Stiamo pianificando un test di penetrazione per la nostra rete e applicazione.
Cosa dovrebbe essere condiviso con il tester di penetrazione? Ad esempio, dovremmo condividere la topologia della nostra rete? Dovremmo fornire descrizioni dei nostri server? I tester dovranno avere accesso remoto a uno dei nostri server? Avranno bisogno di visitare le nostre sedi
C'è qualche tipo di standard per questo, o ci sono diversi tipi di test di penetrazione?
Suppongo che tu abbia fatto questa domanda due volte che non sei in grado di fornire i dettagli aggiuntivi, ma un commento troppo breve per spiegare il problema con la tua domanda, quindi ecco alcune ulteriori informazioni fino a questo si chiude:)
La tua domanda è essenzialmente senza risposta. La ragione di questo è che esiste una vasta gamma di tecniche di sicurezza che vengono messe in evidenza sotto il termine "test di penetrazione" e la risposta migliore dipende da quale di quelle che stai cercando.
Quello che stai cercando dipenderà da quali sono i tuoi obiettivi. Ora assumerò che ponendo questa domanda la tua organizzazione non ha avuto molti "pen-test" prima e basare questo consiglio su questa premessa (ma vedi qui dove hai fornito alcuni dettagli nella domanda Non avrei dovuto fare quella che potrebbe essere un'assunzione errata che potrebbe rendere irrilevante questa risposta)
Ci sono essenzialmente due approcci ai test di sicurezza (non mi piace il termine test della penna), scatola bianca e scatola nera. In un test white-box fornite al tester le credenziali e la conoscenza del vostro ambiente. Ciò consente di estrarre i più alti livelli di informazioni in modo sicuro e non intrusivo e fornirà molte più informazioni (se fatte correttamente) rispetto a un test della scatola nera. Secondo me, se è il tuo primo test, questo è probabilmente l'approccio migliore. Un test white-box è buono per rispondere alla domanda "quali sono i problemi di sicurezza che abbiamo in questo ambiente"
Un test black box richiede un punto di vista più "contraddittorio", in cui al tester non vengono fornite credenziali / accesso e deve cercare di ottenerle. Questo è appropriato quando pensi di avere un buon livello di sicurezza e stai cercando un test per dimostrare di aver raggiunto quel livello di sicurezza. Questo è buono per rispondere alla domanda "abbiamo raggiunto il livello di sicurezza che pensiamo di avere"
Un'altra domanda pertinente è "qual è il mio obiettivo con questo test di sicurezza" realisticamente potresti chiedere al tester di trovare elementi per migliorare la tua sicurezza o potresti voler minimizzare i risultati (ad esempio dove questo test è basato sulla conformità e vuoi avere un "rapporto pulito" per l'organizzazione che ti ha mandato il test).
In quest'ultimo caso ti consiglio di scegliere la "scatola nera" e di limitare l'ambito il più possibile, poiché probabilmente limiterà ciò che il tester può trovare:)
Realisticamente, tuttavia, è improbabile che ti aiuti effettivamente a migliorare la tua sicurezza. Se vuoi migliorare la tua sicurezza, ti consiglio di fornire al tester quante più informazioni possibili e di lavorare con loro per indirizzare le aree che ti interessano in modo da ottenere il massimo beneficio dai test che stai facendo.
Questo potrebbe essere basato sull'opinione e fino all'ambito di lavoro concordato. Se non vuoi condividere le informazioni assicurati che entrambe le parti sappiano che prima che un contratto o un ambito siano definiti e firmati. Comunque qui ci sono alcuni scenari che vedo fare alla mia compagnia.
Questa è una valutazione completa con accesso a tutte le informazioni di cui avrei bisogno per fornire un rapporto più dettagliato e completo. Ad esempio, ho determinato un attacco di forza bruta non possibile, quindi chiedo l'accesso per testare anche gli interni.
Questo è il punto in cui non so nulla della rete, tranne quello che posso raccogliere attraverso i miei metodi, questo potrebbe e dovrebbe (per i miei contratti) includere tentativi di ingegneria sociale per raccogliere tutto ciò che potrei penetrare in un'azienda.
Potrebbe trattarsi di una combinazione dei due, ad esempio il cliente potrebbe voler completare un test completo sulla rete interna e sui controlli, ma desidera un test black box delle applicazioni web o viceversa.
Tutti i miei pentiti finora mi hanno permesso di rimanere semplicemente nei locali mentre conducevo il mio test, in questo modo posso stare tranquillo e non preoccuparmi di interrompere i servizi. Tuttavia, se il cliente desiderava che provassi ad entrare e non potessi accedere alla LAN (facilmente), potrei parcheggiare nel lotto di accesso wifi con un dispositivo che richiama casa e poi va nel mio ufficio per fare test.
SE stai chiedendo quali informazioni sarebbero utili per condividere, quindi sicuramente condividere l'indirizzo IP da testare, gli intervalli di indirizzi IP totali da testare, gli URL di proprietà, i gateway, qualsiasi VLAN o VPN di cui essere a conoscenza, e questi sono solo alcuni.
Leggi altre domande sui tag penetration-test