Domanda:
Come azienda, come possiamo evitare che i penetration tester compromettano il nostro sistema?
Pippo Pluto
2020-05-03 21:49:10 UTC
view on stackexchange narkive permalink

Quali strumenti o tecniche possono utilizzare le aziende per impedire che i penetration tester si comportino in modo dannoso ed esfiltrino dati o compromettano il sistema? Non riesco a immaginare che le uniche protezioni utilizzate dalle aziende siano quelle contrattuali.

Pensa a loro come fabbri di computer avanzati.Sono i bravi ragazzi che stai assumendo per testare le tue "serrature".Non stai assumendo veri ladri (spero).
Se ci tieni puoi sempre sorvegliarli, ma questo sarà molto costoso.Inoltre, se non concedi loro un accesso privilegiato, in pratica devi preoccuparti che i cattivi lo faranno comunque.Puoi anche farli controllare altri ambienti, ma questo potrebbe non darti la debolezza dei sistemi di produzione che ti interessano,
Come proprietario di una casa, come posso evitare che gli idraulici facciano perdite dal mio scaldabagno?
Il punto nell'assumere penetration tester è evitare violazioni.Quando riescono a violare la tua sicurezza, gli altri che non hanno un contratto con te sono la minaccia peggiore.Quando la tua sicurezza è abbastanza buona, non ci sono minacce.Per un consiglio effettivo: guarda la reputazione dei penetration tester che stai assumendo.Per chi lavoravano prima?Come sono entrati nel business, cosa si sa di loro?
@fraxinus, assumi altri due idraulici, che controlleranno se il primo idraulico sta facendo tutto correttamente.O ragazzi mi state dicendo che se la NSA ha bisogno di aggiustare un rubinetto, * qualsiasi * idraulico sarà fidato, solo perché ehi, è un idraulico, sa cosa sta facendo, dovremmo fidarci di lui?La domanda posta dall'OP non è così stupida come potrebbe sembrare all'inizio.
@reed La domanda originale è essenzialmente, ho bisogno di assumere qualcuno per testare la mia sicurezza.Come posso impedire loro di penetrare nella mia sicurezza?La risposta sarebbe assumere qualcun altro per testare la mia sicurezza?E come impediremmo a quel nuovo gruppo di penetrare nella mia sicurezza?Sono le tartarughe fino in fondo?Oppure ti fidi delle persone che stai assumendo per la loro esperienza nell'utilizzare adeguatamente la loro esperienza.
@MichaelRichardson all'inizio suonava così anche a me, una domanda stupida.Ma se ci pensate, quello che l'OP potrebbe davvero chiedere è: se sono davvero preoccupato per la sicurezza dei miei dati, dovrei fidarmi ciecamente di un pentester, solo perché è il loro lavoro?Quindi, almeno, ha senso parlare di controllare CV / curriculum, richiedere un nulla osta di sicurezza, ottenere un'assicurazione, ecc. (Vedi la risposta di Anonymous per esempio).
@reed Dato che ti fidi di tutti gli altri, potresti anche fidarti del pentester.
@fraxinus Non riesco a pensare a nulla che l'idraulico guadagnerà facendo perdite dallo scaldabagno.
@reed Cosa ha impedito a queste persone di compromettere la tua sicurezza * prima * che tu le assumessi?Tutti gli stessi fattori preventivi continuano ad applicarsi dopo l'assunzione.Se avessero voluto fare dei danni, avrebbero potuto farlo altrettanto facilmente prima del contratto, quindi l'evento di assunzione non introduce rischi aggiuntivi che avrebbero bisogno di mitigazioni aggiuntive.In ogni caso, ti fiderai ciecamente di tutte le società pentite che non assumi.
@Peteris, Suppongo che qualcuno che assumi sia in grado di raccogliere molte più informazioni e avere accesso ai tuoi sistemi più facilmente, rispetto a uno "sconosciuto".Immagino anche che alcuni interessanti trucchi di ingegneria sociale diventino possibili quando agisci come un pentester."Oh scusa, l'allarme è scattato per sbaglio, mentre stavo solo testando altre cose (sì, giusto)".E li perdoni e non indagare oltre.
@DavidSchwartz, ma chi ha detto che ci si dovrebbe fidare di tutti gli altri?Sono d'accordo che è un po 'stupido preoccuparsi per un pentester, e poi non preoccuparsi per nessun altro.Ma l'OP non ha detto che si fidano di tutti gli altri.
@reed al contrario, un penetration test esterno standard riguarda esattamente il test (e la dimostrazione) di ciò che ogni "estraneo" può ottenere senza alcun accesso o informazione privilegiata e i dipendenti del cliente non dovrebbero ignorare alcun allarme - letteralmente * l'unica * differenza inLa risposta a un tentativo di ingegneria sociale dovrebbe essere che, alla fine, l'autore del reato non va in prigione perché aveva il permesso.Se non indaghi ulteriormente, si tratta di un difetto del processo che un pentest competente sfrutterà e documenterà in modo che tu possa aggiustarlo in seguito (ad es. False lettere "esci di prigione")
@Peteris: C'è anche una piccola differenza nel fatto che un pentester pagato di solito insegue specifici obiettivi pre-concordati, mentre un hacker sta cercando i dati di produzione.
@Peteris Un buon pentest è il migliore quando ai pentesters vengono fornite alcune informazioni sul sistema.In alcuni casi forse persino codice, poiché rende più facile per loro trovare le vulnerabilità. L'idea è che se un pentester non riesce a entrare con tutte queste informazioni extra che gli vengono fornite, è improbabile che un "estraneo" possa entrare pur avendo accesso solo a ciò che è pubblico.
@fraxinus questo è un commento abbastanza inutile
Sei risposte:
MechMK1
2020-05-03 23:12:39 UTC
view on stackexchange narkive permalink

