Get best of the week

Cómo pasar con éxito cualquier pentest (mal consejo)

Si necesita realizar un pentest con urgencia,
mientras no desea obtener una siesta,
vea rápidamente la
Lista de consejos increíbles preparados para usted , sin duda lo salvará.


Esta publicación está escrita de manera humorística para demostrar que incluso los pentesters , cuyo trabajo debe ser interesante y emocionante, pueden sufrir una burocracia excesiva y la deslealtad de los clientes.

Imagine una situación: usted es un especialista en seguridad de la información y sabe que la protección que creó es una basura total. Tal vez no lo sepas, pero realmente no quieres comprobarlo, porque ¿quién quiere salir de la zona de confort y hacer algo extra, implementar medidas de protección, mitigar riesgos e informar al presupuesto?

De repente, en su lejano reino, en su trigésimo estado, existe la necesidad de realizar un pentest contra su voluntad, por ejemplo, algo se ha vuelto extraño para las autoridades o ha surgido un nuevo requisito legislativo. Es obvio para usted que vale la pena encontrar una "oficina de Sharashkin", que imitará el trabajo y escribirá que todo está bien y el asunto ha terminado, pero la situación se está volviendo más complicada. Su empresa decide jugar un concurso y hacerlo de la manera más eficiente posible: escriba una especificación técnica razonable, presente altas demandas al equipo de Pentester (certificados, participación en la recompensa de errores), etc. En general, hicieron todo por usted, y su responsabilidad es solo supervisar el trabajo.

Entonces, se encontró al equipo, se firmó el contrato, persuadiendo a los especialistas para que realizaran un pentest después de que las fundas no funcionaran. Chicos inteligentes, comenzarán a trabajar el lunes y explotarán la seguridad de su información, después de lo cual tomarán un sombrero y su incompetencia será revelada. La situación te parece la más deplorable, ¡pero ahí estaba! Aquí hay algunos malos consejos sobre cómo eliminar o al menos minimizar este dolor de cabeza.

Consejo 1: coordina cada paso


Coordine todo: qué herramientas pueden usar los Pentesters, qué ataques llevarán a cabo, qué riesgos resultará para su sistema IS. Aún mejor, solicite un plan de prueba detallado (casi cada hora) para cada día. Tenga la seguridad: los pentesters lo odiarán. Piensan que tienen un trabajo creativo, pero usted les dirá que no se requiere nada de ellos excepto el desempeño trivial del trabajo. Y recuerda: tu arma es el tiempo, tira de la coordinación tanto como sea posible en cada paso. Razonar esto con el hecho de que tiene una gran empresa y necesita obtener muchas aprobaciones: de los propietarios del sistema, de TI, de los oficiales de seguridad, etc. Incluso si no hay ninguno, puedes embellecer algo.

¿Fue real?


Sí, una empresa grande y madura, y gerentes especialmente efectivos, que no quieren hacerlo ellos mismos, van demasiado lejos con las aprobaciones con tanta frecuencia que desmotivan a todo el equipo. Las personas no tienen un "impulso" para trabajar, un deseo de ser creativas y realmente hackear algo. Es especialmente extraño cuando solo la etapa de "elevación de privilegios" se acuerda en un servidor específico el martes de 15:00 a 18:00 (esto es muy fácil y natural).

Consejo 2: agregue más restricciones


Agregue restricciones en el trabajo realizado: por el número de escaneos simultáneos, por las direcciones IP permitidas, por operación y por ataques aceptables. No escanee direcciones IP aleatorias desde subredes, lo que explica esto como un riesgo para interrumpir procesos comerciales importantes. O, por el contrario, permita que solo se escaneen algunas direcciones y afirme que los resultados del escaneo de uno de los servicios se pueden extrapolar a todos los demás en la subred.

¿Fue real?


