Get best of the week

Bagaimana agar berhasil melewati segala pentest (saran buruk)

Jika Anda perlu melakukan pentest,
sementara Anda tidak ingin tidur siang,
maka segera lihat
Daftar tips luar biasa yang disiapkan untuk Anda - itu tentu saja akan menyelamatkan Anda.


Posting ini ditulis dengan cara yang lucu untuk menunjukkan bahwa bahkan pentester , yang karyanya harus menarik dan mempesona, dapat menderita dari birokrasi yang berlebihan dan ketidaksetiaan pelanggan.

Bayangkan sebuah situasi: Anda adalah seorang spesialis keamanan informasi dan Anda tahu bahwa perlindungan yang Anda buat adalah sampah total. Mungkin Anda tidak tahu ini, tetapi Anda tidak benar-benar ingin memeriksa, karena siapa yang ingin meninggalkan zona nyaman dan juga melakukan sesuatu, memperkenalkan peralatan pelindung, mengurangi risiko, dan melaporkan ke anggaran?

Tiba-tiba, di kerajaan Anda di Far Far Away, di kerajaan tiga puluhan, ada kebutuhan untuk melakukan pentest terhadap kehendak Anda, misalnya, sesuatu telah menjadi aneh bagi pihak berwenang, atau persyaratan baru hukum telah muncul. Jelas bagi Anda bahwa ada gunanya menemukan "kantor Sharashkin", yang akan meniru pekerjaan dan menulis bahwa semuanya baik-baik saja dan masalahnya sudah selesai, tetapi situasinya menjadi lebih rumit. Perusahaan Anda memutuskan untuk memainkan kontes dan melakukannya seefisien mungkin: tulis spesifikasi teknis yang wajar, tunjukkan tuntutan tinggi pada tim Pentester (sertifikat, partisipasi dalam karunia Bug), dll. Secara umum, mereka melakukan segalanya untuk Anda, dan tanggung jawab Anda hanya untuk mengawasi pekerjaan.

Jadi, tim ditemukan, kontrak ditandatangani, membujuk spesialis untuk melakukan pentest setelah lengan baju tidak berfungsi. Orang pintar, mereka akan mulai bekerja pada hari Senin dan menghancurkan keamanan informasi Anda, setelah itu Anda mengambil topi dan ketidakmampuan Anda akan terungkap. Menurut Anda, situasinya yang paling menyedihkan, tapi begitulah! Berikut adalah beberapa tips buruk tentang cara menghilangkan atau setidaknya meminimalkan sakit kepala ini.

Kiat 1: koordinasikan setiap langkah


Koordinasikan segalanya: alat apa yang dapat digunakan Pentester, serangan apa yang akan mereka lakukan, risiko apa yang akan terjadi pada sistem IS Anda. Bahkan lebih baik, mintalah rencana pengujian terperinci (hampir setiap jam) untuk setiap hari. Yakinlah: Pentester akan membencimu. Mereka berpikir bahwa mereka memiliki karya kreatif, tetapi Anda akan memberi tahu mereka bahwa tidak ada yang diperlukan dari mereka kecuali kinerja pekerjaan yang sepele. Dan ingat: senjatamu adalah waktu, tarik koordinasi sebanyak mungkin di setiap langkah. Alasan ini dengan fakta bahwa Anda memiliki perusahaan besar, dan Anda perlu mendapatkan banyak persetujuan: dari pemilik sistem, dari IT, dari petugas keamanan, dll. Bahkan jika tidak ada, Anda dapat memperindah sesuatu.

Apakah itu nyata?


Ya, bisnis yang besar dan matang, dan terutama manajer yang efektif, yang tidak ingin melakukannya sendiri, melangkah terlalu jauh dengan persetujuan begitu sering sehingga menurunkan motivasi seluruh tim. Orang tidak memiliki "dorongan" untuk bekerja, keinginan untuk menjadi kreatif dan benar-benar meretas sesuatu. Ini sangat aneh ketika hanya tahap "peningkatan hak istimewa" disetujui pada server tertentu pada hari Selasa 15: 00-18: 00 (ini sangat mudah dan alami).

