о посетителях, которые могут оказаться в ЦОДе без надзора, нужно заметить, что это, возможно, самый больной вопрос, требующий внимания. Особенно труден он становится, если речь идет об организациях, арендующих стойки для размещения функций дата-центра, или отдающих IT на аутсорсинг. «Единственная и главная опасность на площадке исходит от людей, которые могут оказаться там без постоянного сопровождения», - говорит Вуд. «Нам нужно не стесняться задавать вопросы: кто пришел, зачем пришел и докладывать об этом».

Далее он объяснил, чем отличается атака на сеть, и как зачастую физическое проникновение помогает осуществить атаку на цифровом уровне либо помогает получить доступ к сетевым ресурсам наиболее защищенных сетей. Возьмите, например, компьютерный вирус Stuxnet, которые требует внедрения в целевую среду путем зараженного USB носителя. Stuxnet атакует промышленные программируемые логические контроллеры (PLC), и в 2010 году обнаружилось, что вирус вызвал разрушения на центрифугах завода Натанц по обогащению урана в Иране, таким образом отбросив иранскую программу на пять лет назад.

Анатомия атаки

Будь то физическая или логическая атака – или комбинация обеих, - существуют некие общие алгоритмы для их осуществления. Вуд перечисляет общие шаги, которые предпринимают атакующие:

- предварительный сбор информации;
- социальная инженерия (например, фишинг);
- овладение конечной точкой;
- изучение сети;
- поиск данных;
- кража данных.

«Эти этапы не обязательно строго соблюдаются всеми преступными группировками или исследователями систем безопасности», - предупреждает Вуд. Они просто в целом, как правило, используются в процессе проникновения, и иногда порядок их совершенно иной. «Большинство атак не настолько продвинуты, но они направлены по множеству векторов», - добавил он.

Атакующие собирают сведения из различных источников и разными способами, включая изучение местоположения здания на Google Maps и Street View, например. Ищут адреса корпоративной почты через поисковики на таких сайтах, как LinkedIn – это легкий путь сбора информации, и эти же порталы предоставляют сведения об именах сотрудников и их должностях, расширяя информационный арсенал опытного социального инженера. Кроме этого, как только вы нашли структуру электронной почты организации, вы можете использовать их имена для генерации почтовых сообщений буквально для каждого сотрудника в этой организации, и это помогает преступникам в технологиях фишинга и так называемого направленного фишинга, задача которого – получить доступ в сеть.

Можно назвать основные упущения, от которых страдают организации, считает Вуд. Он рекомендует увеличить бюджет на обучение персонала технологиям фишинга/направленного фишинга и воздержаться от использования корпоративной почты для сайтов соцсетей.

Когда First Base проводил пробную кампанию направленного фишинга для одного из клиентов, команда Вуда в течение 15 минут собрала информацию об электронных адресах 41 получателя. «Это довольно скучное занятие, но весьма эффективное», говорит он.

«Пугает, насколько просто получить доступ к системам, казалось бы, защищенным наиболее продвинутыми способами и технологиями», - жалуется Вуд. «Нормальное человеческое отношение – дружелюбная помощь (большинство людей таково) используется мошенниками в своих целях».

Еще одна проблема, обозначенная Вудом, - слишком большой массив информации защищен единой системой контроля безопасности, например, логин и пароль при входе в Windows. «Наше желание унифицировать логин единым входом и единым паролем Windows ведет к смерти системы сетевой безопасности», - заявил Вуд.

Вуд сообщил, что потенциальные преступники стремятся скомпрометировать системы через точки наименьшего сопротивления. «Преступники и им подобные тоже рассматривают себя как бизнес», - говорит он с высоты своего опыта. «Они могут не иметь столь же высоких моральных основ своей деятельности, но также хотят успешно достичь своей цели».

«Киберпреступники, - добавил он, – не будут использовать самый привлекательный или самый технологичный путь к своей цели, если он не будет самым эффективным». Чаще всего, они ищут способы скомпрометировать системы с наименьшим видимым ущербом.

Источник: www.datacenterdynamics.com 

Теги: атака, фишинг