Muy a menudo en el pentest interno, en lugar de permitir que el pentester atraviese todas las subredes locales (192.168 / 16, 172.16 / 12, 10/8), se les pide a los clientes que excluyan ese host, esa subred y este segmento: "Aquí debe probar solo uno de 500 hosts como de costumbre, y estos hosts solo de 5 pm a 9 am, no más de 300 sesiones TCP por segundo por host ". El hecho de que el trabajo esté diseñado para 5 días no molesta a nadie. Para el intérprete, esto se ve terrible: no puede hacer una automatización normal, necesita controlar constantemente que las herramientas no vayan más allá de los límites permitidos, y tiene que torcer un montón de "muletas" a todas las herramientas. Mientras escanea en algún lugar y recopila una lista de servicios, resulta que la mayor parte del tiempo ya se ha gastado. También durante el desarrollo a través de la red, verá: aquí está: un servicio,que supuestamente tiene una cuenta privilegiada ... Pero fue excluido del escaneo.

Consejo 3: solicite más informes


La alineación ya se ha discutido, pero ¿qué pasa con los informes? ¿Permitir que las personas trabajen con calma y den un informe al final? ¡No! Solicite informes cada semana, día, medio día. Consulte las experiencias negativas de años anteriores y el deseo de controlar el proceso por el que pagaron. Wow, ¿cómo "pone las ruedas en la rueda"?

¿Fue real?


Esto sucede a menudo. Incluso después de 5 minutos, comienzan a acercarse por detrás de un hombro y preguntan: "Bueno, ¿eso ya está pirateado?" En el messenger, el estado del trabajo se extrae cada hora, y al final del día esperan el resultado final del manual, bellamente diseñado en un documento de Word. Como resultado, el especialista se enfoca en cómo escribir un informe y no en la calidad de las pruebas.

Consejo 4: solicite grabar la pantalla de volcado de tráfico y escritura


Además, exija a los pentesters que graben una pantalla y escriban un volcado de tráfico de red. Justifique esto porque le preocupa filtrar información confidencial o dejar una puerta trasera.

¿Fue real?


Algunos clientes activan el modo paranoico y controlan cada paso que das. En verdad, si es realmente necesario, el pentester definitivamente encontrará cómo evitar la grabación de pantalla o generar el tráfico necesario, y tiene poco sentido en estas medidas, pero realmente interfieren con el trabajo.

Consejo 5: comuníquese a través de tres gerentes


Comuníquese a través de más de 3 gerentes, jugando en un teléfono roto y aumentando el tiempo. Trate de no llevar los requisitos directamente a los artistas reales, comuníquese a través de intermediarios, especialmente sin experiencia en la parte aplicada. Como resultado, obtenemos una locomotora de vapor que la información cambiará o continuará durante mucho tiempo.

¿Fue real?


En proyectos grandes, es más probable que sea la regla que la excepción. El oficial de seguridad ordena el trabajo, el oficial de seguridad supervisa y el gerente se comunica con el pentester, a veces incluso no directamente, sino a través de su gerente. Como resultado, incluso eliminando todos los demás factores, cualquier solicitud alcanza el objetivo después de medio día y devuelve la respuesta a alguna otra pregunta.

Consejo 6: golpea el tocador


Recuerda que lo principal son las personas. Por lo tanto, para reducir la calidad del trabajo, es mejor golpearlos directamente, o más bien, a su vanidad. Pregunte cómo probarían una tecnología poco conocida y luego diga que esperaban más. Agregue que hace un par de años, los pentesters anteriores piratearon su empresa en 2 horas. No importa que el sistema fuera diferente y que no hubiera SZI, y que trabajaras en otro lado. Lo principal es el hecho en sí: dado que los pentesters no se agrietaron en 2 horas, entonces no hay nada que los respete. Usted ve que los pentesters navegaron, exijan un equipo de reemplazo sin aumentar el tiempo.

¿Fue real?


Realmente escuchamos historias sobre viejos hacks, y esto no tiene nada que ver con la infraestructura actual y los procesos de seguridad de la información. Las preguntas sobre cuán segura es esta tecnología de "know-how", tampoco son infrecuentes, debe comprender rápidamente y dar una respuesta concisa, que no siempre es suficiente.

Otro caso interesante: tenemos una chica pentester en nuestro equipo, y cuando ella viene a hacer un pentest interno, los clientes inicialmente desconfían, y luego la miran como una exhibición. No todos querrán trabajar en tales condiciones.

