Новости

Positive Technologies: угрозы информационной безопасности в корпоративных сетях Wi-Fi и рекомендации по их минимизации

08.06.2017
Positive Technologies: угрозы информационной безопасности в корпоративных сетях Wi-Fi и рекомендации по их минимизации

07.06.2017 компания Positive Technologies представила отчет «Атаки на корпоративный Wi-Fi», в котором приведен обзор наиболее распространенных угроз информационной безопасности, связанных с использованием беспроводной сети как части корпоративной инфраструктуры. Отчет основан на сведениях, полученных в ходе работ компании по анализу защищенности беспроводных сетей ряда организаций в 2016 году.

В качестве наиболее распространенных угроз информационной безопасности и сценариев компьютерных атак на корпоративные сети Wi-Fi выделяются:

  1. Доступность корпоративной сети за пределами контролируемой зоны. Злоумышленник может получить доступ к сети организации из соседнего здания или с парковки.
  2. Поддельная точка доступа. В настройках телефонов, планшетов и ноутбуков многих пользователей прописано автоматическое подключение к известной сети Wi-Fi. Создав поддельную точку доступа с названием, идентичным корпоративной сети Wi-Fi, в местах пребывания сотрудников компании (в ближайших кафе, магазинах), злоумышленник сможет перехватить значения пары вызов / ответ (Challenge / Response), используемые в запросах на аутентификацию. Полученные данные позволят ему незаметно получить хеш пароля сотрудника компании методом перебора и, как следствие, доступ к корпоративным ресурсам.
  3. Переход из гостевой сети в корпоративную. Злоумышленник, подключившись к гостевой сети, может получить доступ и к другим сегментам сетевой инфраструктуры, перехватывать трафик, учетные данные и другую чувствительную информацию.
  4. Создание несанкционированных точек доступа. Чтобы использовать сеть Интернет в личных целях, сотрудники компаний применяют личные устройства в качестве точек доступа, к которым подключают рабочие компьютеры. В случае успешной атаки на подобную беспроводную сеть злоумышленник сможет получить доступ к ресурсам локальной сети.
  5. Использование простых словарных паролей. Подбор простого пароля посредством специальных программных средств может занять у злоумышленника несколько секунд.
  6. Использование механизма WPS (Wi-Fi Protected Setup), упрощающего настройку подключения к беспроводной сети. В данном случае имя сети и тип шифрования задаются автоматически, а для подключения к точке доступа используется PIN-код, состоящий только из цифр. Подобрав PIN-код, злоумышленник сможет получить доступ к корпоративной сети.
  7. Небезопасная аутентификация с использованием фильтрации подключаемых устройств по MAC-адресам. Это решение в сочетании с созданием поддельной точки доступа может позволить злоумышленнику осуществить атаку типа «человек посередине» (Man in the middle, MITM), в результате которой перехватить сетевой трафик.

Рекомендации по минимизации вышеперечисленных угроз:

  1. Ограничение мощности сигнала в настройках маршрутизатора или размещение указанного устройства во внутренних помещениях, чтобы его сигнал не выходил за пределы контролируемой зоны.
  2. Применение безопасных методов аутентификации, например, протокола EAP-TLS с использованием клиентского сертификата и проверкой сертификата сервера. Данный протокол требует установки клиентских сертификатов на каждое беспроводное устройство. В случае атаки с использованием поддельной точки доступа проверка сертификата не будет успешной, и злоумышленник не получит аутентификационные данные.
  3. Применение режима изоляции пользователей точки доступа, запрет на использование гостевой сети сотрудниками компании, а также надежные механизмы шифрования (WPA2).
  4. Регулярное проведение мероприятий по обнаружению в контролируемой зоне несанкционированных точек доступа с их последующим отключением.
  5. Введение строгой парольной политики.
  6. Отключение в настройках точки доступа функции WPS.
  7. Повышение осведомленности сотрудников в области угроз информационной безопасности, проведение обучения с контролем его эффективности.