Get best of the week

Como passar com êxito em qualquer teste (mau conselho)

Se você precisar urgentemente de fazer um protesto,
enquanto não desejar uma nuca,
consulte rapidamente a
Lista de dicas incríveis preparadas para você - isso certamente o salvará.


Esta publicação foi escrita de maneira bem-humorada para demonstrar que mesmo os manifestantes , cujo trabalho deve ser interessante e fascinante, podem sofrer com excessiva burocracia e deslealdade do cliente.

Imagine uma situação: você é um especialista em segurança da informação e sabe que a proteção que criou foi um lixo completo. Talvez você não saiba disso, mas realmente não deseja verificar, porque quem quer sair da zona de conforto e fazer algo adicional, introduzir equipamentos de proteção, mitigar riscos e informar o orçamento?

De repente, no seu reino dos Far Far Away, no reino dos anos 30, é necessário realizar um protesto contra a sua vontade, por exemplo, algo se tornou estranho para as autoridades ou um novo requisito da lei surgiu. É óbvio para você que vale a pena encontrar um "escritório Sharashkin", que fará uma imitação de trabalho e escreverá que está tudo bem e que o assunto acabou, mas a situação está se tornando mais complicada. Sua empresa decide disputar um concurso e fazê-lo da maneira mais eficiente possível: escreva uma especificação técnica razoável, apresente altas demandas à equipe do Pentester (certificados, participação na recompensa do bug), etc. Em geral, eles fizeram tudo por você, e sua responsabilidade é apenas supervisionar o trabalho.

Então, a equipe foi encontrada, o contrato foi assinado, convencendo os especialistas a realizar um protesto depois que as mangas não funcionaram. Pessoal esperto, eles começarão a trabalhar na segunda-feira e explodirão sua segurança das informações, após o que você agarra um chapéu e sua incompetência será revelada. A situação lhe parece mais deplorável, mas estava lá! Aqui estão algumas dicas ruins sobre como eliminar ou pelo menos minimizar essa dor de cabeça.

Dica 1: coordene cada etapa


Coordene tudo: quais ferramentas os Pentesters podem usar, quais ataques eles conduzirão, quais riscos isso resultará no seu sistema de SI. Melhor ainda, solicite um plano de teste detalhado (quase a cada hora) para cada dia. Tenha certeza: os pentesters vão te odiar. Eles acham que têm trabalho criativo, mas você lhes dirá que nada é necessário a não ser o desempenho trivial do trabalho. E lembre-se: sua arma está na hora, puxe a coordenação o máximo possível a cada passo. Por isso, você tem uma grande empresa e precisa de muitas aprovações: de proprietários de sistemas, de TI, de agentes de segurança etc. Mesmo se não houver, você pode embelezar algo.

Isso era real?


Sim, uma empresa grande e madura, e gerentes especialmente eficazes, que não querem fazer isso sozinhos, vão longe demais nas aprovações com tanta frequência que desmotivam toda a equipe. As pessoas não têm um "impulso" para trabalhar, um desejo de serem criativas e realmente cortam alguma coisa. É especialmente estranho quando apenas o estágio "elevação de privilégios" é acordado em um servidor específico na terça-feira, das 15:00 às 18:00 (isso é tão fácil e natural).

Dica 2: adicione mais restrições


Adicione restrições ao trabalho realizado: pelo número de verificações simultâneas, pelos endereços IP permitidos, pela operação e por ataques aceitáveis. Não verifique endereços IP aleatórios a partir de sub-redes, explicando isso como um risco de interromper processos comerciais importantes. Ou, pelo contrário, permita que apenas alguns endereços sejam verificados e afirme que os resultados da verificação de um dos serviços podem ser extrapolados para todos os outros na sub-rede.

Isso era real?


