it-swarm.com.de

Was ist ein zufriedenstellendes Ergebnis der Bewertung der Penetrationstests?

Ich möchte Sie fragen, was ein zufriedenstellendes Ergebnis eines Pen-Test-Jobs sein sollte.

Mein Hauptanliegen ist, dass Pen-Tests schwierig sind und nicht immer dazu führen, dass entfernte Muscheln oder Wurzeln gewonnen werden. Es ist jedoch viel einfacher, potenzielle Schwachstellen aufzulisten.

Wenn es beispielsweise PHP Version 4 von 2007) gibt, kann ich es als potenziellen Vektor auflisten, kann es jedoch möglicherweise nicht ausnutzen. Ist eine erfolgreiche Ausnutzung eine Voraussetzung für einen Pen-Test-Job? Wäre ein Schwachstellen-Scan möglich? Gutes Ergebnis des Jobs auch, wenn eine erfolgreiche Ausbeutung enthalten ist (aber weniger als 1% aller möglichen Probleme ausmacht).

50
Aria

Als jemand, der mehr Pen-Tester unter Vertrag nimmt als ich als Pen-Tester, suche ich, dass Sie mehr getan haben als Nessus/ZAP/Burp - das kann ich selbst (obwohl ich davon ausgehe, dass Sie das so machen Gut). Ich gehe davon aus, dass Sie die Datenflüsse in der App/Website beobachten und nach losen Threads suchen, die darauf hinweisen, dass ein logischer Fehler vorliegt, der möglicherweise ausgenutzt werden kann. Ich gehe davon aus, dass Sie mir sagen können, was Sie von außen lernen können, dass Sie mir Dinge sagen können, die Anlass zur Sorge geben und mit einem Scan nicht gefunden werden konnten.

Ich suche nach Hinweisen, die Sie sich beispielsweise angesehen haben, um Bildschirme zum Zurücksetzen von Passwörtern anzuzeigen und zu prüfen, ob der Datenfluss ausgenutzt werden kann. Ich möchte sehen, dass Sie überlegt haben, ob privilegierte Informationen für nicht privilegierte Benutzer verfügbar sind (dh, die App verwendet nur CSS, um sie zu verbergen, oder so etwas Dummes).

Im Idealfall habe ich die einfachen Dinge erledigt, bevor ich Sie unter Vertrag genommen habe - ich habe den Scan durchgeführt, ich habe die Patches gemacht und ich habe alle niedrig hängenden Früchte gepflückt. Ich stelle einen Pen-Tester für die harten Sachen ein.

Wirklich, wenn Sie einen Exploit nicht schaffen, möchte ich sehen, dass Sie Ihre Fingernägel abgenutzt haben und an der Außenseite nach einem Riss gesucht haben.

75
crovers

Ist eine erfolgreiche Nutzung eine Voraussetzung für einen Pen-Test?

Nach einer strengen Definition von Penetrationstests müssen Sie das Zielsystem tatsächlich angreifen und Ihre erfolgreichen und fehlgeschlagenen Versuche protokollieren. Es reicht nicht aus, einfach zu schließen, dass ein Server sollte anfällig sein, da Ihre Fingerabdruck-Tools eine veraltete Softwareversion enthüllten. Sie nehmen explizit die Perspektive eines Angreifers ein und müssen zeigen, wie das System durchdrungen werden kann.

Das SANS Penetration Testing Paper macht die folgende Unterscheidung (obwohl die Definitionen variieren):

Pen-Testing vs. Vulnerability Assessment

[Es] gibt oft eine gewisse Verwechslung zwischen Penetrationstests und Schwachstellenbewertung. Die beiden Begriffe sind verwandt, aber Penetrationstests konzentrieren sich mehr darauf, so viel Zugriff wie möglich zu erhalten, während beim Testen von Sicherheitslücken der Schwerpunkt auf der Identifizierung von Bereichen liegt, die für einen Computerangriff anfällig sind. [...] Ein Schwachstellenprüfer stoppt kurz vor der Kompromittierung eines Systems, während ein Penetrationstester im Rahmen des Vertrags so weit wie möglich geht.

