Архив метки: Аудит ИБ

8 инструментов моделирования кибератак для повышения безопасности

Оцените недостатки безопасности своего центра обработки данных, прежде чем это сделают плохие парни!

Одной из многих новостей, которые мы слышим в современную цифровую эпоху, является кибератака.

Это мешает бизнесу, подрывает репутацию и наводит панику на конечных пользователей.

Как вы гарантируете, что ваша сетевая инфраструктура способна смягчить кибератаки?

Прошли те дни, когда вы полагаетесь на ежегодные или квартальные результаты испытаний на проникновение.

В нынешнюю эпоху вам требуется автоматическая симуляция атак на взлом (BAS), непрерывное сканирование активов и, конечно же, защита.

Благодаря следующим инструментам, которые позволяют имитировать реальную атаку на ваш центр обработки данных, вы можете просмотреть результаты и принять меры.

Самое приятное, что некоторые инструменты позволяют автоматизировать действия.

Готовы к худшему?

Infection Monkey

Запускаете ваше приложение в облаке?

Используйте Infection Monkey, чтобы протестировать свою инфраструктуру, работающую в Google Cloud, AWS, Azure или других площадках.

Infection Monkey – это инструмент с открытым исходным кодом, который можно установить на Windows, Debian и Docker.

Вы можете запустить автоматическую симуляцию атаки кражи учетных данных, неправильной конфигурации, скомпрометированных активов и т. д.

Некоторые из заслуживающих упоминания функций.

  • Неинтрузивная симуляция атак, поэтому она не влияет на работу вашей сети

  • Комплексный аудиторский отчет с практической рекомендацией по защите веб-серверов или другой инфраструктуры

  • Низкая загрузка процессора и памяти

  • Визуализируйте карту сети и атакующего

Если вы из CISO или из службы безопасности, тогда вам понравится отчет.

Это приложение бесплатно, так что попробуйте его уже сегодня.

Threatcare

Threatcare – эффективный инструмент для проверки контроля, выявления потенциальной угрозы и предоставления информации за считанные минуты.

Это кроссплатформенное приложение, которое может быть установлено в Windows или Linux в облачной или локальной среде.

Threatcare подражает тому, как хакер атакует вашу инфраструктуру, поэтому вы знаете, как расположены элементы управления безопасностью.

Некоторые функции, которые могут вас заинтересовать.

  • MITER ATT & CK playbooks со всеми 11 тактиками

  • Вы можете создать пользовательскую среду

  • Актуальная отчетность

  • Масштабируемость для удовлетворения потребностей роста бизнеса

  • Вы можете начать использовать его с БЕСПЛАТНОГО плана запуска симуляции атаки.

NeSSi2

NeSSi2 – это инструмент с открытым исходным кодом, работающий на платформе JIAC.

NeSSi означает симулятор сетевой безопасности, чтобы вы могли догадаться, что он делает.

Основное внимание уделяется проверке алгоритмов обнаружения вторжений, сетевого анализа, автоматических атак на основе профилей и т. д.

Он требует Java SE 7 и MySQL для настройки и запуска.

CALDERA

Инструмент эмуляции противника.

CALDERA поддерживает только сеть Windows Domain.

Он использует модель ATT & CK для тестирования и воспроизведения поведения.

Кроме того, вы также можете попробовать Metta от Uber.

Foreseeti

securiCAD от foreseeti позволяет виртуально атаковать вашу инфраструктуру для оценки и управления подверженностью риску.

Он работает в трех простых концепциях.

  • Создайте модель – добавьте, что все (сервер, маршрутизатор, брандмауэр, службы и т. Д.) Вы хотите проверить

  • Смоделируйте атаку – чтобы узнать, когда и когда ваша система сломается

  • Отчет о рисках – на основе данных моделирования будет создан действенный отчет, который вы сможете реализовать для снижения общего риска

securiCAD – это готовое к использованию решение для предприятий.

Стоит попробовать посмотреть, как это работает.

AttackIQ

AttackIQ – одна из популярных масштабируемых платформ для проверки безопасности, позволяющая повысить безопасность вашего центра обработки данных.

Это наступательно-оборонительная система, чтобы помочь оператору безопасности учиться как действуют “Рэд тим”.

Платформа интегрирована с жизненно важной структурой – MITER ATT & CK.

Некоторые из других функций.