Muitas vezes, no ponto de teste interno, em vez de permitir que os pontos de teste passem por todas as sub-redes locais (192.168 / 16, 172.16 / 12, 10/8), solicita-se aos clientes que excluam esse host, essa sub-rede e este segmento: “Aqui você precisa testar apenas uma das 500 hosts, como típico, e esses hosts somente das 17:00 às 09:00 - não mais que 300 sessões TCP por segundo por host. ” O fato de o trabalho ser projetado por cinco dias não incomoda ninguém. Para o artista, isso parece terrível: você não pode fazer a automação normal, é necessário monitorar constantemente que as ferramentas não ultrapassam os limites permitidos e você precisa torcer um monte de "muletas" em todas as ferramentas. Ao digitalizar em algum lugar e coletar uma lista de serviços, verifica-se que a maior parte do tempo já foi gasta. Também durante o desenvolvimento pela rede, você vê: aqui está - um serviço,que supostamente tem uma conta privilegiada ... Mas ele foi excluído da verificação.

Dica 3: solicite mais relatórios


O alinhamento já foi discutido, mas e os relatórios? Para permitir que as pessoas trabalhem com calma e forneça um relatório no final? Não! Solicite relatórios toda semana, dia, meio dia. Consulte as experiências negativas dos anos anteriores e o desejo de controlar o processo pelo qual pagaram. Uau, como é que "coloca as varas nas rodas".

Isso era real?


Isso geralmente acontece. Mesmo após 5 minutos, eles começam a se aproximar por trás de um ombro e perguntam: "Bem, isso já foi hackeado?" No messenger, o status do trabalho é obtido a cada hora e, no final do dia, eles aguardam o resultado final do manual, projetado com muito bom gosto em um documento do Word. Como resultado, o especialista se concentra em como escrever um relatório, e não na qualidade dos testes.

Dica 4: peça para registrar a despejo de tráfego e escrever a tela


Além disso, exija que os usuários registrados gravem uma tela e escrevam um dump do tráfego de rede. Justifique isso porque você se preocupa em vazar informações confidenciais ou deixar uma porta dos fundos.

Isso era real?


Alguns clientes ativam o modo paranóico e controlam cada passo que você dá. Na verdade, se for realmente necessário, o pentester definitivamente encontrará como contornar a tela ou gerar o tráfego necessário, e há pouco sentido nessas medidas, mas elas realmente interferem no trabalho.

Dica 5: comunique-se através de três gerentes


Comunique-se através de mais de 3 gerentes, tocando em um telefone com defeito e aumentando o tempo. Tente não levar os requisitos diretamente aos artistas de verdade, se comunique através de intermediários, especialmente sem experiência na parte aplicada. Como resultado, temos uma locomotiva a vapor que as informações mudam ou continuam por muito tempo.

Isso era real?


Em projetos grandes, é mais provável a regra do que a exceção. O oficial de segurança ordena o trabalho, o oficial de segurança supervisiona e o gerente se comunica com o acusado, às vezes até não diretamente, mas através de seu gerente. Como resultado, mesmo removendo todos os outros fatores, qualquer solicitação atinge a meta após meio dia e retorna a resposta para outra pergunta.

Dica 6: acertar a vaidade


Lembre-se de que o principal é as pessoas. Portanto, para reduzir a qualidade do trabalho, é melhor bater diretamente neles, ou melhor, em sua vaidade. Pergunte como eles testariam uma tecnologia pouco conhecida e depois diga que eles esperavam mais. Adicione que, há alguns anos, os criminosos anteriores invadiram sua empresa em duas horas. Não importa se o sistema era diferente na época e não havia SZI, e você trabalhou em outro lugar. O principal é o fato: como os pentesters não quebram em duas horas, não há nada para respeitá-los. Você vê que os pentesters navegaram, - exigem uma equipe substituta sem aumentar o tempo.

Isso era real?


Realmente ouvimos histórias sobre hacks antigos, e isso não tem nada a ver com os atuais processos de infraestrutura e segurança da informação. Perguntas sobre a segurança dessa tecnologia de "know-how" também não são incomuns, você precisa entender rapidamente e fornecer uma resposta concisa, o que nem sempre é suficiente.