Stai cercando una soluzione tecnica a un problema legale. Non funzionerà.

Ciò di cui ti preoccupi è principalmente un problema legale. I penetration tester operano in base a un Accordo di non divulgazione, che è l'equivalente legale di "tieni la bocca chiusa su tutto ciò che vedi qui". Gli accordi di non divulgazione, o in breve NDA, sono ciò che impedisce a un penetration tester di parlare delle interessanti vulnerabilità che hanno trovato durante il test di ACME Corp. la scorsa settimana.

Ma perché un penetration tester dovrebbe onorare un NDA? Perché non farlo distruggerebbe sostanzialmente la loro carriera. Se l'azienda viene a sapere che un penetration tester ha divulgato informazioni interne, farà causa al pen-tester per danni, che possono essere superiori a milioni.

Inoltre, distruggerà completamente la reputazione del pen-tester , assicurando che nessuno li assumerà mai più. Per un penetration tester, ciò significa che la conoscenza che ha impiegato anni o decenni per accumulare è essenzialmente priva di valore. Anche se l'idea sembra dolce a un tester di penna moralmente corrotto, la punizione è di dimensioni peggiori.

Inoltre, la maggior parte dei tester di penna non ha alcun interesse a compromettere un cliente. Perché dovrebbero? È nel loro interesse assicurarsi che il cliente sia soddisfatto, in modo che lo assuma ancora e ancora.

Per quanto riguarda il motivo per cui non imposteresti restrizioni tecniche, ci sono diversi motivi. In primo luogo, come pentito, ti senti trattato come un criminale. Molti pentesteri sono orgogliosi del lavoro che svolgono e trattarli come criminali lascia solo un sapore aspro in bocca. Un pentester capisce che un'azienda ha determinate politiche, ma se una società va ben oltre e scortandola con una guardia armata in bagno, solo per assicurarsi che non cerchino post-it con password durante il viaggio indietro, si sentiranno diffidenti. Questo può e molto probabilmente abbasserà il morale e potrebbe far sì che un pentester non dia il meglio di sé.

Inoltre, limiti tecnici assurdi possono anche solo rendere le cose difficili per un tester di penna. Ad esempio, se il loro account di dominio fornito dall'azienda viene bloccato non appena avviano Wireshark o nmap, è necessario del tempo prima che tale account venga riattivato. Impedisce a un pentester di avviare tutti i propri strumenti per trovare le vulnerabilità nel modo più efficace possibile e fa perdere molto tempo.

