Как проверить IPS? Infection Monkey vs Check Point

tiba194ylra0ipcottgho7bkdm0.png

Три года назад мы публиковали статью «Online инструменты для простейшего Pentest-а». Там мы рассказали про доступные и быстрые способы проверки защиты вашего периметра сети с помощью таких инструментов как Check Point CheckMe, Fortinet Test Your Metal и т.д. Но иногда требуется более серьезный тест, когда хочется «пошуметь» уже внутри сети (и желательно безопасно для инфраструктуры). Для этой цели может быть весьма полезным такой бесплатный инструмент как Infection Monkey. Для примера, мы решили просканировать сеть через шлюз Check Point и посмотреть, что увидит IPS. Хотя ничто не мешает вам провести аналогичный опыт и с другими решениями, чтобы проверить, как отрабатывает ваша IPS система или NGFW. Результаты под катом.

Infection Monkey


Данный инструмент можно отнести к BAS (Breach and Attack Simulation) системам, которые позволяют оценить защищенность вашей сети в автоматическом режиме. При этом выполняется безопасный «пентест» вашей инфраструктуры. Инструмент с открытым исходным кодом и активно развивается. Наверно его главное отличие в том, что все тесты проходят внутри вашей сети, как-будто злоумышленник уже проник к вам. Большинство до сих пор концентрируется на защите периметра, при этом забывая о необходимости и других мер. Тот же IDS/IPS весьма важен для комплексной защиты, т.к. позволяет определять угрозы, которые уже внутри сети. Infection Monkey — это неплохой способ оценить зрелость ИБ в вашей компании.

Поддерживаемые платформы


Сам Infection Monkey может быть развернут в виде виртуальной машины. Поддерживаются следующие платформы:

  • VMware
  • Hyper-V
  • AWS
  • Docker
  • Azure
  • Google Cloud Platform


Для AWS есть готовый шаблон, который можно использовать в рамках бесплатного аккаунта. Мы же чаще всего используем ESXi. Образ можно запросить на оф. сайте, либо у нас.

Установка


Сама инсталляция предельно проста и описана здесь, не вижу смысла дублировать эту информацию. Там же инструкция по запуску проверки. Мы же лучше сосредоточимся на результатах тестирования.

Используемые техники атаки


Infection Monkey использует несколько векторов атаки и позволяет увидеть следующие вещи:

1) Уязвимые хосты. Находит узлы со слабыми паролями, старыми версиями ПО или известными уязвимостями. Вот список эксплойтов на борту:

  • SMB Exploiter
  • WMI Exploiter
  • MSSQL Exploiter
  • MS08–067 Exploiter
  • SSH Exploiter (по сути брутфорс)
  • ShellShock Exploiter
  • SambaCry Exploiter
  • ElasticGroovy Exploiter
  • Struts2 Exploiter
  • WebLogic Exploiter
  • Hadoop/Yarn Expoiter
  • VSFTPD Exploiter


2) Запрещенное взаимодействие. Можно обнаружить взаимодействие между сетями, которое должно быть запрещено на уровне МЭ или маршрутизатора.

3) Горизонтальное распространение. Отображение перемещения «зловреда» в графическом виде. Как «пересаживается» бот в вашей сети.

Все это дополняется подробной отчетностью. Например с помощью матрицы MITRE ATT&CK:

wutpzla9ey1gk5igt98ffok6w9w.png

Карта сканирования:

cfni1c0hmvwpde4o6azla6clqgu.png

Отчет по Zero Trust модели:

v1fgsisjawqodbejuhcszjqwdu0.png

Также это хорошая проверка для ваших существующих средств защиты. Смогли ли они задетектировать эту активность? Все ли логи прилетели на ваш SIEM?

FAQ по Infection Monkey


Прежде чем перейти к результатам теста хотелось бы ответить на несколько самых распространенных вопросах об Infection Monkey.

Опасен ли данный тест для моей инфраструктуры?

Нет. Infection Monkey использует абсолютно безопасные способы пентеста, которые не могут привести к деградации ваших сервисов


Можно ли очистить 'зараженные' устройства после теста?

Infection Monkey делает это автоматически по завершению теста


Остаются ли в 'зараженной' системе какие-то следы после удаления Infection Monkey?

Практически нет. Только лог файлы. На Windows это %temp%\\~df1563.tmp. На Linux — /tmp/user-1563


Нагружает ли систему Infection Monkey?

Нагрузка практически отсутствует. К примеру на одноядерной системе (Windows Server) Monkey потребляет менее 0.6% CPU и менее 80 МБ оперативной памяти


Требуется ли программе доступ в интернет?

Нет, но желательно, чтобы он был. Интернет используется для проверки обновлений (updates.infectionmonkey.com) и для проверки доступности интернета с «зараженных» хостов (www.google.com). При этом никакие данные не собираются и не отправляются


Схема тестирования


Схема весьма простая. Виртуалка с Infection Monkey находится в выделенном сегменте. С нее мы сканируем сегмент локальной сети, через шлюз Check Point:

708rmmiwvxsqeyuxzrrklctfxua.png

Результаты Check Point IPS с профилем Optimized


Еще в курсе Check Point на максимум я пытался показать, чем опасны дефолтные настройки. Это касается всех вендоров. Надо уметь правильно «закручивать» гайки. В данном случае я решил сначала проверить дефолтный профиль Check Point — Optimized. Результаты можно посмотреть на картинке ниже:

g6yhca1fnhrgeisj_c3rmo4jdim.png

Стоит отметить, что с дефолтным профилем Infection Monkey успешно «взломал» тестовый хост (несмотря на примитивность атаки). Нужная сигнатура просто не была включена.

Результаты Check Point IPS с моим профилем


Настройки были выполнены в соответствии с рекомендациями, которые были даны в рамках курса «Check Point на максимум». Результат получился уже совсем другой:

j2wfk485z-fmwp-txb98ezfqa94.png

При этом IPS предотвратил заражение хоста и дальнейшее распространение Infection Monkey.
Стоит отметить, что у Check Point-а довольно хорошая форензика. Вот так выглядит сам лог:

m4xezhn-4gospqqcszlffosihjs.png

Здесь вы можете посмотреть и дамп трафика, и номер CVE, и тип атаки, и подробную информацию о ней, а так же рекомендации по настройке Check Point. Пример:

4d1sjhrmxqce-k2zokefl4mea2k.png

В этом плане Check Point хорошо поработал, т.к. у них имеется богатая база знаний по всевозможным зловредам.

Заключение


Безусловно, Infection Monkey это не панацея и не может отразить все потенциальные проблемы в защищенности сети. Но для бесплатного инструмента это более чем интересно. Как уже говорил, можно «пошуметь» в сети и посмотреть, как ведут себя ваши средства защиты. Те же NGFW с дефолтными настройками могут вести себя крайне неудовлетворительно. Если полученный результат вас не устраивает, мы можем помочь с анализом вашей конфигурации.

В ближайшее время мы планируем опубликовать подобные тесты для другого инструмента (Cymulate), которым можно воспользоваться бесплатно, триальной версией. Там уже гораздо больше вариантов атаки. Кроме результатов мы поделимся рекомендациями, как усилить защиту. Чтобы не пропустить следующие статьи следите за обновлениями в наших каналах (Telegram, Facebook, VK, TS Solution Blog)!

© Habrahabr.ru