  • При поддержке исследовательской группы AttackIQ и лидера индустрии безопасности

  • Настройте сценарий атаки, чтобы имитировать реальные угрозы

  • Автоматизируйте атаки и получайте постоянный отчет о состоянии безопасности

  • Легкие агенты

  • Работает на основной операционной системе и хорошо интегрируется с существующей инфраструктурой

  • Они предлагают две недели БЕСПЛАТНО пробную версию, чтобы попробовать свою платформу. Попробуйте посмотреть, насколько хорошее ваше состояние инфраструктуры.

SCYTHE

Узнайте, где ваша организация находится под угрозой безопасности.

Платформа Scythe получила мощный и простой в использовании рабочий процесс для создания и запуска реальной кампании по киберугрозам.

С помощью данных вы можете анализировать конечные точки безопасности в режиме реального времени.

Scythe предлагается как модель SaaS или локально.

Будь вы красная, синяя или фиолетовая команда – это подходит всем.

XM Cyber

XM Cyber предлагает автоматизированное расширенное решение для моделирования устойчивых угроз (APT).

Оставайтесь впереди атакующего.

XM Cyber предлагает автоматизированное расширенное решение для моделирования устойчивых угроз (APT). Оставайтесь впереди атакующего.

Вы можете выбрать цель для запуска и настроить текущие атаки и получить приоритетный отчет об исправлении.

Некоторые основные моменты об инструменте.

  • Настройте сценарий атаки в соответствии с потребностями

  • Визуализируйте путь атаки

  • Современные методы атаки

  • Рекомендации по передовому опыту и политике

Заключение

Управление рисками информационной безопасности организации является сложной задачей, и я надеюсь, что вышеупомянутые инструменты помогут вам внедрить средства управления мирового класса для снижения подверженности риску.

Большинство из перечисленных инструментов предлагают бесплатную пробную версию, поэтому лучше всего попробовать, как они работают, и выбрать ту, которая вам понравится больше всех.

 



2018-12-11T09:49:21
Аудит ИБ

Arch-Audit: инструмент проверки уязвимых пакетов в Arch Linux

Мы должны обновить систему, чтобы минимизировать время простоя и устранить проблемы.

Это одна из обычных задач администратора Linux для исправления системы один раз в месяц или максимум 90 дней. Читать

Настройка, прокачка, запуск и автоматизация OpenVAS на Kali Linux

Пользователи часто запрашивают дополнение сканеров уязвимостей в Kali, в первую очередь те, которые начинаются с «N», но из-за ограничений лицензирования мы не включаем их в дистрибутив.

К счастью, Kali включает в себя очень способный OpenVAS, который является бесплатным и c открытым исходным кодом.

Хотя мы вкратце рассмотрели OpenVAS в прошлом, мы решили посвятить более тщательную публикацию о том, как настраивать, запускать и автоматизировать OpenVAS на Kali Linux.

Это просто потому, что сканеры уязвимостей часто имеют слабую репутацию, прежде всего потому, что их роль и цель неправильно поняты.

Сканеры Vulnerabilty сканируют уязвимости – но они не являются волшебными машинами эксплойта и должны быть одним из многих источников информации, используемых в оценке безопасности.

Слепой запуск сканера уязвимостей на цель почти наверняка закончится разочарованием и горем, с десятками (или даже сотнями) результатов низкого уровня или неинформативных результатов.

Системные Требования

Основная жалоба, которую получают о OpenVAS (или любом другом сканере уязвимостей), можно резюмировать как «она слишком медленная и сбойная и не работает, и это плохо, и очень плохо».

Почти во всех случаях медленность и / или сбои связаны с недостаточными системными ресурсами.

OpenVAS имеет десятки тысяч сигнатур, и если вы не дадите вашей системе достаточного количества ресурсов, особенно оперативной памяти, вы окажетесь в мире страданий.

Для некоторых коммерческих сканеров уязвимостей требуется как минимум 8 ГБ ОЗУ и рекомендуется еще больше.

OpenVAS не требует около такого объема памяти, но чем больше вы можете предоставить ему, тем более плавно система сканирования будет работать.

Для этого урока  наша виртуальная машина Kali имеет 3 процессора и 3 ГБ оперативной памяти, что обычно достаточно для сканирования небольшого количества хостов одновременно.

Начальная установка OpenVAS в Кали

У OpenVAS много движущихся частей, и настройка вручную может быть проблемой.

К счастью, Kali содержит простую в использовании утилиту под названием «openvas-setup», которая занимается настройкой OpenVAS, загрузкой сигнатур и созданием пароля для пользователя admin.

Эта первоначальная настройка может занять довольно много времени, даже при быстром подключении к Интернету, можно просто сидеть сложа руки.