Outro caso interessante: temos uma garota de penteado em nossa equipe e, quando ela faz um penteado interno, os clientes ficam inicialmente desconfiados e depois olham para ela como uma exposição. Nem todo mundo vai querer trabalhar nessas condições.

Dica 7: reduza a conveniência


Trabalhar em um armário escuro, onde o celular não pega? Trabalha em coworking barulhento? Cadeira quebrada e rangente? Ar condicionado quebrado? Para ir ao banheiro e beber água, você precisa de um atendente? Eu acho que você já entendeu o que fazer.

Isso era real?


Sim e sim novamente. Houve poucos casos desesperados, mas há situações suficientes quando você pensa não no trabalho, mas em como sair rapidamente daqui devido a condições externas.

Dica 8: deixe todas as defesas proativas ativadas


Passamos a piadas técnicas. Permita que o PCI DSS e outras metodologias recomendem desativar alguns SZI proativos para mais testes de teste - você precisa fazer o oposto. Permita que as pessoas sofram em busca de uma solução, como testar rapidamente uma rede corporativa, onde ficam bloqueadas o tempo todo.

Extinga imediatamente a porta do switch na qual o pentester está preso. E então grite alto que o pentest falhou e afugente os odiados hackers do objeto.

Isso era real?


Já estamos acostumados a testar quando o SIS proativo (IPS, WAF) está ativado. É ruim que, neste caso, a maior parte do tempo seja gasta na verificação do sistema de segurança da informação, e não no teste da própria infraestrutura.

Dica 9: coloque uma vlan especial


Forneça acesso irrealista à rede que não corresponde ao acesso típico do usuário. Que não haja nada e ninguém nessa sub-rede. E as regras de filtragem serão negadas \ negadas ou próximas a ela.

Isso era real?


Sim, de alguma forma, recebemos acesso a uma sub-rede com uma impressora e no isolamento da rede de outras redes. Todo o trabalho se resumiu ao teste da impressora. Como especialistas técnicos, é claro, refletimos tudo no relatório, mas isso não mudou nada. Houve uma situação inversa quando invadimos metade da empresa através de uma impressora, mas essa é uma história completamente diferente.

Dica 10: trabalhe através de uma VPN


Realizar um teste interno em uma sala real, onde o teste pode obter um monte de informações adicionais (configurações de um telefone corporativo, impressora, escutar conversas ao vivo de funcionários, ver o equipamento pelos olhos) não é o seu caso. Você precisa realizar um trabalho, como se estivesse imitando um "intruso interno", e este "como" interpretar como ele combina com você. Portanto, forneça acesso apenas por meio da VPN e é melhor não usar a rota mais curta. Além disso, faça apenas acesso L3, porque os ataques à rede no nível L2 não são relevantes [sarcasmo]. Você pode justificar isso economizando dinheiro: por que as pessoas devem procurar você novamente, aceitar empregos, interferir nos funcionários, se isso é normal?

Isso era real?


Sim, é bastante normal realizar um teste de organização por meio de uma L3 sob VPN. Tudo trava, o canal fica entupido, as ferramentas percebem atrasos como indisponibilidade de serviços e não há nada a dizer sobre a impossibilidade de ataques de transmissão e MITM. Sim, e depois de pentests internos normais com um Pentest na VPN, como correr na areia nos patins.

Dica 11: nenhuma caixa cinza


Os pentesters não devem receber contas, documentação ou informações adicionais, mesmo que isso seja exigido pelo contrato. Que bom, será útil para eles alcançarem resultados mais rapidamente. Justifique o fato de que um hacker de verdade (uma imagem imposta na mídia) venha e decida tudo imediatamente. Incomodar - forneça a documentação há dez anos.

Isso era real?


Parece que todas as pessoas "no assunto" entendem que um atacante sério não se senta e tenta invadir o sistema desajeitadamente, ele primeiro realiza o reconhecimento, coleta as informações disponíveis, se comunica com as pessoas. Se este é um intruso interno, ele já sabe quem, o que e onde. O funcionário está dentro dos processos e tem conhecimento. Mas, ainda assim, 80% dos protestos são uma "caixa preta", onde você deve chegar em 5 minutos, descobrir e decifrar você mesmo, caso contrário, não é um "hacker de trabalho".

