¿Cuál es el resultado satisfactorio de la evaluación de las pruebas de penetración?

Como alguien que contrata a los pen-testers más de lo que yo actúo como pen-tester, lo que estoy buscando es que hiciste más que ejecutar Nessus / ZAP / Burp. Puedo hacerlo yo mismo (aunque espero que hacer eso también). Espero que veas los flujos de datos en la aplicación / sitio web y busques aquellos hilos sueltos que indiquen que hay un error lógico que podría explotarse. Espero que pueda decirme lo que puede extraer del exterior, que puede decirme cosas que causen preocupación y que no se puedan encontrar con un escaneo.

Estoy buscando indicaciones que haya examinado, por ejemplo, las pantallas de restablecimiento de contraseñas y ha considerado si el flujo es explotable. Quiero ver si ha considerado si la información privilegiada está disponible para los usuarios sin privilegios (es decir, si la aplicación solo está usando css para ocultarla o algo así no está bien).

Idealmente, he hecho las cosas fáciles antes de contratarte: he hecho el escaneo, he hecho los parches y he recogido toda la fruta de bajo rendimiento. Contrato a un pen-tester para las cosas difíciles.

Realmente, si no manejas un exploit, quiero ver que te has puesto las uñas rasguñando el exterior en busca de una grieta.

  

¿La explotación exitosa es un requisito para el trabajo de prueba de la pluma?

Siguiendo una definición estricta de las pruebas de penetración, debe atacar realmente el sistema objetivo y mantener un registro de sus intentos exitosos y fallidos. No es suficiente simplemente concluir que un servidor debería ser vulnerable porque sus herramientas de identificación de huellas dactilares revelaron una versión de software desactualizada. Usted está tomando explícitamente la perspectiva de un atacante y tiene que demostrar cómo se puede penetrar en el sistema.

El SANS Penetration Testing paper hace que siguiente distinción (aunque las definiciones varían):

  

Evaluación de la pluma frente a la prueba de vulnerabilidad

     

[Hay] a menudo hay cierta confusión entre la penetración   Pruebas y evaluación de vulnerabilidad. Los dos términos están relacionados, pero las pruebas de penetración tienen más de un   el énfasis en obtener el mayor acceso posible mientras que las pruebas de vulnerabilidad ponen énfasis en identificar áreas que son vulnerables a un ataque informático. [...] Un evaluador de vulnerabilidad se detendrá justo antes de comprometer un sistema, mientras que una penetración   el evaluador llegará tan lejos como pueda dentro del alcance del contrato.

Dicho esto, es probable que su cliente promedio no esté al tanto de esta distinción y tal vez realmente no quiera que pase mucho tiempo yendo "tan lejos como pueda". Puede que sea más importante para ellos recibir instrucciones claras sobre qué es exactamente lo que debe arreglarse, en lugar de obtener una lista de todos sus depósitos de raíz. Tendrá que averiguar de antemano qué es lo que realmente desean lograr al permitirle probar el sistema. Su cliente debe tener en cuenta que una prueba de penetración no es igual a una evaluación de seguridad integral.

Supongo que depende de lo que hayas encargado de encontrar y cuál es el alcance del trabajo. Algunas pruebas de la pluma que he hecho solo han querido ver los hallazgos teóricos, otras querían que yo realmente interrumpiera y creara algunos estragos. La prueba de la pluma es solo difícil para aquellos que realmente no la disfrutan. Sé creativo, diviértete ... pero mantente dentro del alcance. ;)

Permítame ponerlo de esta manera: a menos que el desarrollador de la aplicación bajo prueba sea un experto en seguridad, espero que encuentre al menos algunos exploit. Me sentiría muy infeliz si no encontrara nada en absoluto, porque, según mi experiencia, su desarrollador promedio no tiene una comprensión lo suficientemente completa de los problemas de seguridad como para evitar todos los posibles agujeros de la ir.

Tenga en cuenta que eliminaría la restricción de "seguridad por oscuridad" para su prueba. Es decir, obtendría acceso a la máquina (shell, etc.) o incluso al código fuente para obtener conocimiento sobre la aplicación. Por supuesto, tu penetración debe funcionar sin eso, como un verdadero atacante.

Es realmente difícil definir la calidad del pentest realizado, y cualquier cosa puede ser un resultado satisfactorio. Realmente depende del sistema. Si el pentest se realiza en un sistema o sitio web relativamente simple, entonces es muy probable que no haya hallazgos de alto riesgo.

Además, incluso si son muy hábiles, es posible que no tengan suficiente tiempo para explotar el sistema y mostrar una prueba de concepto. Deben priorizar el pentest para cubrir todas las áreas incluidas en el contrato.