Questo è negativo sia per il pentester che per il cliente e probabilmente si tradurrà in un peggioramento esperienza complessiva per entrambi.

Inoltre, quando assumi qualcuno il cui compito è già quello di agire in modo malizioso e trovare modi per aggirare le cose, daresti loro un'altra sfida da risolvere solo se fossero veramente motivati a rompere il contratto.
Potrebbe valere la pena aggiungere che vuoi che * il pentester * violi.Perché quella persona ti dirà come ha fatto.Un vero hacker non sarà così gentile :)
Questa risposta è tecnicamente sbagliata (ma non voterò per difetto, non lo faccio quasi mai).In pratica stai dicendo che ci si dovrebbe fidare di un pentester perché c'è un contratto, ed è una questione di professionalità e reputazione.Ma chi ti dice che un penterster non è malizioso?Come fai a sapere se hai a che fare con un vero pentester o un impostore?Immagina di chiamare l'idraulico per aggiustare un rubinetto, e poi Kevin Mitnick si presenta dicendoti che è l'idraulico.Bello!Quindi la risposta di Anonymous è più corretta IMO.
Inoltre, l'aggiunta di tali restrizioni tecniche non solo rende più difficile il lavoro del pentester, ma rende il loro rapporto meno utile.Perché, se li scorti con una guardia armata per assicurarti che non cerchino password post-it (una vulnerabilità nel tuo sistema!), Il fatto che siano in giro non sarà nel rapporto.E a meno che la tua squadra non abbia quella guardia armata con * ogni singolo ospite *, c'è un buco di sicurezza sconosciuto.Si finisce per testare "queste sono le vulnerabilità a disposizione di un hacker che deve operare sotto [queste restrizioni tecniche]; probabilmente una vulnerabilità extra per gli altri".
@reed Certo, questo è un punto valido, e sono d'accordo sul fatto che Anonymous abbia fatto alcuni punti molto positivi.Ecco perché le persone non dovrebbero semplicemente smettere di leggere dopo una risposta
_ Anche se l'idea sembra dolce a un tester di penna moralmente corrotto, la punizione è di dimensioni peggiori.
@AndrewSavinykh È una formula semplice: il guadagno di un'attività dannosa deve essere maggiore della punizione per essere scoperti, moltiplicato per la possibilità di essere scoperti.Se la punizione è abbastanza severa, allora devo essere * reeeeaaallly * sicuro che non verrei scoperto.
@MechMK1 Detto questo, le persone sono pessime nel calcolare queste probabilità.Ecco perché non ha senso punire i borseggiatori tagliandogli le mani;scoraggerà pochi che non sono stati già scoraggiati da una multa e forse una notte in prigione, perché qualcuno che pensa di non essere scoperti pensa che indipendentemente da quale punizione ci sia.
@Arthur Anche se sono d'accordo sul fatto che le persone sono molto cattive nel calcolare le possibilità - l'esistenza dell'industria del gioco ne è una prova sufficiente - l'idea di tagliare una mano deriva da qualcosa di più di una semplice "punizione severa".Per una volta ha un fattore simbolico, che è l'allontanamento della parte del corpo che ha commesso il crimine.In secondo luogo, marca il ladro come un ladro tra gli altri nella società.Ciò dovrebbe aiutare i cittadini onesti a identificare i criminali e impedire loro di associarsi accidentalmente con loro.Se suona crudele, beh, allora era un periodo diverso.
@MechMK1 Eppure allora c'erano anche dei borseggiatori.Sapendo che si sarebbero tagliati le mani.Vedere le persone intorno a loro con le mani mozzate.Molti di loro potrebbero essere stati disperati, ma non è stato un deterrente così forte come si potrebbe pensare se la tua formula fosse seguita correttamente.Avere altre ragioni alla base della punizione non cambia il modo in cui influisce nel calcolo del rischio-rendimento.
@Arthur Non sto dicendo che previene il crimine, né dico che pene severe impediscono alle persone di commettere crimini oggi.
@MechMK1 In un certo senso l'hai fatto."È una formula semplice: il guadagno di un'attività dannosa deve essere maggiore della punizione di essere scoperti, moltiplicato per la possibilità di essere scoperti".questo implica che il crimine al di fuori di questa formula non sarebbe accaduto.L'argomento è che la formula è rilevante solo se assumiamo individui perfettamente razionali
C'è un aspetto che penso debba essere aggiunto a questa risposta: almeno negli Stati Uniti, la violazione dei termini di un contratto che coinvolge qualcosa come il pentesting può comportare non solo la responsabilità civile, ma anche la responsabilità penale (grave).Oltre al più ovvio del CFAA, possono essere possibili altri addebiti relativi a frode / segreti commerciali criminali / ecc. (Statali o federali) (soprattutto se i relativi danni possono essere rivendicati come piuttosto elevati). Per quanto riguarda il guadagno contro il rischio: esperti in settori come questo aumentano o diminuiscono la loro reputazione, il rischio è ANCHE qualsiasi possibilità di lavoro futuro redditizio.
Se sei abbastanza capace da mettere in campo difese praticabili contro un penetration-tester, probabilmente non hai bisogno di assumere un penetration-tester;piuttosto puoi fare tutti i test di penetrazione da solo.
@taswyn Non sono un esperto legale - nemmeno un principiante - quindi tutto quello che posso fare è dare consigli su uno stampino per biscotti per rispettare le leggi e i regolamenti applicabili.
@JeremyFriesner La maggior parte delle volte si tratta di "difese" organizzative.Qualcosa come "Sì, vogliamo che tu reprimi questo sistema. No, non consentiremo al tuo cliente di connettersi ad esso".Quindi devi passare ore a trovare il MAC di un client che può, falsificarlo, ecc ... Non è impossibile, solo fastidioso da morire, e alla fine tutti stanno peggio.
@MechMK1 assolutamente, e non sto suggerendo di cercare di affrontare leggi specifiche, ma semplicemente che le questioni legali POSSONO (a seconda della giurisdizione) essere tali che la violazione di un contratto civile può * inoltre * creare responsabilità penale (questo, ad esempio, è statotestato con il CFAA in tribunale e perseguito con successo) a seconda delle specifiche.Il pentesting può spesso comportare azioni che sarebbero illegali se non fossero state concordate contrattualmente, e la * possibilità * di creare un vero angolo criminale se agire al di fuori del contratto (e la violazione dell'NDA spesso annulla il contratto) è degno di nota.
Anonymous
2020-05-04 00:50:47 UTC
view on stackexchange narkive permalink

