Conform modelului de securitate Cyber Kill Chain propus de Lockheed Martin prima etapa dintr-un atac executat de hackeri este cea de Reconnaissance. In aceasta etapa, hackerii petrec timp documentandu-se despre tinta pe care o vizeaza si incerc sa culeaga cat mai multe informatii despre ea. Scopul este de a gasi eventualele punctele slabe si de a dezvolta un mod prin care aceste slabicuni sa fie exploatate pentru a castiga acces la sistem.
Organizatiile de toate dimensiunile, mai ales cele care trebuie sa respecte anumite reguli de complianta sau cele care trebuie sa obtina certificari si atestari in industria in care activeaza, trebuie sa conduca periodic procesul de evaluare a vulnerabilitatilor (VA-Vulnerability Assessment). Un VA reprezinta scanarea unei retele de date sau a unui sistem pentru a identifica orice slabiciune cunoscuta care poate fi folosita in avantajul unui atacator. Prin indentificarea acestor puncte slabe, inginerii de securitate si sysadmin-ii pot lucra impreuna pentru remedierea lor, astfel incat in cazul unui atac live pericolul sa fi fost deja eliminat.
De exemplu, inginerii de securitate pot scana toate sistemele pentru a vedea daca ele sunt vulnerabile la atacuri ca Heartbleed sau WannaCry. Ambele atacuri se folosesc de anumite erori prezente in codul sursa al software-ului. Prin exploatarea acestor erori, atacatorii reusesc sa se infiltreze intr-o retea si sa isi raspandeasca malware-ul. Prin aplicarea patch-urilor sau a update-urilor corespunzatoare aceste vulnerabilitati pot fi eliminate, organizatia devenind un mediu mai sigur. O alta vulnerabilitate mai recenta este cea numita “Windows Print Nightmare” care daca este exploatata ii poate permite unui atacator sa execute cod cu privilegii de sistem. Dupa care, atacatorul ar putea instala programe, ar putea vedea, modifica sau sterge fisiere si ar putea crea conturi noi de utilizator cu privilegii de administrator. Microsoft a publicat un patch si a recomandat instalarea lui imediat, insa pana la crearea patch-ului, workaround-ul era dezactivarea serviciului de Print Spooler. Daca organizatia executa un VA in aceasta perioada, atunci sistemele care rulau Windows si prezentau aceasta vulnerabilitate puteau fi compromise de atacatori. Organizatia trebuia sa decida daca aplica workaround-ul la nivel global prin politica de grup sau la nivel local (calculator cu calculator) pentru ca puteau exista statii care aiba nevoie sa printeze documente.
Scanarea vulnerabilitatilor este o actiune non-intruziva. Scanarea in sine este pasiva si are ca rezultat un raport in care sunt listate potentialele vulnerabilitati identificate. Spre deosebire de procesul de “penetration testing”, scanarea de vulnerabilitati nu exploateaza in mod activ vulnerabilitatile gasite si nu efectueaza niciun alt test suplimentar. Este recomandat ca persoanele care vor examina raportul generat de software-ul cu care s-a facut scanarea sa fie familiarizate cu ceea ce se numeste CVE-Common Vulnerabilities and Exposures. CVE reprezinta un program care identifica, defineste si clasifica vulnerabilitatile descoperite si facute public.
Tool-urile care sunt folosite de specialisti in procesul de vulnerability assessment pot fi licentiate sau open source. Se poate incepe simplu cu un script de ping sau cu o recunoastere de statii live in retea printr-un NMAP dupa care se poate trece la software-uri specifice unui VA cu capabilitati mult mai avansate. Un exemplu de software “cu bani” este Nessus. Pretul platit poate fi usor justificat si recuperat daca organizatia trebuie sa efectueze VA-uri periodic, mai ales pentru complianta intrucat Nessus are module construite specific pentru fiecare tip de industrie in parte. Altfel, ar trebui investit o buna bucata de timp in proiectarea sau identificare unor tool-uri potrivite pentru un astfel de VA. Un exemplu de software “free” este OpenVAS. Software foloseste o interfata web foarte user-friendly si procesul de scanare se bazeaza pe module open-source, fiecare dintre aceste module fiind imbunatatit si upgradat constant.
VA-ul este un must have in peisajul actual al amenintarilor cibernetice care are ca obiectiv detectarea punctelor vulnerabile inainte ca ele sa poate fi exploatate activ de hackeri. In mod obisnuit orice organizatie ar trebui sa se evalueze prin mijloace interne sau prin apelarea la firme externe specialiate, si in special organizatiile care sunt obligate sa respecte anumite reguli de complianta precum cele de tip PCI DSS.
Mihai Dumitrascu, Sr Systems Engineer