Kiat 2: tambahkan lebih banyak batasan


Tambahkan batasan pada pekerjaan yang dilakukan: dengan jumlah pemindaian simultan, oleh alamat IP yang diizinkan, oleh operasi dan oleh serangan yang dapat diterima. Jangan memindai alamat IP acak dari subnet, menjelaskan ini sebagai risiko untuk mengganggu proses bisnis penting. Atau, sebaliknya, hanya memperbolehkan beberapa alamat dipindai dan mengklaim bahwa hasil pemindaian salah satu layanan dapat diekstrapolasi ke semua yang lain dalam subnet.

Apakah itu nyata?


Sangat sering, pada pentest internal, alih-alih membiarkan pentester melewati semua subnet lokal (192.168 / 16, 172.16 / 12, 10/8), pelanggan diminta untuk mengecualikan host itu, subnet itu dan segmen ini: “Di sini Anda hanya perlu menguji satu saja 500 host sebagai tipikal, dan host ini hanya dari jam 5 sore sampai jam 9 pagi - tidak lebih dari 300 sesi TCP per detik per host. " Fakta bahwa pekerjaan itu dirancang selama 5 hari tidak mengganggu siapa pun. Untuk pemain, ini terlihat mengerikan: Anda tidak dapat melakukan otomatisasi normal, Anda harus terus-menerus memantau bahwa alat tidak melampaui batas yang diizinkan, dan Anda harus memutar banyak "kruk" ke semua alat. Saat memindai di suatu tempat dan mengumpulkan daftar layanan, ternyata bagian terbesar dari waktu telah dihabiskan. Juga selama pengembangan melalui jaringan yang Anda lihat: ini dia - layanan,yang seharusnya memiliki akun istimewa ... Tapi dia dikeluarkan dari pemindaian.

Kiat 3: minta pelaporan lebih lanjut


Alignment sudah dibahas, tetapi bagaimana dengan pelaporan? Agar orang dapat dengan tenang melakukan pekerjaan dan memberikan laporan pada akhirnya? Tidak! Minta laporan setiap minggu, hari, setengah hari. Mengacu pada pengalaman negatif dari tahun-tahun sebelumnya dan keinginan untuk mengendalikan proses yang mereka bayar. Wow, bagaimana cara "memasukkan tongkat ke roda."

Apakah itu nyata?


Ini sering terjadi. Bahkan setelah 5 menit, mereka mulai mendekati dari belakang bahu dan bertanya: "Yah, apakah itu sudah diretas?" Di messenger, status pekerjaan ditarik setiap jam, dan pada akhir hari mereka sedang menunggu hasil akhir untuk manual, dirancang dengan indah dalam dokumen Word. Akibatnya, spesialis berfokus pada cara menulis laporan, dan bukan pada kualitas pengujian.

Tip 4: minta untuk merekam lalu lintas dump dan layar tulis


Selain itu, mengharuskan pentester untuk merekam layar dan menulis dump lalu lintas jaringan. Benarkan ini karena Anda khawatir membocorkan informasi rahasia atau meninggalkan pintu belakang.

Apakah itu nyata?


Beberapa pelanggan mengaktifkan mode paranoid dan mengontrol setiap langkah yang Anda ambil. Sebenarnya, jika itu benar-benar diperlukan, pentester pasti akan menemukan cara menyiasati layar rekaman atau menghasilkan lalu lintas yang diperlukan, dan ada sedikit akal dalam langkah-langkah ini, tetapi mereka benar-benar mengganggu pekerjaan.

Kiat 5: berkomunikasi melalui tiga manajer


Berkomunikasi melalui 3+ manajer, sehingga bermain di ponsel yang rusak dan menambah waktu. Usahakan untuk tidak membawa persyaratan secara langsung kepada pemain berkinerja nyata, berkomunikasi melalui perantara, terutama tanpa pengalaman di bagian yang diterapkan. Akibatnya, kami mendapatkan lokomotif uap sehingga informasinya akan berubah atau akan berlangsung untuk waktu yang sangat lama.

Apakah itu nyata?


