Quando eseguo test di penetrazione per lavoro, spesso devo disattivare Symantec Endpoint Protection per utilizzare determinati payload con Burp Suite e di recente ho dovuto farlo per qualcosa di semplice come WPScan (in una VM Kali).
Ecco l'errore che si presenta:
Sonoconsapevolediessereingradodidisabilitarespecificirischiperlasicurezzaall'internodiSymantec,maquestoèonestamenteundoloretotale.Devoaspettarecirca10minutipercaricarelalistaprimadidisabilitareunostrumentospecificoequindidevodisabilitarespecificitipidipayload/payload(es.:SQLinjection=tipodipayloadvs.Shellshock=payload)perpotereseguiretestmantenendol'antivirussu
Comeprofessionistadellasicurezza,leparole"spegni il tuo antivirus" mi lasciano l'amaro in bocca, ma devo essere in grado di svolgere il mio lavoro. Devo immaginare che altre organizzazioni abbiano politiche pratiche e sensate su come consentire ai tester di penetrazione di utilizzare gli strumenti di sicurezza senza disattivare l'intero sistema di difesa sul computer host del Pentestore. Sebbene la nostra politica dichiari che non dovresti semplicemente disattivare il tuo antivirus, vedo che altri pentesters lo fanno sempre, così possono inserire ' or 1=1-- in una richiesta HTTP.
So che non sono l'unico pentito a imbattersi in questo problema. Che cosa fa la tua organizzazione per consentire ai test di penetrazione di svolgere efficacemente le loro funzioni lavorative senza compromettere le proprie misure di sicurezza difensive?
Voglio ascoltare le tue risposte non solo a mio vantaggio, ma così posso capire in che modo i penetration tester possono operare efficacemente all'interno di una grande organizzazione. Grazie in anticipo!