Relazione tra test di penetrazione e risultati falsi positivi

Naviga le tue risposte
1

Ho letto diversi articoli di ricerca che hanno discusso la tendenza degli scanner di automazione esistenti a produrre risultati falsi positivi. Ho anche letto alcuni articoli che mostrano che il test di penetrazione manuale potrebbe essere la soluzione a risultati falsi positivi identificando manualmente ogni exploit investigato.

Quindi, ecco la mia domanda. I risultati falsi positivi prodotti dallo scanner di automazione sono un problema nei test di penetrazione? Se la risposta è "sì", da quale punto di vista influenzerà il lavoro del tester di penetrazione nel condurre il test?

    
posta user25494 02.05.2013 - 13:44
fonte

2 risposte

3

Fai molte domande diverse.

Direi che, nel complesso, uno strumento automatizzato che produce risultati accurati al 100% è impossibile. Altrimenti tutti i tester di penetrazione nel mondo sarebbero senza lavoro.

Per fare un esempio, RedHat ripristina le patch di sicurezza per le versioni precedenti del software con il loro supporto a lungo termine. Uno strumento automatico potrebbe rilevare che il server sta eseguendo una particolare versione del kernel che ha un exploit di escalation di privilegi e lo segnala come tale. Tuttavia, a causa delle patch di sicurezza di RedHat, quella particolare vulnerabilità di escalation dei privilegi è fissa e non più sfruttabile. Tuttavia, un tester di penetrazione utilizzerebbe il rapporto di questo strumento automatizzato come punto di partenza nel processo di sfruttamento e scoprirà che la vulnerabilità è effettivamente corretta. Questo tende a rimuovere molti falsi positivi generati dagli strumenti automatici.

Certo, eliminare i falsi positivi consuma una discreta quantità di tempo in un test di penetrazione. Tuttavia, non lo considererei un aspetto negativo. È solo una parte dell'intero processo di test di penetrazione. Probabilmente non causerà alcun ritardo nel processo di test di penetrazione o influenzerà la sua qualità in quanto un buon penetrometro dovrebbe aver già preso in considerazione questi fattori all'inizio del test.

Un buon penetrometro utilizza gli strumenti a sua disposizione per rendere più efficiente il suo lavoro. Gli strumenti automatici non sostituiscono le competenze, le conoscenze e l'esperienza adeguate.

    
risposta data 02.05.2013 - 13:53
fonte
1

Gli scanner sono forse più limitati nelle aree che possono coprire dei falsi positivi che producono.

Un falso positivo durante i test può essere fastidioso e dispendioso in termini di tempo, ma in larga misura un tester esperto può compensare facilmente man mano che acquisisci familiarità con i probabili falsi positivi (ad esempio l'esempio che @Terry fornisce delle correzioni di sicurezza backported) rende meno un problema.

In termini di scanner automatici, gli autori devono stabilire un equilibrio tra falsi positivi e falsi negativi. Quando uno scanner vede qualcosa che "potrebbe" essere un problema ma che non può essere definitivamente confermato, può segnalarlo (maggiore tasso di falsi positivi), ignorarlo (maggiore tasso di falsi negativi) o fare quello che penso che molti scanner facciano (in particolare gli scanner di app Web) e assegnare un livello di sicurezza al risultato.

Questo si inserisce di nuovo nel processo manuale in quanto un tester può ottenere risultati ad alta confidenza poiché non richiede molto follow-up e si concentra sui risultati che possono essere di alto impatto ma di cui lo scanner non è sicuro (il miglior uso degli sforzi manuali).

    
risposta data 02.05.2013 - 16:54
fonte

Leggi altre domande sui tag

Ottenere un'iniezione SQL dopo una determinata regex [duplicato] La connessione tra server Gmail e server Apple è crittografata? [duplicare]