Get best of the week

如何成功通过任何渗透测试(错误建议)

如果您迫切需要进行一次渗透测试,
而又不想睡午觉,
那么请快速查看为您准备
的惊人技巧清单-它一定会为您节省的。


这篇文章以幽默的方式撰写,表明即使那些工作有趣且令人兴奋的渗透测试人员,也可能遭受过度的官僚主义和客户忠诚度的困扰。

想象一下一个情况:您是一名信息安全专家,并且您知道所建立的保护是完全垃圾。也许您不知道这一点,但是您真的不想进行检查,因为谁想离开舒适区并做其他事情,实施保护措施,降低风险并向预算报告?

突然,在您的遥远王国中,在三十年代王国中,有必要对您的意愿进行一次渗透测试,例如,某些事情对于当局变得陌生,或者提出了新的法律要求。对您来说显而易见的是,找到一个“ Sharashkin办公室”是值得的,该办公室将模仿工作并写道一切都很好,事情已经结束,但情况变得越来越复杂。您的公司决定参加比赛并尽可能高效地进行比赛:编写合理的技术规范,对Pentester团队提出很高的要求(证书,参加Bug赏金)等。通常,他们为您做了所有工作,您的责任只是监督工作。

因此,发现了该团队,签订了合同,说服专家在袖子失效后进行了一次渗透测试。聪明的人,他们将在周一开始工作,并提高您的信息安全性,之后您要戴上帽子,然后您的无能为力就会被暴露出来。在您看来,这种情况最糟糕,但是确实如此!这是一些有关如何消除或至少减轻这种头痛的坏提示。

秘诀1:协调每一步


协调一切:渗透测试者可以使用哪些工具,他们将进行何种攻击,这会对您的IS系统造成什么风险。更好的是,每天要求详细的(几乎每小时)测试计划。放心:测试者会讨厌您。他们认为自己有创造力,但是您会告诉他们,除了琐碎的工作外,他们什么都不需要。请记住:您的武器是时间,在每一步都尽可能地协调。这样做的原因是您拥有一家大型公司,并且需要获得大量批准:系统所有者,IT,安全人员等的认可。即使没有,您也可以修饰一下。

是真的吗


是的,一个庞大而成熟的企业,尤其是高效的管理人员,他们自己不想这样做,因为批准得太频繁了,以至于整个团队都受挫。人们没有工作的“动力”,没有创造力和真正入侵事物的愿望。当星期二从15:00到18:00在特定服务器上只同意“特权提升”阶段时,这尤其奇怪(这是如此容易和自然)。

提示2:添加更多限制


增加对执行的工作的限制:同时扫描的数量,允许的IP地址,操作和可接受的攻击。不要扫描来自子网的随机IP地址,这可能会破坏重要的业务流程。或者,相反,只允许扫描某些地址,并声称可以将服务之一的扫描结果外推到子网中的所有其他地址。

是真的吗


在内部渗透测试中,很多时候,客户被要求排除该主机,该子网和该网段,而不是让戊二酯通过所有本地子网(192.168 / 16,172.16 / 12,10/8),“在这里,您只需要测试以下一个通常有500台主机,而这些主机仅从下午5点到上午9点-每台主机每秒不超过300个TCP会话。”作品设计为5天的事实并不会打扰任何人。对于表演者来说,这看起来很糟糕:您无法进行常规的自动化,需要不断监控这些工具是否未超出允许的范围,并且必须将所有工具的“拐杖”拧成一团。在扫描某个地方并收集服务列表时,事实证明,大部分时间都已经用完了。在通过网络进行开发的过程中,您还会看到:这是一项服务,据说该帐户具有特权帐户...但是他被排除在扫描之外。

提示3:要求提供更多报告


对齐方式已经讨论过了,但是报告呢?为了使人们能够冷静地工作并在最后提供报告?没有!每周,每天,半天索取报告。指的是前几年的负面经历以及控制他们所支付费用的过程的愿望。哇,它是如何“把木棍放进轮子”的。