В конце настройки будет отображаться автоматически созданный пароль для пользователя admin.

Обязательно сохраните этот пароль где-нибудь в безопасности.

root@kali:~# openvas-setup

ERROR: Directory for keys (/var/lib/openvas/private/CA) not found!

ERROR: Directory for certificates (/var/lib/openvas/CA) not found!

ERROR: CA key not found in /var/lib/openvas/private/CA/cakey.pem

ERROR: CA certificate not found in /var/lib/openvas/CA/cacert.pem

ERROR: CA certificate failed verification, see /tmp/tmp.7G2IQWtqwj/openvas-manage-certs.log for details. Aborting.ERROR: Your OpenVAS certificate infrastructure did NOT pass validation.

See messages above for details.

Generated private key in /tmp/tmp.PerU5lG2tl/cakey.pem.

Generated self signed certificate in /tmp/tmp.PerU5lG2tl/cacert.pem.

...

/usr/sbin/openvasmd

User created with password 'xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx'.

Работа с ошибками установки

Иногда скрипт «openvas-setup» будет отображать ошибки в конце загрузки NVT, аналогичные приведенным ниже.

(openvassd:2272): lib kb_redis-CRITICAL **: get_redis_ctx: redis connection error: No such file or directory

(openvassd:2272): lib kb_redis-CRITICAL **: redis_new: cannot access redis at '/var/run/redis/redis.sock'

(openvassd:2272): lib kb_redis-CRITICAL **: get_redis_ctx: redis connection error: No such file or directory

openvassd: no process found

Если вам посчастливилось столкнуться с этой проблемой, вы можете запустить «openvas-check-setup», чтобы узнать, какой компонент вызывает проблемы.

В этом конкретном случае мы получаем следующее из скрипта:

...

ERROR: The number of NVTs in the OpenVAS Manager database is too low.

FIX: Make sure OpenVAS Scanner is running with an up-to-date NVT collection and run 'openvasmd --rebuild'.

...

Скрипт «openvas-check-setup» обнаруживает проблему и даже предоставляет команду для запуска (надеюсь) решения этой проблемы.

После восстановления коллекции NVT рекомендуется пройти все проверки.

root@kali:~# openvasmd --rebuild

root@kali:~# openvas-check-setup

openvas-check-setup 2.3.7

Test completeness and readiness of OpenVAS-9

...

It seems like your OpenVAS-9 installation is OK.

...

Управление пользователями OpenVAS

Если вам нужно (или хотите) создать дополнительных пользователей OpenVAS, запустите ‘openvasmd’ с параметром -create-user, который добавит нового пользователя и отобразит случайно сгенерированный пароль.

root@kali:~# openvasmd --create-user=dookie

User created with password 'yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyy'.

root@kali:~# openvasmd --get-users

admin

dookie

К счастью, изменение паролей пользователей OpenVAS легко осуществляется с помощью опции «openvasmd» и «new-password».

root@kali:~# openvasmd --user=dookie --new-password=s3cr3t

root@kali:~# openvasmd --user=admin --new-password=sup3rs3cr3t

Запуск и остановка OpenVAS

Сетевые службы по умолчанию отключены в Kali Linux, поэтому, если вы не настроили OpenVAS для запуска при загрузке, вы можете запустить необходимые службы, запустив «openvas-start».

root@kali:~# openvas-start

Starting OpenVas ServicesПосле того, как у вас есть список хостов, вы можете импортировать их в разделе «Цели» в меню «Конфигурация».

Когда службы завершают инициализацию, вы должны найти TCP-порты 9390 и 9392, которые прослушивают ваш loopback-интерфейс.

root@kali:~# ss -ant

State Recv-Q Send-Q Local Address:Port Peer Address:Port

LISTEN 0 128 127.0.0.1:9390 *:*

LISTEN 0 128 127.0.0.1:9392 *:*

Из-за нагрузки на системные ресурсы вы, вероятно, захотите остановить OpenVAS, когда вы закончите использовать его, особенно если вы не используете специальную систему для сканирования уязвимостей.

OpenVAS можно остановить, запустив «openvas-stop».

root@kali:~# openvas-stop

Stopping OpenVas Services

Использование Greenbone Security Assistant

Greenbone Security Assistant – это веб-интерфейс OpenVAS, доступный на вашем локальном компьютере (после запуска OpenVAS) на https://localhost: 9392.

После принятия самозаверенного сертификата вам будет представлена страница входа в систему и после аутентификации вы увидите основную панель.

