Если вам срочно необходимо провести пентест,
При этом не хочется получить удар по затылку,
Затем быстро посмотрите, что для вас приготовлено
Список потрясающих советов – он вас обязательно спасет. 
Этот пост написан в юмористической форме, чтобы продемонстрировать, что даже пентестеры , чья работа должна быть интересной и увлекательной, может пострадать от излишней бюрократии и нелояльности клиентов.
Представим ситуацию: вы специалист по информационной безопасности и знаете, что построенная вами защита — полная ерунда.
Возможно, вы этого не знаете, но проверять особо не хотите, потому что кому хочется выходить из зоны комфорта и делать что-то дополнительное, реализовывать защитные меры, снижать риски, отчитываться перед бюджетом? Вдруг в вашем тридцатом царстве, в вашем тридцатом штате, возникает необходимость провести пентест против вашей воли, например, начальству что-то придумалось или появилось новое законодательное требование.
Вам очевидно, что следует найти «шарашкину контору», которая сделает имитацию работы и напишет, что все хорошо и на этом все, но ситуация усложняется.
Ваша компания решает провести конкурс и сделать это максимально эффективно: написать разумное техническое задание, предъявить высокие требования к команде пентестеров (сертификаты, участие в Bug bounty) и т. д. В общем, все было сделано за вас, и ваша обязанность – только контролировать работу.
Итак, команда была найдена, договор подписан, но уговорить специалистов провести пентест невнимательно не удалось.
Ребята умные, в понедельник начнут работу и разнесут вашу информационную безопасность к черту, после чего с вас снимут шапку и разоблачат вашу некомпетентность.
Ситуация кажется вам максимально плачевной, но это не так! Вот несколько плохих советов, как устранить или хотя бы минимизировать эту головную боль.
Совет 1: Координируйте каждый шаг
Договоритесь обо всем: какие инструменты могут использовать пентестеры, какие атаки они будут проводить, какие риски это будет представлять для вашей системы информационной безопасности.Еще лучше запросить подробный (почти почасовой) план тестирования на каждый день.
Будьте уверены: пентестеры вас возненавидят. Они думают, что у них творческая работа, а вы им указываете, что от них ничего не требуется, кроме тривиальной работы.
И помните: ваше оружие – время, максимально затягивайте координацию на каждом шагу.
Аргумент в том, что у вас крупная компания, и вам нужно получить массу согласований: от владельцев систем, от ИТ, от силовиков и т. д. Даже если их нет, то можно что-то приукрасить.
Было ли это на самом деле?
Да, крупный и зрелый бизнес и особенно эффективные менеджеры, сами того не желая, настолько часто перебарщивают с одобрениями, что это демотивирует весь коллектив.У людей нет «драйва» к работе, желания творить и что-то по-настоящему хакать.
Особенно странно, когда об этапе «повышения привилегий» на конкретном сервере договариваются только во вторник с 15:00 до 18:00 (это так легко и естественно).
Совет 2. Добавьте больше ограничений
Добавьте ограничения на проводимую работу: на количество одновременных сканирований, на разрешенные IP-адреса, на работу и допустимые атаки.Запретите сканирование случайных IP-адресов из подсетей, ссылаясь на риск нарушения важных бизнес-процессов.
Или, наоборот, разрешить сканирование только некоторых адресов и указать, что результаты сканирования одного из сервисов можно экстраполировать на все остальные в подсети.
Было ли это на самом деле?
Очень часто во время внутреннего пентестинга вместо того, чтобы разрешить пентестерам пройти все локальные подсети (192.168/16, 172.16/12, 10/8), клиенты просят исключить тот хост, ту подсеть и этот сегмент: «Вот нужно протестировать только один из 500 хостов как типичный, и эти хосты только с 17:00 до 9:00 — не более 300 TCP-сессий в секунду на один хост».То, что работа рассчитана на 5 дней, никого не смущает. Для исполнителя это выглядит ужасно: невозможно сделать нормальную автоматизацию, нужно постоянно следить, чтобы инструменты не выходили за дозволенные границы, и ко всему набору инструментов приходится добавлять кучу «костылей».
Когда вы где-то что-то сканируете и собираете список сервисов, оказывается, что львиная доля времени уже потрачена.
Также при разработке по сети вы видите: вот он — сервис, который якобы имеет привилегированную учетную запись.
Но его исключили из сканирования.
Совет 3. Чаще спрашивайте отчеты
О согласованиях мы уже говорили, а как насчет отчетности? Разрешить людям спокойно выполнять свою работу и предоставить отчет в конце? Нет! Запрашивайте отчеты каждую неделю, день, полдня.Ссылайтесь на негативный опыт предыдущих лет и желание контролировать процесс, за который вы заплатили.
Ух ты, как это поставит палки в колеса.
Было ли это на самом деле?
Это случается часто.Уже через 5 минут начинают подходить через плечо и спрашивать: «Ну что, уже взломалиЭ» В мессенджере каждый час проверяют статус работы, а к концу дня ждут практически финальный результат для руководства, красиво оформленный в ворд-документе.
