Pentesting: il miglior bang per il tuo dollaro? (credenziali vs non credenziali)

2

Le mie attività quotidiane consistono principalmente in test di penetrazione (bianco / grigio / nero). Durante i miei impegni, cerco di educare i miei clienti sulle differenze dei tipi di test. Ad esempio, test credenziali da una prospettiva interna (utente di basso livello) rispetto a un test plug and play completo a "conoscenza zero". Per chiunque abbia esperienza nell'esecuzione dei test, impegnando un pentester, qual è stato il miglior valore in termini di sicurezza intelligence.

Io opina e cerco di influenzare i miei clienti per effettuare test credenziali di basso livello. Questi test spesso coprono la conoscenza zero, come posso dimostrare lo sfruttamento e i privilegi di escalation con , nonché senza privilegi. Questo tipo di test può riguardare la minaccia interna e un attore delle minacce che esegue un lato client (compromettendo) l'accesso di un dipendente.

Spesso, dal punto di vista dei risultati, gli aggressori sfruttano il frutto comune e basso, ma solo dopo hanno "client lato" un dipendente. Gli attacchi esterni "a conoscenza zero" sono stati notevolmente ridotti al minimo e molti clienti non amano i test delle applicazioni Web poiché ritengono che "abbatteranno" la casa e spesso non hanno alcuno scopo dato che molte organizzazioni hanno spostato la loro infrastruttura sul cloud.

Quale, dal punto di vista del design / sicurezza / rete / sistemi, ti sentiresti il miglior valore se fossi impegnato in questi tipi di test?

    
posta munkeyoto 18.05.2016 - 01:31
fonte

2 risposte

1

Dipende dai tuoi obiettivi. Se l'obiettivo è trovare il maggior numero di vulnerabilità e rischi possibili, la white box è l'approccio migliore. Se l'obiettivo è "Che cosa può fare un attaccante X per un periodo di tempo limitato alla mia applicazione", allora la scatola nera è l'approccio migliore.

Svolgiamo entrambe le attività presso i nostri clienti e la principale differenza quando vogliono ciò che generalmente dipende dal tipo di resilienza che stanno testando. L'approccio white box è ciò che comunemente faremo per testare le applicazioni in modo continuo e strutturato. L'obiettivo qui non è quello di trovare una singola vulnerabilità e quindi chiudere il negozio dopo aver impegnato i loro sistemi. È fornire la maggiore copertura possibile e scoprire quante più vulnerabilità possibile, passando da buone pratiche (intestazioni CSP e HSTS) a vulnerabilità appropriate come XSS.

Quest'ultimo ne usiamo di più durante gli impegni in cui il cliente vuole testare la loro risposta agli incidenti o la capacità di rilevamento. L'obiettivo è quello di entrare con qualsiasi mezzo necessario utilizzando qualsiasi informazione trovata in natura.

Alla fine si riduce anche il tipo di cliente che si sta trattando, ma è anche il tuo lavoro per informare i tuoi clienti sul motivo per cui hanno bisogno di questo tipo di test. Dico sempre loro che se è la prima volta, ci sono molte probabilità che scopriremo molte cose. È importante che siano loro e la loro gestione a capire che non è una cosa negativa e che è qualcosa che possono usare come un'opportunità per migliorare o richiedere più budget per attrarre più persone con competenze relative alla sicurezza. Il cliente decide ancora, puoi informarli su ciò che suggerisci di aver bisogno, ma se hanno preso una decisione, devi rispettarlo, dopotutto sono i loro soldi.

    
risposta data 18.05.2016 - 03:53
fonte
0

IMO non credenziali, l'abbiamo chiamato test della scatola nera. Mostra al cliente cosa potrebbe accadere se un utente malintenzionato ha interrotto la rete ed è stato in grado di "esplorare". Questo penso sia più prezioso in quanto molti sistemi daranno credenziali senza conoscenza. È un modo di provare senza "aiuto" dall'interno, come un vero aggressore dovrebbe affrontare.

    
risposta data 18.05.2016 - 01:52
fonte

Leggi altre domande sui tag