Dica 12: não permita a troca de informações entre diferentes áreas (interna, externa e social)


Regular o trabalho díspar, melhor por diferentes especialistas e estritamente sem transferir informações entre as direções. Justifique isso pelo fato de precisar determinar com precisão os riscos para cada área.

Se as informações "privilegiadas" (obtidas de dentro) foram usadas no perímetro externo para hackers, em nenhum caso conte esses trabalhos, diga que isso não é interessante para você e não corresponde aos trabalhos declarados. Se as informações obtidas após a "engenharia social" vieram a calhar para o pentesto interno, diga também que não conta.

Isso era real?


Esta é realmente a abordagem do pentest clássico, os resultados de cada teste são realmente necessários de forma independente, como se realmente fosse um invasor real. Mas, de fato, os grupos APT não funcionam assim.

Dica 13: diga a todos na empresa que você tem um pentest


Anuncie a toda a empresa que você tem um pentest. Deixe todo mundo remover os adesivos com credenciais, ninguém abre os anexos pelo correio e não insere as unidades flash encontradas no USB. Os funcionários com direitos de acesso privilegiados devem sair de férias ou estudar e desligar seus computadores, mas o mais importante é que eles mudarão sua senha qwerty para uma senha aleatória (pelo menos durante o teste). Em geral, as atividades dentro da empresa devem ser minimizadas o máximo possível e a vigilância aumentada. Assim, você reduzirá significativamente a possibilidade de ataques direcionados a trabalhadores e desenvolvimento dentro da rede.

Isso era real?


Bem, claro que foi. Você começa a trabalhar e vê que as pessoas recebem avisos, senhas alteradas recentemente, suspeitam de você. Alguns computadores não podem ser verificados, porque as pessoas em treinamento são uma "pura coincidência".

Dica 14: Monitore Pentesters


Abandone toda a sua rotina e apenas monitore os pentesters. Mesmo se você não tiver monitoramento, tente. Assim que você encontrar algo, bloqueie imediatamente o acesso, altere as permissões, exclua contas, apague as portas. Se você realmente precisa demitir pessoas.

Isso era real?


Oh, isso geralmente é um "favorito". Você diz ao cliente: "faremos um teste e o informaremos sobre tudo que é crítico, mas você não muda nada, estamos ajudando a encontrar não apenas uma falha específica, mas a revelar maus processos". E assim que você informa algo, logo no curto prazo, "acidentalmente" muda. Aqui estão alguns casos reais.

  1. SMB-, 5 , « » . , — , .
  2. , -. , « ». , , . « ».
  3. , RCE , , .

15: !


Se, por algum motivo, os criminosos ainda conseguiram encontrar uma vulnerabilidade e solicitarem a aprovação de sua operação, não concordo; justificar a violação da acessibilidade. Este laptop de apresentação é um serviço comercial essencial!

Isso era real?


Sim, isso também acontece o tempo todo. Pode-se observar que o servidor possui dados críticos e existe uma vulnerabilidade, e o cliente não coordena a operação. Como resultado, o contratante perde o ponto de entrada, o que poderia trazer consigo vários problemas até que toda a empresa estivesse comprometida. E se eles não concordaram, o relatório simplesmente diz: "a operação não foi acordada" e, na verdade, não há nada de interessante no relatório.

Dica 16: pausar o trabalho com mais frequência


Para todos os incidentes de TI, diga que é por causa de um prejuízo, e faça uma pausa no trabalho. Se não houver incidente, então venha com ele. Peça para fornecer os registros de tudo o que o pentester fez anteontem, das 14:00 às 15:00 - deixe-o analisar seu tráfego e lembre-se de qual das centenas de verificações com qual ferramenta e onde foi lançado.

Isso era real?


