Al realizar pruebas de penetración para el trabajo, a menudo tengo que desactivar Symantec Endpoint Protection para usar ciertas cargas útiles con Burp Suite y recientemente tuve que hacer esto por algo tan simple como WPScan (en una máquina virtual Kali).
Aquí está el error que aparece:
SoyconscientedequepuedodeshabilitarriesgosdeseguridadespecíficosdentrodeSymantec,peroesoeshonestamenteundolortotal.Tengoqueesperarunos10minutosparaquesecarguelalistaantesdedeshabilitarunaherramientaespecíficayluegotengoquedeshabilitarlascargasútiles/tiposdecargaútil(porejemplo,inyecciónSQL=tipodecargaútilfrenteaShellshock=cargaútil)pararealizarpruebasmientrassemantieneelantivirusencendido
Comoprofesionaldeseguridad,laspalabras"simplemente desactiva tu antivirus" solo dejan un mal sabor de boca, pero necesito poder hacer mi trabajo. Tengo que imaginar que otras organizaciones tienen políticas sensatas y prácticas sobre cómo permitir que los evaluadores de penetración utilicen herramientas de seguridad sin deshabilitar todo el sistema de defensa en la computadora host del pentester. Aunque nuestra política establece que no solo debes desactivar tu antivirus, veo que otros pentesters lo hacen todo el tiempo solo para que puedan ingresar ' or 1=1--
en una solicitud HTTP.
Sé que no soy el único pentestro que se topa con este problema. ¿Qué hace su organización para permitir a los evaluadores de penetración realizar sus funciones de trabajo de manera efectiva sin comprometer sus propias medidas de seguridad defensivas?
Quiero escuchar sus respuestas no solo para mi propio beneficio, sino también para entender cómo los evaluadores de penetración pueden operar de manera efectiva dentro de una gran organización. Gracias de antemano!