Настройка учетных данных

Сканеры уязвимостей обеспечивают наиболее полные результаты, когда вы можете предоставить механизму сканирования учетные данные для использования на сканируемых системах.

OpenVAS будет использовать эти учетные данные для входа в сканированную систему и выполнения подробного перечисления установленного программного обеспечения, патчей и т. д.

Вы можете добавить учетные данные через запись «Credentials» в меню «Configuration».

Конфигурация цели

OpenVAS, как и большинство сканеров уязвимостей, может сканировать удаленные системы, но это сканер уязвимостей, а не сканер портов.

Вместо того, чтобы полагаться на сканер уязвимостей для идентификации хостов, вы значительно упростите свою жизнь с помощью специализированного сетевого сканера, такого как Nmap или Masscan, и импортируйте список целей в OpenVAS.

root@kali:~# nmap -sn -oA nmap-subnet-86 192.168.86.0/24

root@kali:~# grep Up nmap-subnet-86.gnmap | cut -d " " -f 2 > live-hosts.txt

После того, как у вас есть список хостов, вы можете импортировать их в разделе «target» в меню «Configuration».

Конфигурация сканирования

Перед запуском сканирования уязвимостей вы должны точно настроить Scan Config/,

Это можно сделать в разделе “Scan Configs” в меню “Config”.

Вы можете клонировать любую конфигурацию сканирования по умолчанию и редактировать ее параметры, отключая любые службы или проверки, которые вам не нужны.

Если вы используете Nmap для проведения предварительного анализа ваших целевых объектов, вы можете сэкономить время сканирования уязвимости.

Конфигурация задачи

Ваши учетные данные, цели и конфигурации сканирования настроены таким образом, что теперь вы готовы собрать все вместе и запустить сканирование уязвимостей.

В OpenVAS сканирование уязвимостей проводится как «tasks».

Когда вы настраиваете новую задачу, вы можете дополнительно оптимизировать сканирование путем увеличения или уменьшения одновременных действий, которые происходят.

С нашей системой с 3 ГБ оперативной памяти мы скорректировали наши настройки задач, как показано ниже.

Благодаря нашим более точно настроенным параметрам сканирования и целевому выбору результаты нашего сканирования намного полезнее.

Автоматизация OpenVAS

Одной из менее известных функций OpenVAS является интерфейс командной строки, с которым вы взаимодействуете с помощью команды «omp».

Его использование не совсем интуитивно, но мы не единственные поклонники OpenVAS, и мы столкнулись с несколькими базовыми скриптами, которые вы можете использовать и расширить сканирование для автоматизации OpenVAS.

Первый – openvas-automate.sh от mgeeky, полуинтерактивный скрипт Bash, который предлагает вам тип сканирования и заботится обо всем остальном.

Конфигурации сканирования жестко закодированы в сценарии, поэтому, если вы хотите использовать свои настроенные конфиги, их можно добавить в разделе «targets».

root@kali:~# apt -y install pcregrep

root@kali:~# ./openvas-automate.sh 192.168.86.61:: OpenVAS automation script.

mgeeky, 0.1[>] Please select scan type:

1. Discovery

2. Full and fast

3. Full and fast ultimate

4. Full and very deep

5. Full and very deep ultimate

6. Host Discovery

7. System Discovery

9. Exit



--------------------------------

Please select an option: 5



[+] Tasked: 'Full and very deep ultimate' scan against '192.168.86.61'

[>] Reusing target...

[+] Target's id: 6ccbb036-4afa-46d8-b0c0-acbd262532e5

[>] Creating a task...

[+] Task created successfully, id: '8e77181c-07ac-4d2c-ad30-9ae7a281d0f8'

[>] Starting the task...

[+] Task started. Report id: 6bf0ec08-9c60-4eb5-a0ad-33577a646c9b

[.] Awaiting for it to finish. This will take a long while...



8e77181c-07ac-4d2c-ad30-9ae7a281d0f8 Running 1% 192.168.86.61

Мы также наткнулись на сообщение в блоге по code16, которое представляет и объясняет их скрипт Python для взаимодействия с OpenVAS.

Подобно скрипту Bash выше, вам нужно будет внести некоторые изменения в скрипт, если вы хотите настроить тип сканирования.

root@kali:~# ./code16.py 192.168.86.27

------------------------------------------------------------------------------

code16

------------------------------------------------------------------------------

small wrapper for OpenVAS 6[+] Found target ID: 19f3bf20-441c-49b9-823d-11ef3b3d18c2

[+] Preparing options for the scan...