Não apenas os criminosos, mas a segurança da informação como um todo sofrem com isso. Assim que você começa a realizar o trabalho, qualquer incidente na organização leva imediatamente à necessidade de parar e resolver o problema. O servidor ficou indisponível - esses são os pentesters; o vírus saiu do usuário - esses são pentesters; a cafeteira no armário quebrou - esses são pentesters. Nós nos relacionamos com isso com humor e paciência, mas o tempo conspicuamente consome.

Dica 17: impedir que discos e arquivos de arquivos sejam analisados


Impedir que os Pentesters obtenham acesso a discos e arquivos de arquivos para analisar seu conteúdo. Justifique com "bem, informações muito confidenciais".

Isso era real?


Obviamente, existem 20 caixas de correio de administradores, mas você não pode ler cartas. No entanto, na prática, extraímos repetidamente senhas adicionais pelo correio, e elas ajudaram muito a comprometer a empresa. E sim, um hacker de verdade, é claro, teria descarregado todo o correio e não perguntado a ninguém.

Dica 18: peça para analisar o software do fornecedor


Diga que, de toda a infraestrutura como um todo, você gostaria que os especialistas analisassem o software do fornecedor, especialmente se ele for muito difundido e for quase uma "versão em caixa" sem configuração adicional.

Isso era real?


Acontece que eles pedem para quebrar um Cisco ASA puro ou algo semelhante. Dizemos que este produto é difundido e, provavelmente, foi testado por muitos, podemos verificar a "configuração incorreta", mas não faz sentido confundir tudo durante o teste. Na verdade, essa é uma pesquisa de 0 dia e é melhor testar em um suporte em conjunto com a engenharia reversa reversa. Os clientes concordam e ainda pedem para fazer o teste durante o teste, que chegará a tempo. É quase sempre uma perda de tempo.

Dica 19: ajuste o relatório final


A coisa mais doce: se, afinal, o hacking foi concluído e os criminosos apresentaram a primeira versão do relatório, basta pedir para remover momentos críticos dele. Este é um negócio e você deve receber um relatório pelo qual pagou.

Isso era real?


Há momentos engraçados que fazem você querer rir e chorar. "Remova as mensagens do CEO do relatório", "" este servidor precisa ser removido "", "quem pediu para você entrar nos computadores de serviço de SI - remova-os rapidamente". Às vezes, o texto é corrigido, graças ao qual um e o mesmo fato do terrível se torna completamente aceitável.

Dica 20: configure jogos ferozes em dispositivos de rede


Por que não? Se você tiver ovos de aço e habilidade técnica, crie o caos. Por exemplo, deixe cada pacote de 27 tcp retornado ao pentester entrar quebrado. O principal é que ninguém percebe.

Isso era real?


Ainda não, mas isso não é exato. Talvez o comportamento anormal do scanner em um dos 100 casos tenha sido a consequência de tais medidas.

Conclusão


Ninguém escreve no relatório sobre um milhão de problemas que surgiram durante o trabalho: que o acesso foi concedido por 5 horas, que eles concordaram com a operação por 2 dias, que havia uma cadeira sem encosto, um focinho de uma janela, etc. Tudo isso permanece nos bastidores e, com base nos resultados do trabalho, é emitido um relatório técnico seco, olhando para ele, uma pessoa independente simplesmente não entende quanta dor está por trás dele.

No Centro de Segurança da Informação "Jet Infosystems", trabalhamos com empresas de médio e grande porte. Algumas dessas dicas são realizadas pelos clientes em segundo plano devido às características internas da organização, à criticidade dos sistemas de informação e a um grande número de responsáveis. Esses são processos normais para minimizar o risco do impacto do trabalho de análise de segurança nos processos de negócios. No entanto, na maioria das vezes, nossas mãos são desatadas e relações amistosas com os clientes são construídas. Nós mesmos podemos oferecer as abordagens e interações certas convenientes para ambas as partes. Mesmo em organizações burocráticas complexas, você sempre pode encontrar uma solução flexível e realizar um trabalho de qualidade, se concordar corretamente com as pessoas interessadas.

More articles:


All Articles