Quanto è pericoloso utilizzare gli strumenti di controllo della sicurezza di terze parti?

Il fatto è che a volte gli strumenti automatici sono necessari per eseguire un audit. Se non vuoi eseguire questi strumenti automatici (spesso script che estraggono alcune informazioni di base sul software e il sistema operativo sottostante), dovrai consegnare tutto manualmente e il tuo auditor sarà in piedi proprio accanto a te. Poiché ciò aumenterà il tempo speso per l'auditor, è possibile aspettarsi un aumento del prezzo rispetto a un audit standard. Quindi, se sei disposto a pagare 2-3 volte il prezzo normale, probabilmente non ci saranno problemi.

Tuttavia, quando parliamo di un controllo di sicurezza dal punto di vista della blackbox (questo è più di un pentimento che di un controllo) ci si può aspettare che utilizzi alcuni strumenti automatici di base, ad esempio nmap, per cercare di ottenere un comprensione della rete. Se la persona deve scrivere il proprio script, in linea di principio si può considerare che anche questo sia uno strumento automatizzato. Questo significherebbe che il pentestore dovrà controllare tutto manualmente, a circa 8 secondi per eseguire e valutare un ping, è possibile indovinare quanto tempo occorrerebbe solo per vedere quali host sono online in una sottorete di base / 24.

Ci sono anche altri motivi per cui gli auditor utilizzano strumenti automatici, lo strumento non dimentica di controllare nulla, un auditor, d'altra parte, potrebbe trascurare alcuni dettagli e dimenticare di controllare un determinato parametro.

Quindi puoi vietare loro di eseguire strumenti automatici (sto parlando di uno script di base in esecuzione sul tuo sistema) o di utilizzare Backtrack con nmap sulla tua rete, ma è probabile che finirai per pagare molto di più e coprire molto Di meno. La maggior parte degli strumenti come BackTrack sono stati testati e utilizzati da molti professionisti (vedere la domanda su Backtrack). Quindi questi strumenti sono abbastanza sicuri da eseguire.

Ciò che dovresti assicurarti di inserire nel contratto è che l'audit di sicurezza non può interferire o causare tempi di attesa sui tuoi sistemi di produzione. (ci sono alcune eccezioni, ma sono in una situazione in cui non c'è altro modo)

Sul tuo exploit

Questo exploit richiede che qualcuno sia registrato localmente sul sistema, quindi avrà bisogno di accedere a un account validamente definito sul sistema. Dal momento che la maggior parte delle persone usa il backtrack da un cd di vita piuttosto che usare un'installazione, è probabile che questo abbia un impatto sulla tua rete. Inoltre, è probabile che questo exploit sia presente su sistemi simili al backtrack, come Debian o Ubuntu. Questi tipi di exploit sono presenti nella maggior parte dei software, probabilmente anche nel software che utilizzi per gestire la tua attività.

I test di sicurezza implicano rischi.

La maggior parte degli strumenti di sicurezza ha avvertenze e dichiarazioni di non responsabilità perché comportano rischi per i sistemi che prendono di mira. Uno specialista della sicurezza capirebbe come l'uso di uno strumento particolare o di un test intrusivo può avere un impatto negativo sui sistemi target, ma i risultati indesiderati e gli incidenti possono verificarsi. Ad esempio, una classica iniezione di ‘OR ‘1’=’1 SQL in una query DELETE potrebbe facilmente cancellare tutti i contenuti della tabella.

Un altro esempio è lo scanner NMAP contenente script di controllo contrassegnati safe o intrusive . Alcuni script sono intrusivi perché utilizzano risorse significative sul sistema remoto, rischiano di danneggiare il sistema o il servizio o sono probabilmente percepiti come un attacco da parte degli amministratori remoti.

L'auditing è un'attività piuttosto passiva focalizzata sull'osservazione piuttosto che sull'interazione con l'obiettivo. Backtrack e altre toolbox si concentrano maggiormente sull'interazione attiva tipica dei test di penetrazione.