Chiedo se le aziende possono utilizzare alcuni strumenti, alcune tecniche per evitare che i penetration tester che si comportano in modo malizioso possano esfiltrare alcuni dati o compromettere il sistema in modo permanente.

Puoi registrare tutto il traffico dietro il tuo firewall o rimanere sveglio tutta la notte a guardare l'output di Wireshark, ma senza competenze tecniche sarà difficile dare un senso ai bit che volano davanti a te. Un sistema di prevenzione della perdita di dati è probabilmente quello che hai in mente, ma interferirà con il pentest, a meno che questa non sia esattamente l'apparecchiatura che vuoi testare.

La risposta è due diligence . Prima di assumere un'azienda controlla le loro credenziali. Poni domande, chiedi anche rapporti di esempio. Alcuni abiti faranno poco più che eseguire una scansione automatica e spuntare le caselle su un foglio modello. Questo non è quello che vogliamo. Quello che vogliamo sono pentestri di talento che pensano fuori dagli schemi e escogitano attacchi originali , manuali basati sui loro sforzi di ricognizione (che per la maggior parte sono automatizzati). Un buon pentest dovrebbe essere un'operazione su misura e non un esercizio di stampino per biscotti.

Non farei affari con un'azienda che non fornisce rapporti di esempio (rapporti curati ovviamente).
La mia più grande preoccupazione non è la disonestà, ma piuttosto la mancanza di competenza, il che significa che paghi per un risultato inutile.
Quindi questo è il mio primo filtro. Un'azienda che rispetta le regole è a mio parere meno etica perché fornisce consapevolmente un servizio di discutibile valore. Probabilmente è meglio di niente, ma vuoi un buon rapporto qualità-prezzo.