Dalam proyek-proyek besar, aturan ini lebih memungkinkan daripada pengecualian. Petugas keamanan memerintahkan pekerjaan, petugas keamanan mengawasi, dan manajer berkomunikasi dengan pentester, kadang-kadang bahkan tidak secara langsung, tetapi melalui manajernya. Akibatnya, bahkan menghilangkan semua faktor lain, permintaan apa pun mencapai tujuan setelah setengah hari dan mengembalikan jawaban untuk beberapa pertanyaan lain.

Kiat 6: pukul meja rias


Ingatlah bahwa yang utama adalah manusia. Oleh karena itu, untuk mengurangi kualitas pekerjaan, yang terbaik adalah memukul langsung pada mereka, atau lebih tepatnya, pada kesombongan mereka. Tanyakan bagaimana mereka menguji teknologi yang kurang dikenal, dan kemudian katakan bahwa mereka mengharapkan lebih. Tambahkan bahwa beberapa tahun yang lalu pentester sebelumnya meretas perusahaan Anda dalam 2 jam. Tidak masalah bahwa sistemnya berbeda saat itu dan tidak ada SZI, dan Anda bekerja di tempat lain. Hal utama adalah fakta itu sendiri: karena pentester tidak retak dalam 2 jam, maka tidak ada yang menghargai mereka. Anda melihat bahwa pentester berlayar, - menuntut tim pengganti tanpa menambah waktu.

Apakah itu nyata?


Kami benar-benar sering mendengar cerita tentang peretasan lama, dan ini tidak ada hubungannya dengan infrastruktur saat ini dan proses keamanan informasi. Pertanyaan tentang seberapa aman teknologi "tahu-bagaimana" ini, juga tidak jarang, Anda harus cepat memahami dan memberikan jawaban singkat, yang tidak selalu cukup.

Kasus lain yang menarik: kami memiliki seorang gadis pentester di tim kami, dan ketika dia datang untuk melakukan pentest internal, para pelanggan pada awalnya tidak percaya, dan kemudian pergi untuk melihatnya sebagai sebuah pameran. Tidak semua orang ingin bekerja dalam kondisi seperti itu.

Tip 7: Kurangi Kenyamanan


Bekerja di lemari yang gelap, di mana ponsel tidak bisa menangkapnya? Bekerja di tempat kerja yang bising? Kursi yang rusak dan berderit? Pendingin udara rusak? Untuk pergi ke toilet dan minum air, Anda perlu pelayan? Saya pikir Anda sudah mengerti apa yang harus dilakukan.

Apakah itu nyata?


Ya, dan ya lagi. Ada beberapa kasus putus asa, tetapi ada situasi yang cukup ketika Anda berpikir tidak tentang pekerjaan, tetapi tentang cara cepat keluar dari sini karena kondisi eksternal.

Tip 8: biarkan semua pertahanan proaktif aktif


Kami lolos ke lelucon teknis. Biarkan PCI DSS dan metodologi lainnya merekomendasikan menonaktifkan beberapa SZI proaktif untuk pengujian pengujian lebih lanjut - Anda perlu melakukan yang sebaliknya. Biarkan orang menderita mencari solusi, cara cepat menguji jaringan perusahaan, di mana mereka diblokir sepanjang waktu.

Segera matikan port pada sakelar di mana pentester macet. Dan kemudian berteriak keras bahwa pentest gagal dan mengejar peretas yang dibenci dari objek.

Apakah itu nyata?


Kami sudah terbiasa melakukan pengujian ketika SIS proaktif (IPS, WAF) diaktifkan. Sangat buruk bahwa dalam hal ini bagian terbesar dari waktu dihabiskan untuk memeriksa sistem keamanan informasi, dan bukan pada pengujian infrastruktur itu sendiri.

Tip 9: masukkan vlan khusus


Berikan akses jaringan yang tidak realistis yang tidak cocok dengan akses pengguna biasa. Biarkan tidak ada dan tidak ada seorang pun di subnet itu. Dan aturan penyaringan akan ditolak \ deny atau dekat dengannya.

Apakah itu nyata?


Ya, entah bagaimana kami diberi akses ke subnet dengan satu printer dan dalam isolasi jaringan dari jaringan lain. Semua pekerjaan datang untuk menguji printer. Sebagai ahli teknis, kami, tentu saja, mencerminkan semua yang ada di laporan, tetapi ini tidak mengubah apa pun. Ada situasi sebaliknya ketika kami meretas setengah dari perusahaan melalui printer, tetapi ini adalah kisah yang sama sekali berbeda.