Consejo 7: reduzca la comodidad


¿Trabaja en un armario oscuro, donde el teléfono celular no se engancha? ¿Trabajas en ruidoso coworking? Silla rota y chirriante? ¿Aire acondicionado roto? Para ir al baño y beber agua, ¿necesitas un asistente? Creo que ya entendiste qué hacer.

¿Fue real?


Sí y sí otra vez. Hubo pocos casos desesperados, pero hay suficientes situaciones en las que no piensa en el trabajo, sino en cómo salir rápidamente de aquí debido a condiciones externas.

Consejo 8: deje todas las defensas proactivas en


Pasamos a bromas técnicas. Deje que PCI DSS y otras metodologías recomienden deshabilitar algunos SZI proactivos para realizar más pruebas de prueba; debe hacer lo contrario. Deje que las personas sufran en busca de una solución, cómo probar rápidamente una red corporativa, donde están bloqueadas todo el tiempo.

Inmediatamente apague el puerto en el interruptor en el que está pegado el pentester. Y luego grita en voz alta que el pentest ha fallado y ahuyenta a los hackers odiados del objeto.

¿Fue real?


Ya estamos acostumbrados a las pruebas cuando el SIS proactivo (IPS, WAF) está habilitado. Es malo que en este caso la mayor parte del tiempo se dedique a verificar el sistema de seguridad de la información y no a probar la infraestructura en sí.

Consejo 9: pon un vlan especial


Proporcione acceso de red poco realista que no coincida con el acceso de usuario típico. Que no haya nada ni nadie en esa subred. Y las reglas de filtrado serán denegar / denegar o estar cerca de él.

¿Fue real?


Sí, de alguna manera nos dieron acceso a una subred con una impresora y en aislamiento de red de otras redes. Todo el trabajo se redujo a probar la impresora. Como expertos técnicos, nosotros, por supuesto, reflejamos todo en el informe, pero esto no cambió nada. Hubo una situación inversa cuando pirateamos a la mitad de la empresa a través de una impresora, pero esta es una historia completamente diferente.

Consejo 10: trabaje a través de una VPN


Realizar un pentest interno en una habitación real donde el pentester puede obtener un montón de información adicional (configuraciones de un teléfono corporativo, impresora, escuchar una conversación animada de los empleados, ver el equipo a través de sus ojos) no es su caso. Debe realizar el trabajo, como si emulara a un "intruso interno", y este "cómo" interpreta cómo le conviene. Por lo tanto, proporcione acceso solo a través de la VPN, y es mejor no utilizar la ruta más corta. Además, haga solo acceso L3, porque los ataques de red en el nivel L2 no son relevantes [sarcasmo]. Puede justificar esto ahorrando dinero: ¿por qué la gente debería ir a usted una vez más, tomar trabajos, interferir con los empleados, si eso es normal?

¿Fue real?


Sí, es bastante normal llevar a cabo una organización pentest a través de un L3 bajo VPN. Todo se cuelga, el canal se obstruye, las herramientas perciben demoras como falta de disponibilidad de servicios y no hay nada que decir sobre la imposibilidad de ataques de transmisión y MITM. Sí, y después de pentests internos normales con un Pentest en VPN, como correr en la arena en los patines.

Consejo 11: sin caja gris


A los Pentesters no se les debe dar ninguna cuenta, documentación o información adicional, incluso si así lo exige el contrato. De qué sirve, les será útil lograr resultados más rápido. Justifique el hecho de que un verdadero hacker (una imagen impuesta en los medios) vendrá e inmediatamente descifrará todo. Molesto: dé la documentación hace diez años.

¿Fue real?


Parece que todas las personas "en el tema" entienden que un atacante que es serio, no se sentará e intentará piratear el sistema torpemente, primero realizará un reconocimiento, recopilará información disponible y se comunicará con las personas. Si se trata de un intruso interno, ya sabe quién, qué y dónde. El empleado está dentro de los procesos y tiene conocimiento. Pero aún así, el 80% de los pentests es una "caja negra", donde tienes que venir en 5 minutos, descifrarlo y descifrarlo tú mismo, de lo contrario no es un "hacker de mano de obra".

