Relación entre pruebas de penetración y resultados falsos positivos

Navega tus respuestas
1

Había leído varios artículos de investigación que discutían la tendencia de los escáneres de automatización existentes para producir resultados falsos positivos. También leí algunos artículos que muestran que las pruebas de penetración manual podrían ser la solución a resultados positivos falsos al identificar manualmente cada vulnerabilidad investigada.

Entonces, aquí está mi pregunta. ¿Los resultados falsos positivos producidos por el escáner de automatización son un problema en las pruebas de penetración? Si la respuesta es 'sí', ¿desde qué perspectiva afectará el trabajo del probador de penetración en la realización de las pruebas?

    
pregunta user25494 02.05.2013 - 13:44
fuente

2 respuestas

3

Haces muchas preguntas diferentes.

Yo diría que en general, una herramienta automatizada que produce resultados 100% exactos es imposible. De lo contrario, todos los probadores de penetración en el mundo estarían sin trabajo.

Para dar un ejemplo, RedHat realiza una copia de seguridad de los parches de seguridad de versiones anteriores del software bajo su soporte a largo plazo. Una herramienta automatizada puede detectar que el servidor está ejecutando una versión particular del kernel que tiene un exploit de escalado de privilegios y reportarlo como tal. Sin embargo, debido a los parches de seguridad de RedHat, esa vulnerabilidad de escalada de privilegios en particular es fija y ya no es explotable. Sin embargo, un probador de penetración usaría el informe de esa herramienta automatizada como punto de partida en el proceso de explotación y encontraría que la vulnerabilidad está realmente solucionada. Esto tiende a eliminar muchos de los falsos positivos producidos por las herramientas automatizadas.

Claro, eliminar falsos positivos consume bastante tiempo en una prueba de penetración. Sin embargo, no lo consideraría un inconveniente. Es solo una parte de todo el proceso de prueba de penetración. Probablemente no causará ningún retraso en el proceso de prueba de penetración ni afectará su calidad, ya que un buen probador de penetración ya debería haber tenido en cuenta estos factores al inicio de la prueba.

Un buen probador de penetración usa las herramientas disponibles para hacer que su trabajo sea más eficiente. Las herramientas automatizadas no reemplazan las habilidades, el conocimiento y la experiencia adecuados.

    
respondido por el Ayrx 02.05.2013 - 13:53
fuente
1

Los escáneres son quizás más limitados en las áreas que pueden cubrir que los falsos positivos que producen.

Un positivo falso durante la prueba puede ser molesto y llevar mucho tiempo, pero en gran medida un probador experimentado puede compensarlo fácilmente a medida que se familiariza con los posibles falsos positivos (por ejemplo, el ejemplo que da @Terry de las correcciones de seguridad con contraportada) que hace menos de un problema.

En términos de escáneres automatizados, los autores deben hacer un balance de sintonía entre la tasa de falsos positivos y la falsa de negativos. Cuando un escáner ve algo que "podría" ser un problema pero que no se puede confirmar definitivamente, puede marcarlo (mayor tasa de falsos positivos), ignorarlo (mayor tasa de falsos negativos) o hacer lo que creo que muchos escáneres hacen (especialmente los escáneres de aplicaciones web) y asigne un nivel de confianza al hallazgo.

Una vez más, esto se introduce en el proceso manual, ya que un evaluador puede tomar los resultados de alta confianza, ya que no requiere mucho seguimiento y se centra en los hallazgos que pueden ser de alto impacto pero que el escáner no está seguro (mejor uso de los esfuerzos manuales).

    
respondido por el Rоry McCune 02.05.2013 - 16:54
fuente

Lea otras preguntas en las etiquetas

¿Cómo proteger SQL Server 2005? ¿Relación entre FISMA y OMB Circular A-130?