Das heißt, Ihr durchschnittlicher Kunde ist sich dieser Unterscheidung wahrscheinlich nicht bewusst und möchte möglicherweise nicht, dass Sie zu viel Zeit damit verbringen, "so weit wie möglich" zu gehen. Für sie ist es möglicherweise wichtiger, klare Anweisungen zu erhalten, was genau behoben werden muss, als eine Liste aller Ihrer Wurzelschalen zu erhalten. Sie müssen im Voraus herausfinden, was sie effektiv erreichen möchten, indem Sie das System testen lassen. Ihr Kunde sollte sich bewusst sein, dass ein Penetrationstest nicht einer umfassenden Sicherheitsbewertung gleichkommt.

28
Arminius

Dies ist eine gute Frage, da ich denke, dass viele Orte den Pen-Test falsch angehen. Dies ist noch schlimmer geworden, da die Führungsebene vieler Unternehmen der Ansicht ist, dass der Pen-Test eine Silberkugel ist. Wenn Sie einen Pen-Test haben und die Ergebnisse zeigen, dass kein System erfolgreich durchdrungen wurde, ist Ihre Sicherheit in Ordnung und wir können alle dieses Kästchen ankreuzen. Wenn der Pen-Test hingegen fehlschlägt, erledigt das Sicherheitsteam seine Arbeit nicht. Das ist einfach nicht der Fall.

Ein Pen-Test ist nur ein Tool, mit dem Sie die Wirksamkeit Ihrer Sicherheitskontrollen beurteilen können. Es sagt Ihnen nicht, dass alle Ihre Systeme sicher sind, und das Maß an Vertrauen, das Sie in diesen Pen-Test setzen können, hängt stark von den Fähigkeiten des Pen-Testers ab und davon, wie gut Sie den Test spezifiziert und geplant haben. Das absolut Schlimmste, was Sie tun können, ist, einfach eine Sicherheitsfirma anzurufen und zu sagen: "Hallo, ich möchte einen Pen-Test, wann können Sie das tun?". Bevor Sie einen Pen-Tester beauftragen, müssen Sie eine klare Vorstellung davon haben, was Sie vom Pen-Test erwarten, welche Prioritäten Sie setzen und welche Informationen Sie im Abschlussbericht wünschen. Sie möchten sich auch an mehr als einen Anbieter wenden. Was Sie suchen, ist jemand, der nachweisen kann, dass er über die richtigen Fähigkeiten verfügt, Ihre Anforderungen versteht und Ihnen ein Ergebnis liefert, das Sie bei der Verbesserung Ihrer Sicherheitslage unterstützen kann. Ein Pen-Test sollte nicht als "Test" im Sinne eines Bestehens oder eines Nichtbestehens angesehen werden. Im Wesentlichen müssen Sie vor dem Test ein klares Verständnis der Noten haben und nach Abschluss des Tests über ausreichende Details und Informationen verfügen, damit Sie sich darauf konzentrieren können, wie Sie im nächsten Test eine bessere Note erhalten.

Einer der schwierigsten Aspekte des Stifttests besteht darin, dass die Qualität des Stifttests stark von der Person abhängt, die den Stifttest durchführt. Ich habe Sicherheitsunternehmen in erster Linie gewechselt, weil ein Mitarbeiter des ersten Unternehmens den Arbeitgeber gewechselt hat und diese Person jemand war, von dem wir wussten, dass er einen guten Pen-Test für das Unternehmen durchführen kann (normalerweise, weil sie talentiert und gut in ihrer Arbeit waren und weil sie unser Geschäft verstanden haben). .

Das Einsetzen eines Pen-Testers ist an sich schon eine Fähigkeit. Sie werden es jedes Mal besser, wenn Sie es tun, vorausgesetzt, Sie nähern sich der Aufgabe mit klaren Zielen. Die Kenntnis Ihrer aktuellen Sicherheitslage ist nur ein Teil der Gleichung. Sie müssen eine klare Vorstellung davon haben, wie Ihr endgültiger Zielzustand lautet. Was Sie vom Pen-Test erwarten, ist mehr Klarheit in Bezug auf Ihre aktuelle Haltung und ausreichende Informationen, um Pläne für die Entwicklung der Organisation in den gewünschten Zustand zu entwickeln.