[+] Task ID = 28c527f8-b01c-4217-b878-0b536c6e6416

[+] Running scan for 192.168.86.27

[+] Scan started... To get current status, see below:zZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzz

...

zZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzzZzz



[+] Scan looks to be done. Good.

[+] Target scanned. Finished taskID : 28c527f8-b01c-4217-b878-0b536c6e6416

[+] Cool! We can generate some reports now ... :)

[+] Looking for report ID...

[+] Found report ID : 5ddcb4ed-4f96-4cee-b7f3-b7dad6e16cc6

[+] For taskID : 28c527f8-b01c-4217-b878-0b536c6e6416



[+] Preparing report in PDF for 192.168.86.27



[+] Report should be done in : Report_for_192.168.86.27.pdf

[+] Thanks. Cheers!

 



2018-10-18T09:42:08
Аудит ИБ

ssh-auditor: сканируйте слабые пароли ssh

SSH Auditor

Лучший способ сканирования слабых паролей ssh в вашей сети

Особенности

ssh-auditor будет автоматически:

  • Повторно проверять все известные хосты по мере добавления новых учетных данных. Он будет проверять только новые учетные данные.

  • Очередью полностью проверяет учетные данные для любого нового обнаруженного узла.

  • Очередь полного сканирования учетных данных для любого известного хоста, чья версия ssh или ключевой отпечаток пальца изменялся.

  • Попытается выполнить команду, а также попытается туннелировать TCP-соединение.

  • Повторит проверку всех учетных данных с помощью проверки подлинности scan_interval – по умолчанию – 14 дней.

  • Он разработан так, что вы можете запускать проверку ssh-auditor open + ssh-auditor от cron каждый час, чтобы выполнять постоянный аудит.

Установка

$ go get github.com/ncsa/ssh-auditor

Использование

Создайте исходную базу данных и найдите ssh-серверы

$ ./ssh-auditor discover -p 22 -p 2222 192.168.1.0/24 10.0.0.1/24

Добавьте пары учетных данных для проверки

$ ./ssh-auditor addcredential root root

$ ./ssh-auditor addcredential admin admin

$ ./ssh-auditor addcredential guest guest --scan-interval 1 #check this once per day

Попробуйте учетные данные на обнаруженные узлы в партии 20000

$ ./ssh-auditor scan

Вывести отчет о том, какие учетные данные были обработаны

$ ./ssh-auditor vuln

Этот запрос, который запускает ssh-auditor vuln

select

hc.hostport, hc.user, hc.password, hc.result, hc.last_tested, h.version

from

host_creds hc, hosts h

where

h.hostport = hc.hostport

and result!='' order by last_tested asc

Перероверка учетных данных

$ ./ssh-auditor rescan

Вывести отчет о дублировании использования ключа

$ ./ssh-auditor dupes

Скачать SSH Auditor

¯_(ツ)_/¯

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.



2018-09-20T11:55:24
Аудит ИБ

Тестируем DLP систему с помощью https://dlptest.com

Добрый день!

Как протестировать DLP систему

Хотим представить Вам полезный ресурс для тестирования DLP систем : https://dlptest.com

Сервис позволяет тестировать алерты при загрузке файлов на файлообменники, содержит тетсовые базы персональных данных (номера снилс, кредитных карт и т.д.)

 

 



2018-08-25T14:17:30
Аудит ИБ

Как посмотреть какие USB-flash (флешки) подключались к компьютеру👨⚕️

Добрый день!

Сегодня посмотрим как выяснить какие USB-flash подключались к компьютеру. Указанный навык может помочь в ходе аудита информационной безопасности и в ходе расследования инцидентов информационной (Хвала ей) безопасности.

Просмотреть какие устройства и когда подключались к АРМ мы сможем с помощью portable-программки, Скачать которую можно по адресу:

http://www.nirsoft.net/utils/usb_devices_view.html

Стоит отметить, что на странице представлен и руссификатор, просто кидаем его в папку с программой и наслаждаемся родной речью.

При запуске мы увидим историю того, что и когда проникало в наши USB-порты:

При открытии конкретной записи к подключаемому устройству мы можем увидеть более подробную информацию, в особенности серийный номер устройства (может быть полезно посмотреть серийник флешки, чтобы, например, прописать в DLP), дата и время первого подключения и тип устройства:

Может быть полезно для поиска подключений мобильных телефонов к АРМ’ам если у Вам это запрещено политикой информационной безопасности и для многого другого!

Всем святого ИБ!



2018-08-20T20:53:02
Аудит ИБ