В первой части мы рассмотрели сценарии внешних нарушителей, которые вовсе не обладают или обладают минимальными привилегиями в сети.
Внутренний нарушитель в пентесте
Это сотрудник или подрядчик организации, который имеет легальный доступ к сетевым ресурсам или доступ на территорию компании. Такой злоумышленник может злоупотреблять своими привилегиями для получения несанкционированного доступа к данным, изменения конфигурации системы или даже уничтожения информации.
Мотивация: личная обида, финансовая выгода, вовлечение в вектор атаки по неосторожности (компрометация учетной записи).
Среди внутренних нарушителей можно выделить различные подтипы.
Модель нарушителя «Злоумышленник без учетной записи»
- обладает возможностью прямого взаимодействия с оборудованием и инфраструктурой компании (уборщица, курьер)
- имеет доступ в инфраструктуру компании через Wi-Fi
- с помощью ВПО захватил внутренний узел в сети компании методами социальной инженерии
- может подключить физический носитель с ВПО в сеть компании, в том числе закрытый технологический сегмент (АСУ ТП)
Мотивация: финансовая выгода, вовлечение в вектор по неосторожности.
Этот сценарий Simplity рекомендует включить в пентест всем компаниям.
Модель нарушителя «Дефолтный сотрудник или сотрудник с учетной записью»
- обладает низкими привилегиями в сети компании
- может попытаться получить доступ к серверам, рабочим станциям или другим устройствам, чтобы украсть информацию или установить вредоносное ПО
Мотивация: финансовая выгода, намеренное причинение вреда по личным причинам, вовлечение в вектор по неосторожности.
Этот сценарий Simplity рекомендует включить в пентест всем компаниям, в которые вхожи многочисленные подрядчики, внешний персонал, гости, а также предприятиям с КИИ и АСУ ТП.
Модель нарушителя «Подрядчик»
- имеет постоянный VPN канал с доступом в инфраструктуру, т.е. имеет постоянный легальный доступ в инфраструктуру
Мотивация: финансовая выгода, намеренное причинение вреда по личным причинам, вовлечение в вектор по неосторожности.
Этот сценарий Simplity рекомендует включить в пентест компаниям с доверенными подрядчиками и материнским компаниям, у которых есть дочерние компании.
Модель нарушителя «Сотрудник на удаленке»
- имеет базовый доступ к внутренним ИТ ресурсам Клиента через удаленное подключение
- удаленные подключения могут быть недостаточно защищены, отсутствует двухфакторная аутентификация
- может стать посредником при проведении кибератаки, умышленно или неумышленно
Мотивация: чаще всего вовлечение в вектор по неосторожности, но также финансовая выгода, намеренное причинение вреда по личным причинам.
Эту модель нарушителя рекомендуется включить в тестирование компаниям, которые обладают большим штатом сотрудников на удаленке.
Модель нарушителя «Привилегированный нарушитель»
- обладает повышенными правами доступа к части систем и сетей организации. Например, администраторы баз данных, системные администраторы или руководители ИТ-отделов
- может намеренно или случайно нанести значительный ущерб, так как имеют возможность изменять настройки безопасности, удалять данные или создавать новые учетные записи
Мотивация: финансовая выгода, намеренное причинение вреда по личным причинам, вовлечение в вектор по неосторожности.
Эту модель нарушителя рекомендуется включить в тестирование компаниям, в которых хорошо выстроены процессы ИБ, есть SOC, IDS IPS, опыт проведения тестов на проникновение.
Указанные выше модели позволяют специалистам по информационной безопасности:
- получить максимальную пользу от тестов на проникновение в зависимости от специфики компании
- определить приоритеты при проведении пентеста
- разрабатывать стратегии защиты, направленные на конкретные угрозы