Non riesco a ricordare un singolo caso di una società pentest utilizzata per azioni criminali. Tuttavia alcuni sono stati citati in giudizio per ciò che equivarrebbe a "negligenza". Esempio: Affinity Gaming vs Trustwave.

Il contratto dovrebbe essere chiaro su cosa è consentito e cosa no. Assicurati che non ci siano malintesi e che la persona che ti assume abbia piena autorità. Cosa potrebbe andare storto: Iowa vs Coalfire

Sicuramente, i "test di penetrazione non autorizzati" (ossimoro) che vogliono entrare nei tuoi sistemi non chiederanno il tuo permesso per testare e quindi andare oltre lo scopo dell'incarico. Si inviteranno solo loro stessi.

Non so se sei uno di quelli, ma alcune aziende / agenzie governative richiedono un nulla osta di sicurezza . Ciò alza un po 'l'asticella: è improbabile che i criminali abbiano un nulla osta. Ci sono eccezioni come Mr Snowden, il rischio dello 0% non esiste.

Se la tua azienda è coinvolta in attività discutibili, danneggiando l'ambiente, vendendo armi ai tiranni, allora potresti legittimamente essere preoccupato per gli informatori. Questo è un enigma: hai informazioni sensibili e desideri mantenerle segrete, ma per proteggerle devi consentire a un estraneo di accedervi. Dovresti selezionare un fornitore che abbia esperienza di lavoro con aziende nel tuo campo di attività e che sia a tuo agio con quello che fai. Forse il tuo ente commerciale oi tuoi partner commerciali possono fornire consigli. Passaparola.

Se pensi che la tua azienda possa subire danni finanziari / multe in caso di esposizione dei dati (accidentale o meno), parla con la tua assicurazione azienda. A proposito, anche la società pentest dovrebbe avere un'assicurazione di responsabilità civile. Questa è una domanda da porre.

Le violazioni sono un dato di fatto. Quasi tutte le aziende sono state hackerate almeno una volta o lo saranno in futuro. Questo è qualcosa da considerare. Dovresti avere un piano di ripristino di emergenza pronto, indipendentemente dal fatto che tu decida di procedere con il pentest. Che penso sia una buona idea: se le cose vanno male almeno puoi dimostrare di aver intrapreso sforzi ragionevoli per prevenire una violazione. Una società ritenuta negligente può aspettarsi sanzioni più severe in termini di: multe normative, azioni legali, contraccolpo dei consumatori, esposizione negativa sui media, rivolta degli azionisti, ecc.

Forse cambiare il sito Affinity Gaming vs Trustwave in un articolo non a pagamento?
Strano, ieri non avevo il paywall e ho letto l'articolo per intero.Metterò un altro collegamento.
Non puoi effettivamente richiedere un nulla osta di sicurezza se non sei un'organizzazione che ha accesso ai sistemi che contengono prove di tali autorizzazioni.Probabilmente vorrai anche considerare che la richiesta di consulenti con autorizzazioni di sicurezza potrebbe indurre il fornitore ad addebitarti la tariffa per i consulenti che necessitano di autorizzazioni, che sarà notevolmente superiore alla tariffa per consulenti altrettanto competenti ed etici che non sono richiestiavere un'autorizzazione, inclusi gli stessi identici consulenti che semplicemente non sono coinvolti in un progetto con autorizzazione.
Beurtschipper
2020-05-04 02:56:24 UTC
view on stackexchange narkive permalink

Se stai sviluppando prodotti, dovresti avere una pipeline SDLC con diversi ambienti come DTAP, dove dovresti avere dei penetration tester che eseguono test sull'ambiente di accettazione. È una best practice per la sicurezza mantenere gli ambienti completamente separati dalla produzione. Quindi il tuo ambiente di accettazione dovrebbe essere una copia funzionale del tuo ambiente di produzione, ma non dovrebbe contenere credenziali di produzione, dati degli utenti, connessioni ad ambienti di produzione, ecc.

