Perché i test di penetrazione sono importanti

L'informatica è solo una scienza. Sarebbe molto scientifico solo ipotizzare che tu sia sicuro senza metterlo alla prova.

È possibile eseguire l'analisi del codice sorgente e altre metodologie di test whitebox per trovare tutti i tipi di vulnerabilità interessanti e ad alto impatto ... ma se nessuno potrebbe effettivamente sfruttare questi problemi ? Non si può essere violati con una vulnerabilità non sfruttabile, ma i sistemi vengono suddivisi su base regolare. (Un membro interno potrebbe sfruttare un problema come questo, ma questa è una domanda diversa.)

I test di penetrazione per me riguardano l'uso del metodo scientifico per cercare di rispondere alla semplice domanda, "In a scenario del mondo reale, cosa potrebbe fare un hacker per danneggiare il mio sistema o la mia azienda? " Per rispondere a questa domanda si ottiene un hacker o un gruppo di hacker esperti e debilitarli di proposito non fornendo codice sorgente o accesso al team di sviluppo. Un test di penetrazione ideale è uno scenario di test rigorosamente blackbox. Basta fornire un nome aziendale, un intervallo di indirizzi IP o anche un indirizzo fisico. Queste sono tutte le informazioni di cui un utente malintenzionato dovrebbe avere bisogno. (Il CISSP ha una sezione di sicurezza fisica per un motivo.)

Alla fine del test di penetrazione dovresti ricevere un rapporto con i risultati. Un buon test di penetrazione avrà sempre risultati. Non esiste un sistema perfetto, tutti possono adottare misure per migliorare la sicurezza. Dai risultati del test di penetrazione puoi identificare i punti deboli del tuo sistema e può aiutarti a decidere come spendere le tue risorse per migliorare la sicurezza del tuo sistema nel suo complesso .

Un vantaggio importante ottenuto attraverso i test di squadra rossa è che offre al personale di sicurezza una reale esperienza nel gestire un'intrusione reale. La società potrebbe infatti avere tutte le politiche importanti in atto, ma fino a quando non avranno effettivamente a che fare con un aggressore all'interno della loro rete, potrebbero non essere certi su come procedere. Proprio come una esercitazione antincendio, un test di penetrazione consente loro di sviluppare una strategia di lavoro su come procedere in un ambiente altrimenti insolito.

Ad esempio, mentre viene prestata molta attenzione al tema della prevenzione e del rilevamento di un attacco esterno, molto poco è spesso vietato come rimuovere un attaccante dalla rete. Senza doversi occupare di questo tipo di eventi, il personale di sicurezza può essere lasciato a indovinare il modo migliore per sfrattare l'attaccante e allo stesso tempo proteggere l'integrità e il funzionamento della propria infrastruttura critica. Un attaccante del mondo reale potrebbe sfruttare questa inesperienza per mantenere il suo accesso anche dopo che la pulizia è stata presumibilmente completata.

Mentre sono in auditing, ho riscontrato molti degli stessi problemi dei pen-testing, i suoi risultati sono meno definitivi. Mentre un pen-tester (hacker) non è abbastanza esperto per accedere al tuo sistema, se lo sono sarà ovvio.

Direi che la differenza più importante, tuttavia, è la mentalità. I team di sicurezza e gli auditor tendono ad esaminare le cose dal punto di vista del fare - vogliono che le cose funzionino. In altre parole, sono più inclini a creare grandi apparati non necessari; più grande è la struttura più vulnerabilità può contenere.

I pen-tester prendono l'approccio opposto. Non hanno alcun interesse a creare un sistema, solo a romperlo. Si sono allenati per essere allerta per qualsiasi mezzo di accesso - tra cui social engineering .

Tutto questo combinato dà ai pen-tester un posto preciso nella sicurezza.

Come ultimo punto: l'hacking riguarda la creatività - out-thinking il team di sicurezza e i pen-tester hanno maggiori probabilità di essere creativi quindi auditor.

Spero che questo presenti chiaramente la mia argomentazione.

Un altro aspetto importante che non è stato toccato è costo . Quindi, considerando il fatto che un'azienda non ha un gruppo di sicurezza del software in-house, l'unico modo in cui la società può controllare la propria statura di sicurezza è attraverso Pen-Test, assumendo consulenti specifici per il lavoro. Ora, il test della penna produrrà risultati se eseguito correttamente. AFAIK, il test delle penne è la forma più economica per valutare la tua posizione di sicurezza. Esistono diverse app per l'analisi del codice statico, vero, ma le licenze per queste applicazioni sono molto costose e occorrerebbe anche una persona in grado di identificare i falsi positivi.