Учебник по пентесту: вас «взламывают», так что читайте мелкий шрифт

Опубликовано: 2 Апреля, 2023
Учебник по пентесту: вас «взламывают», так что читайте мелкий шрифт

Тестирование на проникновение, или «пентестирование», стало популярным методом проверки инфраструктуры безопасности компании. Это связано с тем, что когда вы нанимаете компанию для проведения пентестов, чтобы попытаться «сломать блокировку» в вашей сети, и попытка терпит неудачу, вы можете с некоторой уверенностью сказать, что ваши данные и ИТ-активы в безопасности и защищены от этих злонамеренных хакеров в Интернете..

Но несмотря на то, что безопасность вашей сети должна быть проверена внешней компанией, предлагающей услуги пентеста, есть и некоторые опасности. Как природа не терпит пустоты, так и коммерческий мир не терпит рыночных возможностей, которыми не пользуются в достаточной мере. В результате в наши дни существует множество так называемых пентестинговых компаний, и почти каждую неделю их рождается все больше и больше. И, как и любой новый появляющийся рынок, этот тоже, скорее всего, состоит из сочетания добросовестных продавцов и обычных бродяг, жужжащих вокруг денежных трупов капитализма.

Знать, что в договоре

Но давайте забудем все метафоры и сосредоточимся на том, что действительно имеет значение в любых отношениях между поставщиком и покупателем: на договоре, устанавливающем юридические отношения между двумя сторонами.

Не так давно к коллеге, занимающемуся ИТ-подразделением небольшого провайдера интернет-услуг (ISP) в США, обратилась компания, которая предложила провести пентестирование. Мы назовем анонимную пентестинговую компанию «X», а компанию моего коллеги — «Y», за неимением лучшего. В любом случае, X сказал Y, что они могут делать всевозможные полезные вещи, такие как сканирование обнаружения, сканирование уязвимостей, фальшивые DDoS-атаки с использованием смоделированных ботнетов, фальшивые фишинговые атаки с использованием тщательно созданных электронных писем и так далее. Они могли бы проверить целостность сети периметра Y, и, если бы им были предоставлены разрешения на ограниченный доступ, они могли бы выполнить внутреннюю проверку, чтобы увидеть, могут ли сотрудники саботировать или скомпрометировать внутренние системы. Они могут попытаться скомпрометировать базы данных SQL, бизнес-приложения и даже сетевые аппаратные устройства, такие как маршрутизаторы и точки доступа Wi-Fi. Они заявили, что будут предельно осторожны во всех своих операциях по пентестированию, чтобы гарантировать, что их действия не приведут к потере или повреждению данных, повреждению аппаратного и программного обеспечения или прерыванию их бизнес-операций. Они также пообещали хранить любые конфиденциальные данные, к которым был получен доступ в результате их усилий по пентестированию, в высшей степени конфиденциально. Другими словами, X фактически сказал Y не волноваться.

Что вы делаете в такой ситуации? Ну, очевидно, вы проверяете их рекомендации, чтобы увидеть, действительно ли они те, за кого себя выдают, и как выглядит их послужной список в индустрии безопасности. И вы, очевидно, принимаете их предложение только в том случае, если чувствуете, что ваша компания или организация действительно нуждаются в таких попытках пентестинга и могут себе это позволить.

Затем вы внимательно изучаете контракт, который они предлагают, вместе с кем-то из юридического отдела вашей компании. И в этом случае именно то, что Y обнаружил, что X *не* включил в свой контракт, беспокоило Y по поводу того, должны ли они принять предложение X провести их пентестирование.

Предотвращение непредвиденных последствий

Во-первых, поскольку X является интернет-провайдером, они были очень обеспокоены тем, что любые попытки пентестирования их операций извне с использованием фишинговых писем и других видов сетевого трафика могут привести к тому, что X будет помещен в некоторые черные списки для защиты от спама или проблем с маршрутизацией через черные дыры. Чтобы избежать подобных вещей, X настаивал на том, чтобы в контракте с Y четко указывалось, какие виды сетевого трафика будут использоваться в их усилиях по тестированию на проникновение, откуда будет исходить трафик, на какие конкретные сетевые адреса такой трафик будет отправляться. сети Y и какое временное окно было для операций пентестинга (когда они начинаются и когда заканчиваются). Y также настаивал на том, чтобы X четко разъяснил, какие немедленные действия они предпримут, если их пентестирование непреднамеренно приведет к тому, что сеть или домен Y будут занесены в черный список, и как будут обрабатываться любые связанные с этим уведомления о злоупотреблениях.

Y также настоял на том, чтобы X впоследствии предоставил им документацию, содержащую подробную информацию обо всем трафике, сгенерированном и использованном для действий X по тестированию на проникновение в сеть Y. Причина запроса заключается в том, чтобы Y мог отследить любые неожиданные или нежелательные эффекты в их сети, чтобы увидеть, вызвало ли пентестирование X эти эффекты.

Тестирование на проникновение — потенциально разрушительный процесс

Изображение 9947
Шаттерсток

Y также попросил список IP-адресов, которые X собирался использовать для запуска своих усилий по пентестированию. Это было запрошено, чтобы Y могла выяснить, не сталкивались ли ранее какие-либо другие компании или организации с сетевыми проблемами, связанными с этими адресами. На самом деле это довольно умно со стороны Y, потому что пентестинг по своей сути является потенциально разрушительным процессом, даже если он проводится с максимальной осторожностью. Мой коллега, который довольно хорошо разбирается в этой области безопасности, сказал мне, что в прошлом были отчеты о поставщиках пентестов, которым пришлось изменить пространство IP-адресов, которое они используют для запуска пентестинга, из-за того, что адреса поставщиков были занесены в черный список. большие участки Интернета. Таким образом, количество раз, когда поставщик пентестинга делал что-то подобное в прошлом, может быть хорошим индикатором того, насколько он неопытен в области пентестинга. С другой стороны, законный поставщик услуг пентестинга, имеющий хороший послужной список, может по-прежнему использовать тот же диапазон IP-адресов, который был выделен ему при открытии своей компании.

Тестирование на проникновение, или «этичный взлом», как его любят называть многие поставщики в наши дни, по-прежнему является взломом, если только вы не дали на это свое согласие в контракте. Хотя могут быть некоторые опасности, связанные с позволением другой компании постучать в вашу входную дверь и попытаться взломать ваш замок, для большинства предприятий и организаций все же, вероятно, будет хорошей идеей время от времени нанимать услуги авторитетного поставщика пентестинга. Наиболее очевидная причина для этого заключается в том, что технологии продолжают становиться все более и более сложными, а это означает, что большинство ИТ-отделов и системных администраторов не в состоянии знать все возможные уязвимости или векторы угроз, с которыми могут столкнуться их сетевые активы и данные. Как и в большинстве ситуаций, когда вы хотите быть в чем-то более уверенным, вы вызываете эксперта.

Только не забудьте также позвонить своему адвокату.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023