Kiat 10: bekerja melalui VPN


Melakukan pentest internal di ruang nyata di mana pentester dapat memperoleh banyak informasi tambahan (pengaturan telepon perusahaan, printer, menguping percakapan langsung karyawan, melihat peralatan melalui mata mereka) bukan kasus Anda. Anda perlu melakukan pekerjaan, seolah-olah meniru "penyusup internal", dan "cara" menafsirkan bagaimana ini cocok untuk Anda. Karena itu, sediakan akses hanya melalui VPN, dan lebih baik tidak menggunakan rute terpendek. Selain itu, buat hanya akses L3, karena serangan jaringan di tingkat L2 tidak relevan [sarkasme]. Anda dapat membenarkan hal ini dengan menghemat uang: mengapa orang harus mendatangi Anda sekali lagi, mengambil pekerjaan, mengganggu karyawan, jika itu normal.

Apakah itu nyata?


Ya, itu sangat normal untuk melakukan organisasi yang paling baik melalui L3 bawah-VPN. Semuanya menggantung, saluran menjadi tersumbat, alat menganggap penundaan sebagai tidak tersedianya layanan, dan tidak ada yang bisa dikatakan tentang ketidakmungkinan serangan siaran dan MITM. Ya, dan setelah pentest internal normal dengan Pentest di VPN, seperti berlari di atas pasir di sepatu roda.

Tip 11: tidak ada kotak abu-abu


Pentester tidak boleh diberikan akun apa pun, dokumentasi apa pun, atau informasi tambahan apa pun, bahkan jika ini disyaratkan oleh kontrak. Apa yang baik, akan berguna bagi mereka untuk mencapai hasil lebih cepat. Membenarkan fakta bahwa peretas sejati (gambar yang dipaksakan di media) akan datang dan segera memecahkan segalanya. Repot-repot - berikan dokumentasi sepuluh tahun lalu.

Apakah itu nyata?


Tampaknya semua orang "dalam subjek" memahami bahwa seorang penyerang yang serius, tidak akan duduk dan mencoba meretas ke dalam sistem dengan kikuk, ia pertama-tama akan melakukan pengintaian, mengumpulkan informasi yang tersedia, berkomunikasi dengan orang-orang. Jika ini adalah pengganggu internal, maka dia sudah tahu siapa, apa, dan di mana. Karyawan berada di dalam proses dan memiliki pengetahuan. Tapi tetap saja, 80% dari pentest adalah "kotak hitam", di mana Anda harus datang dalam 5 menit, mencari tahu dan memecahkannya sendiri, kalau tidak itu bukan "hacker pekerja".

Tip 12: jangan izinkan pertukaran informasi antara area yang berbeda (internal, eksternal dan sosial)


Mengatur pekerjaan yang berbeda, lebih baik oleh spesialis yang berbeda dan secara ketat tanpa mentransfer informasi antar arah. Benarkan ini dengan fakta bahwa Anda perlu menentukan risiko secara akurat untuk setiap bidang.

Jika informasi "orang dalam" (diperoleh dari dalam) digunakan pada perimeter eksternal untuk peretasan, maka dalam kasus apapun tidak menghitung karya-karya tersebut, katakan bahwa ini tidak menarik bagi Anda dan tidak sesuai dengan karya yang dinyatakan. Jika informasi yang diperoleh setelah "rekayasa sosial" berguna untuk pentest internal, katakan juga itu tidak masuk hitungan.

Apakah itu nyata?


Ini sebenarnya adalah pendekatan dari pentest klasik, hasil dari setiap pengujian benar-benar diperlukan secara mandiri, seolah-olah seorang penyerang nyata benar-benar melakukannya. Namun pada kenyataannya, kelompok APT tidak bekerja seperti itu.