Consejo 12: no permita el intercambio de información entre diferentes áreas (internas, externas y sociales)


Regule el trabajo dispar, mejor por diferentes especialistas y estrictamente sin transferir información entre direcciones. Justifique esto por el hecho de que necesita determinar con precisión los riesgos para cada área.

Si se usó información “interna” (obtenida desde adentro) en el perímetro externo para piratear, entonces en ningún caso cuente tales trabajos, diga que esto no le interesa y que no corresponde a los trabajos declarados. Si la información obtenida después de la "ingeniería social" fue útil para el pentest interno, también diga que no cuenta.

¿Fue real?


Este es en realidad el enfoque del clásico pentest, los resultados de cada prueba realmente se requieren de forma independiente, como si realmente lo hiciera un atacante real. Pero, de hecho, los grupos APT no funcionan así.

Consejo 13: dile a todos en la empresa que tienes un pentest


Anuncie a toda la empresa que tiene un pentest. Deje que todos retiren las pegatinas con credenciales, nadie abre los archivos adjuntos en el correo y no inserta las unidades flash encontradas en el USB. Los empleados con derechos de acceso privilegiados deben irse de vacaciones o estudiar y apagar sus computadoras, pero lo más importante es que cambiarán su contraseña qwerty a una aleatoria (al menos durante el primer día). En general, la actividad dentro de la empresa debe minimizarse tanto como sea posible y aumentar la vigilancia. Por lo tanto, reducirá significativamente la posibilidad de ataques dirigidos a los trabajadores y el desarrollo dentro de la red.

¿Fue real?


Pues claro que lo fue. Empiezas a trabajar y ves que se advierte a las personas, cambian las contraseñas recientemente y sospechan de ti. Algunas computadoras no se pueden verificar, porque las personas en entrenamiento son una "pura coincidencia".

Consejo 14: Monitorear Pentesters


Deja toda tu rutina y solo controla a los pentesters. Incluso si no tiene monitoreo, intente. Tan pronto como vea que han encontrado algo, bloquee inmediatamente el acceso, cambie los permisos, elimine cuentas, apague los puertos. Si realmente necesitas despedir gente.

¿Fue real?


Oh, este es generalmente un "favorito". Le dice al cliente: "realizaremos un pentest y le informaremos sobre todo lo crítico, solo que usted no cambia nada, estamos ayudando a encontrar no solo un defecto específico, sino también a revelar malos procesos". Y tan pronto como informa algo, allí a corto plazo, "accidentalmente" cambia. Aquí hay algunos casos reales.

  1. SMB-, 5 , « » . , — , .
  2. , -. , « ». , , . « ».
  3. , RCE , , .

15: !


Si por alguna razón los pentesters aún lograron encontrar una vulnerabilidad y le piden aprobación para su funcionamiento, no esté de acuerdo; justificar la violación de accesibilidad. ¡Esta laptop de presentación es un servicio comercial crítico!

¿Fue real?


Sí, esto también sucede todo el tiempo. Se puede ver que el servidor tiene datos críticos y existe una vulnerabilidad, y el cliente no coordina la operación. Como resultado, el contratista pierde el punto de entrada, lo que podría traer consigo muchos problemas, hasta que toda la empresa se vea comprometida. Y si no han estado de acuerdo, el informe simplemente dice: "la operación no está de acuerdo", y en realidad no hay nada interesante en el informe.

Consejo 16: pausa el trabajo con más frecuencia


Para todos los incidentes de TI, digamos que se debe al pentest y pause el trabajo. Si no hay ningún incidente, inventelo. Pida que proporcione los registros de todo lo que hizo el pentester anteayer de 2:00 p.m. a 3:00 p.m., deje que analice su tráfico y recuerde cuál de los cientos de cheques con qué herramienta y dónde se lanzó.

¿Fue real?