是真的吗


这经常发生。即使在5分钟后,他们也开始从肩膀后面靠近,问:“好吧,那已经被黑客入侵了吗?” 在Messenger中,每小时都会拉动工作状态,到了一天结束时,他们正在等待Word文档中精美设计的手册的最终结果。结果,专家专注于如何编写报告,而不是测试质量。

提示4:询问记录流量转储和写入屏幕


此外,要求渗透测试人员记录屏幕并编写网络流量转储。这样做是合理的,因为您担心泄露机密信息或留下后门。

是真的吗


一些客户打开偏执模式并控制您采取的每个步骤。实际上,如果确实有必要,那么五个月肯定会找到如何绕过屏幕录制或产生必要的流量的方法,这些措施几乎没有意义,但它们确实会干扰工作。

提示5:通过三位经理进行沟通


通过3位以上的经理进行交流,从而在坏了的电话上玩耍并增加了时间。尽量不要将要求直接带给真正的执行者,不要通过中介进行交流,尤其是没有应用部分的经验时。结果,我们得到了这样的蒸汽机车,信息将改变或持续很长时间。

是真的吗


在大型项目中,这比例外更有可能是规则。安全员下达工作,由安全员监督,经理与下属进行沟通,有时甚至不是直接沟通,而是通过其经理进行沟通。结果,即使消除了所有其他因素,任何请求都将在半天后达到目标,并返回其他问题的答案。

秘诀6:打击虚荣心


请记住,最主要的是人。因此,为了降低工作质量,最好直接攻击他们,或者更确切地说,攻击他们的虚荣心。询问他们如何测试一项鲜为人知的技术,然后说他们期望更多。加上几年前,以前的渗透测试者在2个小时内就入侵了您的公司。当时的系统不同,也没有SZI,而您在其他地方工作也没关系。最主要的是事实本身:由于渗透者在2小时内没有破裂,因此没有什么值得尊重的。您会看到渗透测试者扬帆起航,-要求更换团队而不增加时间。

是真的吗


我们确实经常听到有关旧黑客的故事,这与当前的基础架构和信息安全流程无关。关于这种“诀窍”技术的安全性的问题也不少见,您必须快速理解并给出简洁的答案,但这并不总是足够的。

另一个有趣的案例:我们的团队中有一个五岁女孩,当她进行内部渗透测试时,客户最初是不信任的,然后将她视为展览品。并非每个人都希望在这样的条件下工作。

提示7:减少便利


在不挂手机的黑暗壁橱中工作?在嘈杂的工作中工作?椅子破烂不堪?空调坏了吗?为了上厕所喝水,需要服务员吗?我想您已经知道该怎么做。

是真的吗


是的,是的。绝望的情况很少,但是有很多情况使您不考虑工作,而是考虑由于外部条件而如何快速离开这里。

秘诀8:保留所有主动防御


我们讲技术笑话。让PCI DSS和其他方法建议禁用一些主动SZI进行更多测试测试-您需要做相反的事情。让人们苦苦寻找解决方案,如何快速测试公司网络,而这些网络一直都在被阻塞。

立即熄灭戊二酸酯所卡在的交换机上的端口。然后大声尖叫说渗透测试失败了,并从对象中追逐了讨厌的黑客。

是真的吗


我们已经习惯于启用主动SIS(IPS,WAF)时进行测试。在这种情况下,大部分时间都花在检查信息安全系统上,而不是在测试基础架构本身上,这是很糟糕的。

秘诀9:放入特殊的vlan


提供与典型用户访问不匹配的不切实际的网络访问。在该子网中什么也没有,也没人。过滤规则将拒绝\拒绝或接近它。

是真的吗


是的,通过某种方式,我们可以使用一台打印机访问子网,并且与其他网络隔离。所有工作都归结为测试打印机。作为技术专家,我们当然会在报告中反映所有内容,但这并没有改变。当我们通过打印机入侵公司一半股份时,情况恰好相反,但这是完全不同的情况。

技巧10:通过VPN工作


在实际的房间中进行内部渗透测试,让戊二醛可以获得大量其他信息(公司电话,打印机的设置,与员工进行生动对话的窃听,通过他们的眼睛观看设备)不是您的情况。您需要进行工作,就像在模仿“内部入侵者”一样,此“操作方法”将解释它如何适合您。因此,仅通过VPN提供访问,最好不要使用最短的路由。另外,仅进行L3访问,因为L2级别的网络攻击无关紧要[讽刺]。您可以通过省钱来证明这一点:如果那是正常的话,为什么人们又要再次找您,找工作,干涉员工呢?