Creare un ambiente di accettazione per un'azienda è spesso una sfida a livello di rete e server. Se questo è il caso, puoi far dire a un claus che dovrebbe fermarsi nel momento in cui entra in un sistema di produzione. Se i penetration tester riescono a trovare le credenziali di produzione da qualche parte o ad hackerare un server di produzione per sbaglio, ti comporti come se fosse avvenuta una vera violazione - tranne per chiamare la polizia - e le credenziali di accesso cambiano / monitorano il server / ecc.

Questo è un buon approccio quando possibile, ma vale la pena notare che le differenze tra ambienti di test e live possono significare che un pen test non riesce a trovare qualcosa in un ambiente di test che sarebbe possibile in un ambiente live.Ovviamente, gli ambienti di test non hanno utenti, quindi gli attacchi che si basano su azioni o errori dell'utente potrebbero non funzionare.
È vero che l'accettazione non è sempre una copia esatta della produzione, ma l'esecuzione di test di sicurezza sull'ambiente di accettazione è una best practice ed è più comune sul campo.L'idea che gli ambienti di test non abbiano utenti semplicemente non è vera.In effetti, a volte è più facile creare account di prova che account di produzione.Un modo alla moda per testare gli ambienti di produzione è con le assegnazioni del team rosso.
Quando dico utenti, non intendo account utente, intendo esseri umani, che spesso sono il punto più debole di un sistema di sicurezza.
Per testare il comportamento degli utenti in produzione, normalmente si eseguono test di ingegneria sociale e / o phishing, a parte i normali pentest.L'intero punto di proteggere adeguatamente i sistemi è che la sicurezza tiene, anche se alcuni utenti sbagliano.Se la tua principale linea di difesa è avere utenti intelligenti, il tuo design fallisce all'inizio.I pentest moderni ne tengono conto e non si preoccupano degli utenti, a meno che non siano esplicitamente definiti.
@James_pic Ho visto scenari pentest che iniziano con account utente compromessi, perché è ragionevole supporre che, indipendentemente da ciò che fa l'azienda, qualsiasi azienda di dimensioni ragionevoli * avrà * qualcuno che si innamora di una campagna di spearphishing, quindi non è necessariodisturbare i tuoi utenti con il test se lo spearphishing è un rischio perché lo sai già, ma vuoi testare tutte le * altre * misure di sicurezza e rilevamento per un attacco attraverso una macchina utente con privilegi bassi compromessa.Se il movimento laterale o l'escalation richiedono una ragionevole interazione da parte dell'utente, ciò può essere simulato dal cliente.
L'unica risposta che * risponde alla domanda * qui, invece di agitare la mano per proiettare l'importanza di sé.OP, la tua domanda non è stupida, come altri hanno suggerito.Sono un po 'sorpreso che tu non abbia scelto questa come risposta corretta.
Jacopo
2020-05-05 16:27:20 UTC
view on stackexchange narkive permalink

Il lato concettuale / contrattuale è stato trattato in altre risposte ed è molto importante.

Tuttavia, c'è anche un lato tecnico , soprattutto in termini di "caso peggiore impatto "e limitare l'accesso non necessario. Le aziende dovrebbero essere preparate al massimo.

Ecco alcuni esempi:

  • Dovrebbe essere possibile testare il sistema X senza accedere al sistema Y non correlato .

    Questo può sembrare ovvio, ma molte aziende hanno un unico sistema di accesso per i dipendenti che dà accesso a tutti i sistemi: in altre parole, le credenziali di prova per X sono valide anche per accedere a Y , Z, ecc.

    L'azienda dovrebbe invece essere in grado di emettere token di "accesso limitato". Quando si progetta il sistema delle credenziali, questo requisito dovrebbe essere aggiunto anche se inizialmente inutile (pochi dipendenti, tutti normalmente si fidano, ...).

  • I pentest dovrebbero verificarsi su un ambiente realistico

    Anche in questo caso, può sembrare ovvio ma ... il tuo ambiente di test contiene dati / script / programmi / ecc. realistici? Hai un generatore automatico per questo? Sono coperti tutti i casi interessanti? In caso contrario, è possibile eseguire un'istantanea e rendere anonimi i dati reali?

    Il test su una shell vuota è molto irrealistico, e anche se potresti chiedere ai pentester di popolare un database per te non conosceranno tutti i casi che ti ti interessa.