Tip 13: beri tahu semua orang di perusahaan bahwa Anda memiliki yang terbaik


Umumkan kepada seluruh perusahaan bahwa Anda memiliki yang terbaik. Biarkan semua orang melepas stiker dengan kredensial, tidak ada yang membuka lampiran dalam surat dan tidak memasukkan flash drive yang ditemukan ke USB. Karyawan dengan hak akses istimewa harus pergi berlibur atau belajar dan mematikan komputer mereka, tetapi yang paling penting, mereka akan mengubah kata sandi qwerty mereka menjadi kata sandi acak (setidaknya selama masa pentest). Secara umum, aktivitas di dalam perusahaan harus diminimalisasi sebanyak mungkin, dan kewaspadaan meningkat. Dengan demikian, Anda akan secara signifikan mengurangi kemungkinan serangan yang ditujukan pada pekerja dan pengembangan di dalam jaringan.

Apakah itu nyata?


Ya tentu saja. Anda mulai bekerja dan Anda melihat orang-orang diperingatkan, kata sandi yang baru saja diubah, mereka curiga terhadap Anda. Beberapa komputer tidak dapat diperiksa, karena orang-orang dalam pelatihan adalah "kebetulan murni".

Tip 14: Monitor Pentester


Jatuhkan semua rutinitas Anda dan pantau saja pentester. Bahkan jika Anda tidak memiliki pemantauan, cobalah. Segera setelah Anda melihat bahwa mereka telah menemukan sesuatu, segera memblokir akses, mengubah izin, menghapus akun, memadamkan port. Jika Anda benar-benar perlu - memecat orang.

Apakah itu nyata?


Oh, ini umumnya merupakan "favorit." Anda memberi tahu pelanggan: "kami akan melakukan pentest dan memberi tahu Anda tentang segala sesuatu yang penting, hanya saja Anda tidak mengubah apa pun, kami membantu menemukan bukan hanya cacat tertentu, tetapi untuk mengungkapkan proses buruk." Dan segera setelah Anda menginformasikan sesuatu, di sana dalam jangka pendek itu "tidak sengaja" berubah. Berikut adalah beberapa kasus nyata.

  1. SMB-, 5 , « » . , — , .
  2. , -. , « ». , , . « ».
  3. , RCE , , .

15: !


Jika karena alasan tertentu pentester masih berhasil menemukan kerentanan, dan mereka meminta persetujuan untuk operasinya, jangan setuju; membenarkan pelanggaran aksesibilitas. Laptop presentasi ini adalah layanan bisnis penting!

Apakah itu nyata?


Ya, ini juga terjadi setiap saat. Dapat dilihat bahwa server memiliki data penting dan ada kerentanan, dan pelanggan tidak mengoordinasikan operasi. Akibatnya, kontraktor kehilangan titik masuk, yang bisa menarik banyak masalah bersamanya, sampai seluruh perusahaan dikompromikan. Dan jika mereka belum setuju, laporan itu hanya mengatakan: "operasi tidak disetujui," dan sebenarnya tidak ada yang menarik dalam laporan itu.

Tip 16: berhenti bekerja lebih sering


Untuk semua insiden TI, katakan itu karena yang paling indah, dan berhentilah bekerja. Jika tidak ada insiden, maka buatlah. Mintalah untuk memberikan catatan tentang segala hal yang dilakukan pentester sehari sebelum kemarin dari pukul 14:00 hingga 15:00 - biarkan alat ini mengurai lalu lintasnya dan ingat yang mana dari ratusan cek dengan alat apa dan di mana alat itu diluncurkan.

Apakah itu nyata?


Bukan hanya pentester, tetapi keamanan informasi secara keseluruhan menderita karenanya. Segera setelah Anda mulai melakukan pekerjaan, setiap insiden dalam organisasi segera mengarah pada kebutuhan untuk berhenti dan menyelesaikannya. Server telah menjadi tidak tersedia - ini adalah pentester; virus keluar dari pengguna - ini adalah pentester; pembuat kopi di lemari pecah - ini adalah pentester. Kami mengaitkannya dengan humor dan kesabaran, tetapi waktu secara mencolok menggerogoti.

Tip 17: mencegah file disk dan surat dianalisis


Cegah Pentester dari mendapatkan akses ke file disk dan surat untuk menganalisis isinya. Membenarkannya dengan "informasi yang sangat rahasia."