是真的吗


是的,通过Under-VPN L3进行组织渗透测试是很正常的。一切都停止了,渠道被阻塞了,工具认为延迟是服务的不可用,而且广播攻击和MITM的不可能也没有什么可说的。是的,在使用Pentest on VPN进行正常的内部渗透测试之后,就像在溜冰鞋上的沙子上跑步一样。

秘诀11:无灰框


即使合同要求这样做,也不应向渗透测试者提供任何帐户,任何文档或任何其他信息。这样做有什么好处,对他们而言,可以更快地获得成果。有道理的事实是,真正的黑客(媒体上强加的形象)将会来临并立即破解一切。麻烦-十年前提供文档。

是真的吗


似乎所有“处于主题中”的人们都知道,一个认真的攻击者不会坐下来尝试笨拙地侵入系统,他将首先进行侦察,收集可用信息并与人们进行交流。如果这是一个内部入侵者,那么他已经知道谁,什么以及在哪里。员工在流程内部并且具有知识。但是,仍然有80%的测试是一个“黑匣子”,您必须在5分钟之内走出来,自己弄清楚并自行破解,否则,它不是“劳动黑客”。

提示12:不允许在不同区域(内部,外部和社会)之间交换信息


规范不同的工作,最好由不同的专家来更好地进行,并且严格不要在指令之间传递信息。您需要准确确定每个领域的风险这一事实证明了这一点。

如果在外围使用“内部”信息(从内部获取)进行黑客入侵,则在任何情况下都不算此类作品,请说这对您而言并不有趣,并且与声明的作品不符。如果在“社会工程学”之后获得的信息对于内部渗透测试来说派上了用场,也请说这不算在内。

是真的吗


这实际上是经典渗透测试的方法,每个测试的结果实际上都是独立需要的,就像真正的攻击者确实需要这样做一样。但实际上,APT小组并非如此。

秘诀13:告诉公司中的每个人您的笔试


向整个公司宣布您的渗透测试。让每个人都使用凭据删除不干胶标签,没有人打开邮件中的附件,也不要将找到的闪存驱动器插入USB。具有特权访问权限的员工应休假或学习并关闭计算机,但最重要的是,他们将qwerty密码更改为随机密码(至少在渗透测试期间)。一般而言,应尽可能减少公司内部的活动,并提高警惕性。因此,您将大大减少针对网络中的工作人员和开发人员的攻击的可能性。

是真的吗


当然是的。开始工作后,您会看到有人警告您,最近更改了密码,他们对您有所怀疑。某些计算机无法检查,因为接受培训的人员是“纯属巧合”。

提示14:监控渗透者


放弃所有常规,只监视渗透者。即使您没有监视,也请尝试。一旦您发现他们发现了什么,立即阻止访问,更改权限,删除帐户,熄灭端口。如果您确实需要-解雇人员。

是真的吗


哦,这通常是“收藏夹”。您对客户说:“我们将进行一次渗透测试,并向您通知所有关键问题,只有您什么都不要改变,我们不仅帮助发现特定缺陷,而且还揭示了不良流程。” 并且,只要您告知某些信息,它就会在短期内“意外地”发生变化。这是一些实际情况。

  1. SMB-, 5 , « » . , — , .
  2. , -. , « ». , , . « ».
  3. , RCE , , .

15: !


如果出于某种原因,渗透测试者仍然设法找到一个漏洞,并且他们要求您批准其操作,则不同意;证明违反了可访问性。此演示文稿笔记本电脑是一项至关重要的业务服务!