Supongamos que Pentester descubre una inyección de SQL o un software vulnerable (basado en el número de versión). Definitivamente es bueno tratar de explotar y mostrar la vulnerabilidad para un cliente, pero puede ser muy difícil explotarlo, ya menudo no tendría sentido gastar la mayor parte del tiempo planeado para producir una prueba de concepto para una única vulnerabilidad. .

Pentester muestra que la versión de software específica es vulnerable en función de las CVE, o pentester que muestra la salida de error de SQL en función de la entrada del usuario debería ser una razón suficiente para que un cliente aplique un parche y arregle sus sistemas.

Esta es una buena pregunta ya que creo que muchos lugares se acercan a la prueba de lápiz incorrectamente. Esto ha empeorado aún más debido a que el nivel ejecutivo de muchos Las organizaciones tienden a creer que la prueba de la pluma es una bala de plata. Si tiene una prueba de pluma y los resultados muestran que no hubo penetración exitosa de ninguna sistema, entonces su seguridad está bien y todos podemos marcar esa casilla. En el otro Por otro lado, si la prueba de la pluma falla, el equipo de seguridad no está haciendo su trabajo. Esto simplemente no es el caso.

Una prueba de lápiz es solo una herramienta que puede usarse para evaluar la efectividad de Sus controles de seguridad. No te dice que todos tus sistemas son seguros. y el nivel de confianza que puede depositar en esa prueba depende en gran medida de Tanto las habilidades del probador de pluma como lo bien que ha especificado y planeado la prueba. Lo peor que puedes hacer es llamar a seguridad. compañía y decir "Hola, quiero una prueba de la pluma, cuando puedes hacerlo". Antes de comprometer a probador de pluma, debe tener una idea clara de lo que espera de la prueba de pluma, Cuáles son sus prioridades y qué información desea en el informe final. Tú También queremos acercarnos a más de un proveedor. Lo que buscas es alguien que sea capaz de demostrar que tiene las habilidades correctas, que puede entienda sus requisitos y quién puede proporcionarle un resultado que Puede ayudarlo a mejorar su postura de seguridad. Una prueba de la pluma no debe ser pensado como una "prueba" en el sentido de un pase o un fracaso. Esencialmente, Es necesario tener una comprensión clara antes de la prueba de lo que son las calificaciones y al finalizar la prueba, tenga suficientes detalles e información para ayudar usted se enfoca en cómo obtener una mejor calificación en la próxima prueba.

Uno de los aspectos más difíciles de las pruebas de lápiz es que la calidad del lápiz La prueba varía mucho según la persona que realiza la prueba de la pluma. yo tengo empresas de seguridad conmutados principalmente porque un empleado de la primera empresa ha cambiado de empleador y ese individuo era alguien que sabíamos que podía hacer un bien prueba de pluma para la organización (generalmente porque eran talentosos y buenos en su trabajo y porque entendieron nuestro negocio).

Involucrar un analizador de lápiz es en sí mismo una habilidad. Te mejorarás cada vez Lo haces siempre que te acerques a la tarea con objetivos claros. Conociendo tu La postura de seguridad actual es solo una parte de la ecuación. Necesitas tener un idea clara de cuál es su estado final de destino. Lo que quieras de la prueba de pluma. Es mayor claridad con respecto a su postura actual y suficiente información. para ayudarlo a desarrollar planes para mover la organización al estado deseado.

Una buena prueba de lápiz le proporciona detalles de lo que se hizo, lo que tuvo éxito y lo que falló No debería ser solo una lista de posibles vulnerabilidades o sistemas. que no están en el último nivel de parche o ejemplos de "mala práctica". Todo Eso se puede obtener con simples evaluaciones de vulnerabilidad. Debe proporcionar Todos los detalles de cómo se penetró el medio ambiente y sugerencias de lo que Se podrían implementar controles para prevenir o reducir la probabilidad de repetición. Las ocurrencias o el impacto de estas ocurrencias. El informe de la prueba de la pluma debe proporcione detalles suficientes para que pueda evaluar si no se pudo acceder fue porque los controles son adecuados o porque no hubo suficiente tiempo asignado o porque el alcance era demasiado limitado, etc. En muchos aspectos, lo que estamos buscando es una asociación con el probador de pluma donde están trabajando Usted para mejorar su seguridad.

Un resultado satisfactorio de una prueba de pluma es cuando el cliente y / o la audiencia objetivo de los informes entienden los mensajes y toman las medidas apropiadas basadas en la ciencia de la decisión. Consulte Cómo medir cualquier cosa en el riesgo de ciberseguridad para obtener más información sobre la ciencia de la decisión en relación con una prueba de penetración positiva.