Apakah itu nyata?


Tentu saja, ada 20 kotak surat administrator, tetapi Anda tidak dapat membaca surat. Namun, dalam praktiknya, kami berulang kali mengekstrak kata sandi tambahan dalam surat, dan mereka sangat membantu dalam mengompromikan perusahaan. Dan ya, seorang peretas sejati, tentu saja, akan membongkar semua surat dan tidak meminta siapa pun.

Tip 18: minta untuk menganalisis perangkat lunak vendor


Katakanlah dari keseluruhan infrastruktur secara keseluruhan, Anda ingin para spesialis menganalisis perangkat lunak vendor, terutama jika sangat luas dan hampir merupakan "versi kotak" tanpa konfigurasi tambahan.

Apakah itu nyata?


Kebetulan mereka meminta crack ASA Cisco murni atau yang serupa. Kami mengatakan bahwa produk ini tersebar luas dan, kemungkinan besar, telah diuji oleh banyak orang, kami dapat memeriksa "kesalahan konfigurasi", tetapi tidak ada gunanya mengelabui semuanya selama pentest. Ini sebenarnya adalah pencarian 0 hari, dan lebih baik untuk menguji pada dudukan dalam hubungannya dengan rekayasa terbalik. Pelanggan mengangguk dan masih meminta untuk diuji selama pentest, yang akan tepat waktu. Ini hampir selalu membuang-buang waktu.

Kiat 19: sesuaikan laporan akhir


Hal yang paling manis: jika, bagaimanapun, peretasan telah selesai dan para pentester telah memberikan versi laporan yang pertama kepada Anda, minta saja untuk menghapus momen-momen penting darinya. Ini adalah bisnis, dan Anda harus diberi laporan yang Anda bayar.

Apakah itu nyata?


Ada momen lucu yang membuat Anda ingin tertawa dan menangis. Entah "menghapus surat CEO dari laporan", "" server ini perlu dihapus "," "yang meminta Anda untuk masuk ke komputer layanan IS - cepat menghapusnya". Terkadang kata-kata itu terkoreksi, berkat fakta yang mana dan fakta yang sama dari yang mengerikan menjadi sepenuhnya dapat diterima.

Tip 20: mengatur gim yang ganas di perangkat jaringan


Kenapa tidak? Jika Anda memiliki telur kepalan baja dan memiliki kemampuan teknis, maka ciptakan kekacauan. Misalnya, biarkan setiap paket 27 tcp yang dikembalikan ke pentester rusak. Yang utama adalah tidak ada yang memperhatikan.

Apakah itu nyata?


Belum, tapi itu tidak akurat. Mungkin perilaku abnormal pemindai dalam satu dari 100 kasus adalah konsekuensi dari tindakan tersebut.

Kesimpulan


Tidak ada yang menulis dalam laporan tentang sejuta masalah yang muncul selama pekerjaan: bahwa akses diberikan selama 5 jam, bahwa mereka menyetujui operasi selama 2 hari, bahwa ada kursi tanpa punggung, moncong dari daun jendela, dll. Semua ini tetap ada di belakang layar, dan berdasarkan hasil pekerjaan, sebuah laporan teknis kering dikeluarkan, melihat itu, orang yang mandiri tidak akan mengerti seberapa banyak rasa sakit di belakangnya.

Di Pusat Keamanan Informasi "Jet Infosystems" kami bekerja dengan bisnis menengah dan besar. Beberapa tips ini dilakukan oleh pelanggan di latar belakang karena karakteristik internal organisasi, kekritisan sistem informasi dan sejumlah besar orang yang bertanggung jawab. Ini adalah proses normal untuk meminimalkan risiko dampak analisis keamanan pada proses bisnis. Namun, sebagian besar, tangan kami tidak terikat dan hubungan yang bersahabat dengan pelanggan dibangun. Kami sendiri dapat menawarkan pendekatan yang tepat dan interaksi yang nyaman bagi kedua belah pihak. Bahkan dalam organisasi birokrasi yang kompleks, Anda selalu dapat menemukan solusi yang fleksibel dan melakukan pekerjaan yang berkualitas, jika Anda setuju dengan orang yang berminat.

More articles:


All Articles