No solo los pentesters, sino la seguridad de la información en su conjunto sufren de esto. Tan pronto como comience a realizar el trabajo, cualquier incidente en la organización lleva inmediatamente a la necesidad de detenerse y resolverlo. El servidor no está disponible: estos son pentesters; el virus salió del usuario: estos son pentesters; la cafetera en el armario se rompió, estos son pentesters. Nos relacionamos con esto con humor y paciencia, pero el tiempo se está consumiendo notablemente.

Consejo 17: evite que se analicen discos de archivos y correo


Evite que los Pentesters tengan acceso a discos de archivos y correo para analizar sus contenidos. Justifíquelo con "bueno, información muy confidencial".

¿Fue real?


Por supuesto, hay 20 buzones de correo de administradores, pero no puede leer cartas. Sin embargo, en la práctica, extrajimos repetidamente contraseñas adicionales en el correo, y ayudaron enormemente a comprometer a la empresa. Y sí, un verdadero hacker, por supuesto, habría descargado todo el correo y no habría preguntado a nadie.

Consejo 18: solicite analizar el software del proveedor


Digamos que de toda la infraestructura en su conjunto, le gustaría que especialistas analizaran el software del proveedor, especialmente si está muy extendido y es casi una "versión en caja" sin configuración adicional.

¿Fue real?


Sucede que piden descifrar un ASA de Cisco puro o algo similar. Decimos que este producto está muy extendido y, muy probablemente, ha sido probado por muchas personas, podemos verificar la "configuración incorrecta", pero no tiene sentido difuminar todo durante el primer día. Esta es en realidad una búsqueda de 0 días, y es mejor probar en un stand junto con ingeniería inversa inversa. Los clientes asienten y aún solicitan hacerse la prueba durante el primer día, que será a tiempo. Casi siempre es una pérdida de tiempo.

Consejo 19: ajuste el informe final


Lo más dulce: si, después de todo, el pirateo se ha completado y los pentesters le han presentado la primera versión del informe, solo solicite eliminar los momentos críticos. Este es un negocio, y debe recibir un informe por el que pagó.

¿Fue real?


Hay momentos divertidos que te dan ganas de reír y llorar. O bien, "elimine el correo del CEO del informe", "" este servidor debe eliminarse "," quién le pidió que ingrese a las computadoras del servicio de IS: elimínelo rápidamente ". A veces, la redacción se corrige, gracias a lo cual el mismo hecho de lo terrible se vuelve completamente aceptable.

Consejo 20: configura un juego feroz en dispositivos de red


Por qué no? Si tienes huevos de puño de acero y tienes la habilidad técnica, crea el caos. Por ejemplo, deje que cada paquete de 27 tcp devuelto al pentester se rompa. Lo principal es que nadie se da cuenta.

¿Fue real?


Todavía no, pero eso no es exacto. Quizás el comportamiento anormal del escáner en uno de los 100 casos fue la consecuencia de tales medidas.

Conclusión


Nadie escribe en el informe acerca de un millón de problemas que surgieron durante el trabajo: que el acceso se concedió durante 5 horas, que acordaron la operación durante 2 días, que había una silla sin respaldo, un hocico de una hoja de la ventana, etc. Todo esto permanece detrás de escena y, según los resultados del trabajo, se emite un informe técnico seco, al observarlo, una persona independiente simplemente no entenderá cuánto dolor hay detrás de él.

En el Centro de seguridad de la información "Jet Infosystems" trabajamos con empresas medianas y grandes. Algunos de estos consejos los llevan a cabo clientes en segundo plano debido a las características internas de la organización, la importancia de los sistemas de información y una gran cantidad de responsables. Estos son procesos normales para minimizar el riesgo del impacto del trabajo de análisis de seguridad en los procesos comerciales. Sin embargo, en su mayor parte, nuestras manos están desatadas y se construyen relaciones amistosas con los clientes. Nosotros mismos podemos ofrecer los enfoques correctos y la interacción conveniente para ambas partes. Incluso en organizaciones burocráticas complejas, siempre puede encontrar una solución flexible y realizar un trabajo de calidad, si está de acuerdo correctamente con las personas interesadas.

More articles:


All Articles