Pentesting contro il proprio servizio web ospitato su una piattaforma di terze parti

28

Voglio pestare siti web e servizi programmati dalla nostra azienda, il che va bene finché lo testiamo sulla nostra infrastruttura. Quali sono le implicazioni (legali) del pentesting dei nostri servizi una volta che sono stati implementati su altre piattaforme come AWS, Azure, ecc.? Dal momento che tecnicamente non possediamo il sistema di destinazione (ne abbiamo solo noleggiato una parte), dovrei ottenere l'autorizzazione dagli ospiti? Ovviamente la loro implementazione di un servizio in hosting influenza notevolmente la sicurezza, quindi vorrei confrontare le differenze con il nostro hosting intranet.

    
posta knipp 23.12.2016 - 13:07
fonte

3 risposte

43

In generale, hai ragione hai bisogno del permesso della società di hosting in cui stai eseguendo la scansione dei servizi distribuiti sulla loro infrastruttura. Ciò è parzialmente tale che i loro sistemi di rilevamento delle intrusioni sono consapevoli che si tratta di una scansione autorizzata.

Sia AWS che Azure hanno politiche che descrivono in dettaglio il processo e ciò che è accettabile da testare. Quello di AWS è qui e quello di Azure è qui . Se una società di hosting non ha una politica pubblicata, vale la pena contattarla per controllare.

Inoltre, può dipendere dal servizio esatto che stai utilizzando dal provider di hosting cloud. Ad esempio, per AWS, consentono di testare le offerte di stile IAAS come AWS EC2 in cui il cliente è responsabile del sistema operativo e non le offerte SAAS come AWS S3 in cui Amazon è responsabile del sistema operativo e del software associato. Tuttavia, Azure sembra avere una politica più ampia in cui puoi testare tutti i servizi che possiedi.

Anche i tipi di test possono essere limitati, ad esempio il test DoS potrebbe non essere consentito, poiché ovviamente ciò può avere un effetto sul provider cloud.

Per l'hosting "tradizionale" generalmente dipende dal tipo di servizio che hai. Se si utilizza l'hosting condiviso in cui si ha accesso al webroot, è possibile che il testing venga limitato in quanto, ovviamente, si rischia di colpire altri utenti sullo stesso server, tuttavia in cui si dispone di un'immagine completa del sistema operativo (ad esempio Digital Ocean Droplets ) si tende ad essere ok fintanto che li hai notificati (nel caso di Ocean digitale, tramite un ticket di supporto).

C'è anche un elenco più lungo di dove andare per diverse aziende qui

    
risposta data 23.12.2016 - 13:31
fonte
7

Dovresti anche verificare con il tuo ISP. A seconda delle normative governative e delle loro politiche operative, potrebbero essere richieste per bloccare le tue azioni di pentimento se rilevate o annullare completamente il servizio. Potrebbe persino essere richiesto di segnalarti alle forze dell'ordine.

    
risposta data 23.12.2016 - 21:47
fonte
2

Oltre alla considerazione dell'ISP come per la risposta di "Mike Lane", ricorda che anche tu stai andando a ripensare su reti che sono proprietà di entità diverse che appartengono allo stato in generale; quindi non ti viene automaticamente concesso il permesso per questo tipo di attività.

Se puoi affittare un'altra condivisione o VPS all'interno della stessa infrastruttura dei tuoi servizi, da lì sei sicuro di pentest sotto le politiche di una singola entità.

    
risposta data 23.12.2016 - 22:43
fonte

Leggi altre domande sui tag