是真的吗


是的,这种情况一直都在发生。可以看出,服务器具有关键数据并且存在漏洞,客户无法协调操作。结果,承包商失去了切入点,这可能会带来很多问题,直到整个公司受到损害。如果他们不同意,则报告只是说:“未达成共识。”实际上,报告中没有任何有趣的内容。

秘诀16:更多地暂停工作


对于所有IT事件,请说这是由于事后才行,请暂停工作。如果没有事件,请提出。要求提供前一天下午2:00至下午3:00彭特斯所做的所有工作的日志-让它解析流量并记住数百种检查工具中的哪一项以及在何处启动。

是真的吗


不仅渗透测试者,而且整个信息安全都遭受此困扰。一旦开始执行工作,组织中的任何事件都会立即导致需要停止并进行分类。服务器不可用-这些是测试者;病毒从用户身上散发出来-这些是渗透测试者;橱柜里的咖啡机坏了-这些都是测试者。我们对此充满幽默感和耐心,但是时间显然会吃光。

提示17:防止分析文件磁盘和邮件


阻止渗透测试者访问文件磁盘和邮件以分析其内容。用“非常好,非常机密的信息”对其进行辩护。

是真的吗


当然,有20个管理员邮箱,但是您看不懂信件。但是,实际上,我们反复从邮件中提取了其他密码,这些密码极大地损害了公司的利益。是的,一个真正的黑客当然会卸载所有邮件,并且没有人问。

技巧18:要求分析供应商软件


假设从整个基础结构的整体来看,您希望专家分析供应商软件,尤其是如果该软件非常普及并且几乎是没有附加配置的“盒装版本”。

是真的吗


碰巧他们要求破解纯Cisco ASA或类似产品。我们说这个产品已经普及了,很可能已经被很多人测试过了,我们可以检查“配置错误”,但是在渗透测试过程中不要混淆所有内容。这实际上是一个0天的搜索,最好将其与反向逆向工程结合起来在架子上进行测试。客户点头并且仍然要求在渗透测试期间进行测试,测试将及时进行。几乎总是浪费时间。

秘诀19:调整最终报告


最甜蜜的事情是:如果毕竟黑客入侵已经完成,而渗透测试者已经为您提供了该报告的第一版,则只要求删除其中的关键时刻即可。这是一家公司,应向您提供已付款的报告。

是真的吗


有一些有趣的时刻会让您想笑和哭。“从报告中删除CEO的邮件”,“需要删除此服务器”,“谁要求您输入IS服务计算机-快速将其删除”。有时措辞会更正,这是可怕的一个事实,也是完全可以接受的。

技巧20:在网络设备上设置激烈的游戏


为什么不?如果您有钢制拳头并且具有技术能力,那么就会造成混乱。例如,让返回到pentester的每个27 tcp数据包都破损。最主要的是没有人注意。

是真的吗


尚未,但这并不准确。也许在这种情况下,扫描仪的异常行为是100例​​中的一种。

结论


报告中没有人写到工作过程中出现的一百万个问题:准予访问时间为5个小时,他们同意进行为期2天的操作,没有椅子的椅子,没有靠背的枪口,等等。所有这些都隐藏在幕后,根据工作结果,发布了一份干燥的技术报告,看着它,一个独立的人根本不会理解他身后有多少痛苦。

在信息安全中心“ Jet信息系统”中,我们与大中型企业合作。由于组织的内部特征,信息系统的重要性以及大量负责人员,这些技巧中的一些技巧是由客户在后台执行的。这些是正常流程,可以最大程度地减少安全分析工作对业务流程的影响。但是,在大多数情况下,我们的双手不受束缚,与客户建立了友好关系。我们自己可以为双方提供正确的方法和互动。即使在复杂的官僚组织中,如果您与感兴趣的人正确地达成一致,您也总是可以找到一个灵活的解决方案并进行高质量的工作。

More articles:


All Articles