    Forse sorprendentemente, il tuo sistema di test dovrebbe essere più completo di quello reale: dovresti aggiungere tutti i casi complicati che vengono alla mente, anche se non le hai ancora incontrate.

  • Le linee di comunicazione e le aspettative dovrebbero essere stabilite in anticipo

    Chi dovrebbero contattare i pentesteri in caso di problemi? Sei pronto per ripristinare rapidamente il sistema di test (o produzione!) E ripristinarlo?

    Ti aspetti di essere avvisato di problemi critici non appena scoperti? Applicherai una patch al sistema mentre il test è in corso? Ti aspetti che venga tentata la persistenza? Attacchi cross-server / "movimento laterale"? Ingegneria sociale?

    Ancora più complicato: i pentester dovrebbero leggere dati sospetti, possono confermare la situazione? ("questo è il test dei dati, continua" e "non ci aspettavamo che questi dati fossero presenti / accessibili, interrompi immediatamente")

  • Cosa c'è in ambito? Strettamente correlato: qual è il tuo modello di minaccia?

    Sebbene tu possa chiedere ai pentesters di "capirlo", probabilmente non è quello che vuoi: ricorda, i risultati devono essere utili per te e rappresentare i tuoi confini di sicurezza.

    Di solito è meglio capirlo insieme ai pentesteri ed essere pronti a far evolvere le cose durante lo sforzo se necessario.

Per inciso, credo che la maggior parte dei pentesteri fornirà volentieri consigli su questo argomento. Nessuno vuole davvero affrontare la ricaduta di danni accidentali o ripercussioni sulla privacy.

Non sono sicuro di quanto il test del sistema X senza accesso al sistema Y sia importante per i test di penetrazione.Se qualcuno sta violando il tuo sistema e può accedere al sistema Y non correlato attraverso il sistema X, dovrebbe essere qualcosa che vorresti sapere.Semmai, l'accesso a sistemi non correlati è il modo in cui si verificano la maggior parte delle violazioni.
Sarebbe un attacco cross-server ("movimento laterale").Mi riferivo principalmente alle credenziali di accesso.Ad esempio, supponiamo che stiamo bloccando il sistema di monitoraggio delle vendite: i pentester avranno bisogno di una qualche forma di credenziale di accesso.Possiamo limitarlo?O dobbiamo fornire un account dipendente a livello aziendale che abbia accesso a tutti i sistemi (e-mail, risorse umane, condivisioni di file, ...)?A volte le aziende eseguono pentest "ampi" in cui ~ tutto rientra nello scopo, ma più comunemente lo scopo è limitato - pensala in questo modo: i pentest hanno tempo limitato, dove vuoi che lo trascorrano?Dovresti correre rischi inutili?
Perché dovresti fornire loro le credenziali di accesso?Il loro compito è capire come accedere partendo da nessuna credenziale.Che si tratti di una vulnerabilità nel tuo server, e-mail di phishing, qualche altra forma di ingegneria sociale, ecc. Se hai le credenziali di accesso, sei già all'interno del portello ermetico.
Ebbene, ci sono molti boccaporti :) E 'valido chiedere un pentest "ricognizione": da zero, trova le credenziali o un altro modo per accedere (a volte, trova il sito stesso: D).Tuttavia, è anche importante vedere cosa può fare un utente autenticato, quali sono i rischi presenti, ecc. Ad esempio, i dipendenti possono legittimamente accedere al sistema HR e vedere le proprie pagine, ma in genere non dovrebbero essere in grado di vedere altre persone omodificare le proprie informazioni oltre a quanto consentito dalla politica.
Kerry
2020-05-21 13:44:14 UTC
view on stackexchange narkive permalink

La domanda è ovviamente, girando in tondo: se potessi impedire al tester un determinato accesso, allora vorresti sicuramente impedire l'accesso a stranieri / aggressori, quindi le tue misure per impedire l'accesso al pentester sono esattamente quelle che hai a posto e vuoi provare. Non dovrebbe esserci alcuna differenza.