Ein guter Pen-Test liefert Ihnen Details darüber, was getan wurde, was erfolgreich war und was fehlgeschlagen ist. Es sollte sich nicht nur um eine Liste möglicher Schwachstellen oder Systeme handeln, die nicht auf dem neuesten Patch-Level sind, oder um Beispiele für "schlechte Praktiken". All dies kann mit einfachen Schwachstellenbewertungen erreicht werden. Es sollte ausführliche Informationen darüber enthalten, wie die Umgebung durchdrungen wurde, und Vorschläge, welche Kontrollen implementiert werden könnten, um die Wahrscheinlichkeit von Wiederholungsereignissen oder die Auswirkungen dieser Ereignisse zu verhindern oder zu verringern. Der Pen-Testbericht sollte ausreichende Details enthalten, anhand derer Sie beurteilen können, ob ein fehlgeschlagener Zugriff darauf zurückzuführen ist, dass die Kontrollen angemessen sind oder nicht genügend Zeit zugewiesen wurde oder der Umfang zu begrenzt war usw. In vielerlei Hinsicht ist das, wonach Sie suchen ist eine Partnerschaft mit dem Pen-Tester, in dem er mit Ihnen zusammenarbeitet, um Ihre Sicherheit zu verbessern.

1
Tim X

Ich denke, es hängt davon ab, was Sie zu finden haben und welchen Arbeitsumfang Sie haben. Einige Pen-Tests, die ich durchgeführt habe, wollten nur die theoretischen Ergebnisse sehen, andere wollten, dass ich tatsächlich einbreche und Chaos anrichte. Pen-Tests sind nur für diejenigen schwierig, die es nicht wirklich genießen. Werden Sie kreativ, haben Sie Spaß ... aber bleiben Sie im Rahmen. ;)

1
cyb3ard

Lassen Sie es mich so sagen: Wenn der Entwickler der zu testenden Anwendung selbst kein Sicherheitsexperte ist, erwarte ich absolut, dass Sie mindestens einige Exploit finden. Ich wäre sehr unglücklich, wenn Sie überhaupt nichts gefunden hätten, denn meiner Erfahrung nach verfügt Ihr durchschnittlicher Entwickler nicht über ein ausreichendes Verständnis für Sicherheitsprobleme, um alle möglichen Lücken im Get- vermeiden zu können. gehen.

Beachten Sie, dass ich die Einschränkung "Sicherheit durch Dunkelheit" für Ihren Test aufheben würde. Das heißt, Sie erhalten Zugriff auf die Maschine (Shell usw.) oder sogar auf den Quellcode, um sich über die Anwendung zu informieren. Ihre Penetration muss natürlich ohne das funktionieren, genau wie die eines echten Angreifers.

1
AnoE

Es ist wirklich schwierig, die Qualität des durchgeführten Pentests zu definieren, und alles kann ein zufriedenstellendes Ergebnis sein. Es kommt wirklich auf das System an. Wenn der Pentest auf einem relativ einfachen System oder einer relativ einfachen Website durchgeführt wird, ist es sehr wahrscheinlich, dass keine Ergebnisse mit hohem Risiko vorliegen.

Selbst wenn sie sehr kompetent sind, haben sie möglicherweise nicht genügend Zeit, um das System zu nutzen und einen Proof-of-Concept vorzulegen. Sie müssen dem Pentest Priorität einräumen, um alle im Vertrag enthaltenen Bereiche abzudecken.

Nehmen wir an, Pentester entdeckt eine SQL-Injection oder anfällige Software (basierend auf der Versionsnummer). Es ist auf jeden Fall gut zu versuchen, die Sicherheitsanfälligkeit eines Clients auszunutzen und anzuzeigen, aber es kann sehr schwierig sein, sie auszunutzen, und es ist oft nicht sinnvoll, einen Großteil der geplanten Pentest-Zeit damit zu verbringen, einen Proof-of-Concept für eine einzelne Sicherheitsanfälligkeit zu erstellen .

Pentester, das zeigt, dass eine bestimmte Softwareversion basierend auf CVEs anfällig ist, oder Pentester, der eine SQL-Fehlerausgabe basierend auf Benutzereingaben anzeigt, sollte Grund genug für einen Client sein, seine Systeme zu patchen und zu reparieren.

1
ChildinTime

Ein zufriedenstellendes Ergebnis eines Pen-Tests ist, wenn der Kunde und/oder die Zielgruppe des Berichts die Nachrichten verstehen und auf der Grundlage der Entscheidungswissenschaft geeignete Maßnahmen ergreifen. Weitere Informationen zur Entscheidungswissenschaft in Bezug auf einen positiven Penetrationstest finden Sie unter So messen Sie alles im Cybersicherheitsrisiko.

0
atdre