Prueba de penetración externa por parte de un tercero

Realmente no va a obtener buenos resultados, tal enfoque es realmente apropiado para un pentest, pero más para una prueba del Red Team / Tiger Team donde se establecen las banderas (honestamente, esto no es apropiado si nunca tuvo un pentest porque no Se desmotivará mucho y gastará una gran cantidad de su presupuesto, ya que consume bastante tiempo). Para un pentest, es preferible que defina o permita que definan diferentes escenarios que deben probarse desde la perspectiva de diferentes tipos de usuarios:

• autenticado (pueden ser diferentes tipos de privilegios)
• no autenticado

Limita los sistemas en las pruebas DoS de alcance y desconexión, especialmente porque este es su primer conjunto de pentests. Solicita una descripción general de todas las vulnerabilidades descubiertas clasificadas y clasificadas según su impacto, probabilidad y calificación general de riesgo.

Un sistema no se considera vulnerable solo porque puede obtener root, un sistema es vulnerable a vulnerabilidades, cada uno con su propia clasificación de riesgo. También tenga en cuenta que un sistema que tiene una calificación de riesgo de vulnerabilidad baja puede, debido a la información recopilada, ayudar a comprometer otro sistema.

Normalmente, define un marco de tiempo, según el tamaño de su red o sitio web, en el que deberían funcionar. Normalmente, puede discutir el alcance y sus diferentes partes le dirán lo que consideran adecuado para el alcance. Tenga en cuenta que debido a que realiza un pentest de la red, esto no significa necesariamente que todos sus sitios web también estén dentro del alcance.

También es preferible que proporcione información sobre su red, es un pentest, significa que está limitado en presupuesto y tiempo. Los verdaderos atacantes tienen más tiempo y, a menudo, no están vinculados financieramente. Por lo tanto, para obtener los mejores resultados, realice las pruebas de caja gris o blanca donde proporciona información a los evaluadores, como los rangos de red y las funciones de diferentes servidores.

Asegúrese de limitar también la explotación de los servidores de producción. Debe asegurarse de que no se explota ningún servidor de producción sin su permiso previo. Esto es para garantizar que no se bloqueen durante el horario comercial.

Mi preferencia personal por el informe es la siguiente:

• Ámbito
• Resumen de gestión
• Resumen técnico
• Escenarios de ataque (apropiados si diferentes vulnerabilidades llevan a comprometer un host)
• Los hallazgos se clasifican por vulnerabilidad con una lista de hosts vulnerables que detallan una descripción de la vulnerabilidad, el riesgo, la recomendación y las referencias. Los hallazgos deben hacerse de tal manera que incluso alguien con conocimiento limitado de Pentest pueda reproducir el hallazgo. Se debe proporcionar amplia evidencia, como por ejemplo capturas de pantalla, solicitudes, respuestas, ...

El "alcance" generalmente no indica algo como "No puede rootear las máquinas", como un cliente que quiere saber si esto es posible en mi humilde opinión. Una vez que se adquiere el acceso a la raíz, básicamente se acaba el juego.

Lo que el alcance debería decir es la cantidad de servidores y sus nombres de servidor / IP y que la evaluación está restringida solo a estos dispositivos. Esto para evitar que una vez que una máquina se vea comprometida, los consultores de seguridad comiencen a trabajar en el resto de la red.

Supongamos que hay un desbordamiento de búfer en un daemon o una aplicación. ¿Desearía que dedicaran tiempo a explotar este desbordamiento de búfer o encontrar más vulnerabilidades?

En general, como consultor de seguridad, le explico la situación al cliente que, dado el tiempo suficiente, lo más probable es que se pueda explotar el desbordamiento del búfer. Preguntaré si quieren que continuemos explotando esto o que dediquemos tiempo a observar otras partes del sistema.

Además, informamos las vulnerabilidades graves y críticas de inmediato y realizamos una evaluación diaria de los hallazgos.

Hable con el (los) consultor (es) a diario, la comunicación es clave aquí (algo que el (los) consultor (es) debería hacer con sus clientes, IMHO).

Como probador de penetración, esta redacción se incluye en la Declaración de trabajo, sin embargo, como probador, no recomiendo que haga que el probador simplemente detenga la prueba una vez que se obtenga acceso. El propósito de una prueba de penetración es obtener acceso muy similar a cómo un atacante obtendría acceso. Al detener la prueba, nunca se podría saber qué otra cosa es explotable. Veamos lo siguiente:

PENTEST

Yournetwork 172.16.1.0/24

Indiquemos que el comprobador comienza en 172.16.1.0 y obtiene acceso a 172.16.1.10, el comprobador se encuentra con una máquina altamente explotable, obtiene el control total y detiene la prueba. ¿De qué se ha beneficiado si hubieran 244 máquinas sin probar?

Uno de los mayores obstáculos a los que nos enfrentamos (evaluadores), es que a veces estamos limitados en lo que podemos probar y cómo podemos hacerlo. En general, mi objetivo es utilizar explotaciones confiables que no afecten a la red de un cliente (servicios fallidos, causan denegaciones de servicio). Muchas veces, las técnicas que un atacante de buena fe usaría son de la tabla para mí. Por ejemplo, encadenamiento de exploits, donde puedo encontrar un script de sitio cruzado de bajo nivel (XSS) pero la única forma de explotarlo es agregar un vector de ingeniería social (enviando un correo electrónico a su empleado un enlace).

Hay ventajas y desventajas con la realización de pruebas parciales y el estándar: "Apuntar una herramienta a este bloqueo de red, si no puede ingresar, estamos seguros" nunca funciona. Esto es porque la prueba es un arma cargada. Como evaluador profesional, sé que no puedo hacer algo para interrumpir sus operaciones, por lo que no lo arriesgaré. Un atacante de buena fe nunca va a decir: "bueno, si ejecuto este exploit, podría bloquear su sistema ... Mejor no" o "bueno, esto es solo un ataque XSS ... es mejor que no use esto en un correo electrónico elaborado , "o" encontré la primera máquina explotable ... debería dejar de explotar el resto de la red ". Por el contrario, un atacante ejecutará cualquier exploit que desee, no les importará que colisionen de algo y encadenarán exploits.

Prefiero realizar pruebas internas de blackbox (todo vale) desde dentro. Con y sin credenciales frente a pruebas remotas. Esta es una lógica simple: "Supongamos que llegaron a la puerta principal ... ¿Qué pueden hacer?" Esto me permite hacer que el cliente determine su postura de seguridad desde adentro hacia afuera, donde se realizan pruebas externas DESPUÉS. Encontré que este enfoque produce resultados mucho mejores que disparar a una IP externa.

Además, dependiendo de su estructura, me he encontrado con demasiados proveedores de alojamiento de terceros. Aquí es donde se dice la infraestructura web del cliente en Amazon, o algún otro proveedor de alojamiento, en el que no podemos realizar pruebas, ya que el proveedor de la nube evita las pruebas de penetración. Así que es probable que obtengas un informe sesgado.

Mi consejo es que, si vas a dejar que alguien lo pruebe, debería ser todo o nada. Los evaluadores más competentes son conscientes de las trampas que mencioné aquí. La mayoría ya debería saber: "nunca usarás hazañas que afectarán algo" para que sean responsables. Sin embargo, no dejaría de realizar las pruebas, y obtendría más por su dinero realizando primero las pruebas internas (a ciegas y con credenciales) seguidas de las pruebas externas.

Los PenTests tienen un "alcance" asociado a ellos que usted, como lo define el cliente. Usted define qué tan lejos quiere que vayan y cuáles son los criterios de éxito.