L'unica alternativa possibile sarebbe che i pentesters cercassero un ambiente di test dedicato duplicato dal tuo ambiente di produzione ma senza dati in tempo reale, il che è ovviamente più costoso e rischi che questo clone potrebbe comunque essere diverso nei dettagli e diluire i risultati.Una variazione più lieve di questo potrebbe essere quella di tagliare solo i database di dati IP e cilent più preziosi / NAS ecc. o allegare dummy db ai tuoi sistemi di produzione.

La tua domanda riguarda molto di più il trattamento del rischio delle tue preoccupazioni, che dovrebbe essere coperto da trattamenti adeguati come definito nella Gestione dei rischi di terze parti:

  • eseguire un'analisi del rischio identificando il potenziale / valore del rischio effettivo; questo non dovrebbe coprire solo le fughe di dati, ma anche il danno alla reputazione collegato, le possibili interruzioni del servizio (potrebbero interrompere la produzione o la presenza / negozio sul web durante il test?) ecc.
  • identificare i possibili fornitori (Pentesters) e fare adeguata due diligence / ricerca. Le tue preoccupazioni riguardano principalmente la fiducia nei confronti della parte impegnata, quindi ciò di cui hai bisogno è creare / guadagnare fiducia ed essere sicuro che questa fiducia sia costruita sui fatti
  • Per favore usa solo un pentester dalla nostra stessa giurisprudenza! Se succede qualcosa, devi essere in grado di portarli in tribunale nel tuo luogo di giurisdizione concordato e che evapora se il tester non ha un'entità legale lì.
  • Definisci i confini (legali) dei test da eseguire
  • e, cosa più importante: definire le conseguenze legali nel tuo contratto (questo viene spesso dimenticato - le persone concordano solo cosa fare o non fare ma non inchiodano cosa succede, se questo viene violato) termini di clausole di responsabilità adeguate, diritti di cancellazione, pagamento variazioni e penali.

Come misura aggiuntiva per l'effettivo problema di una fuga di dati dopo il pentest per poter dimostrare un collegamento, potresti aggiungere alcuni dati honeypot ai tuoi dati reali solo per il tempo del pentesto. Quindi, se c'è una perdita e contiene i dati honeypot, hai una prova migliore che la fuga di dati proviene effettivamente dal pentest.

dmaynor
2020-05-20 19:36:22 UTC
view on stackexchange narkive permalink

Stai facendo la domanda sbagliata. I penetration tester testano la sicurezza simulando ciò che faranno gli aggressori. Se sei più preoccupato per i pentester che rubano i tuoi dati rispetto agli attori malintenzionati, ti consiglio di ripensare la tua architettura di sicurezza.

In un ambiente sicuro, dovrebbe esserci una "difesa in profondità" con più controlli di sicurezza per fornire ridondanza nel caso in cui uno fallisca. I controlli possono essere tecnologia (come firewall, IPS, EDR), criteri (non utilizzare i crediti della tua azienda su sistemi esterni) o formazione degli utenti (non fare clic su quel link di phishing). I controlli multipli dovrebbero essere progettati per catturare chiunque si comporti in modo dannoso. Lo scopo del pentesting è trovare le lacune in cui non ci sono più o alcun controllo. La scoperta di queste lacune consente quindi di rimediare sotto forma di implementazione di controlli aggiuntivi sotto forma di più tecnologia, o procedure, o formazione sulla consapevolezza degli utenti.

La pentestà non dovrebbe essere contraddittoria. Dovrebbe essere una buona collaborazione sia da parte dei pentester che del team di amministrazione / sicurezza.

Alcune false premesse qui."Se sei più preoccupato per i pentester che rubano i tuoi dati che per gli attori malintenzionati", nessuna prova lo suggerisce.C'è una differenza tra avere una serratura debole che qualcuno potrebbe rompere e invitare le persone a provare a rompere le serrature."Pentestare non dovrebbe essere contraddittorio."- OP non suggerisce di essere contraddittorio, ma di eseguire la normale due diligence.Non riconosci che * potrebbero esserci * pentesteri dannosi (quando in realtà, è una cosa) e presumi che non ci sia alcun rischio nell'assumere un pentester (quando c'è).


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...