В результате специалист фокусируется на том, как написать отчет, а не на качестве тестирования.
Совет 4: попросить записать дамп трафика и написать скрин
Дополнительно потребовать от пентестеров записать экран и записать дамп сетевого трафика.Оправдайте это, сказав, что вы боитесь утечки конфиденциальной информации или использования бэкдора.
Было ли это на самом деле?
Некоторые клиенты включают «параноидальный» режим и следят за каждым вашим шагом.По правде говоря, если это действительно необходимо, пентестер обязательно найдет способ обойти запись экрана или сгенерировать необходимый трафик, и от этих мер мало толку, но они действительно мешают работе.
Совет 5: Общайтесь через трех менеджеров
Общайтесь через 3+ менеджеров, тем самым играя в сломанный телефон и увеличивая сроки.Старайтесь не сообщать требования напрямую реальным исполнителям; общаться через посредников, особенно без опыта в прикладной части.
В результате у вас получится такой локомотив, что информация либо будет приходить измененной, либо будет идти очень долго.
Было ли это на самом деле?
В крупных проектах это скорее правило, чем исключение.Работу заказывает специалист по ИБ, курирует сотрудник службы безопасности, а менеджер общается с пентестером, иногда даже не напрямую, а через своего менеджера.
В результате, даже убрав все остальные факторы, любой запрос через полдня достигает цели и возвращает ответ на какой-то другой вопрос.
Совет 6: Ударьте по тщеславию
Помните, что главное – это люди.Поэтому, чтобы снизить качество работы, лучше всего ударить непосредственно по ним, а точнее, по их самолюбию.
Спросите, как они будут тестировать малоизвестную технологию, а затем скажите, что они ожидают большего.
Добавим, что пару лет назад предыдущие пентестеры взломали вашу компанию за 2 часа.
И не важно, что тогда система была другая и не было системы информационной безопасности, и ты работал в другом месте.
Главное — сам факт: раз пентестеры не взломали его за 2 часа, то и уважать их не за что.
Видите, что пентестеры потерпели неудачу — требуйте замены команды без увеличения сроков.
Было ли это на самом деле?
Мы действительно часто слышим истории о старых взломах, и это не имеет ничего общего с нынешней инфраструктурой и процессами информационной безопасности.Вопросы о том, насколько безопасна эта «безымянная» технология, также нередки; надо быстро разобраться и дать краткий ответ, чего не всегда достаточно.
Еще интересный случай: у нас в команде есть женщина-пентестер, и когда она приходит делать внутренний пентест, клиенты сначала относятся с недоверием, а потом приходят смотреть на нее, как на экспонат. Не каждый захочет работать в таких условиях.
Совет 7: Сократите количество удобств
Работаете в темном туалете, где нет связи по мобильному телефону? Работаете в шумном коворкинге? Сломанный и скрипучий стул? Сломанный кондиционер? Нужен ли сопровождающий, чтобы сходить в туалет и попить воды? Я думаю, вы уже поняли, что нужно сделать.
Было ли это на самом деле?
Да, и еще раз да.Безвыходных случаев было немного, но было предостаточно ситуаций, когда думаешь не о работе, а о том, как побыстрее выбраться отсюда в силу внешних условий.
Совет 8. Оставьте все проактивные защиты включенными
Перейдем к техническим шуткам.Несмотря на то, что PCI DSS и другие методологии рекомендуют отключать некоторые системы проактивной защиты информации для дальнейшего тестирования, вам нужно сделать обратное.
Пусть люди мучаются в поисках решения, как быстро протестировать корпоративную сеть, где их постоянно блокируют. Немедленно отключите порт на коммутаторе, к которому подключен пентестер.
А затем громко кричите, что пентест не удался, и выгоняйте ненавистных хакеров с объекта.
Было ли это на самом деле?
Мы уже привыкли проводить тестирование с включенными проактивными системами информационной безопасности (IPS, WAF).Плохо, что в этом случае львиная доля времени тратится на проверку системы информационной безопасности, а не на тестирование самой инфраструктуры.
Совет 9: поместите его в специальный влан
Обеспечьте нереалистичный доступ к сети, который не соответствует обычному пользовательскому доступу.Пусть в этой подсети не будет ничего и никого.
А правила фильтрации будут Deny\deny или близкие к этому.
Было ли это на самом деле?
Да, каким-то образом нам предоставили доступ в подсеть с одним принтером и в сетевой изоляции от других сетей.Вся работа сводилась к тестированию принтера.
Мы как технические специалисты, конечно, все отразили в отчете, но это ничего не изменило.
Была и обратная ситуация, когда мы взломали половину компании через принтер, но это совсем другая история.
Совет 10: Осуществляйте работу через VPN
Проведение внутреннего пентеста в реальном помещении, где пентестер может получить кучу дополнительной информации (настройки корпоративного телефона, принтера, подслушать живой разговор сотрудников, увидеть оборудование своими глазами) – это не ваш случай .Вам необходимо провести работу, которая как будто имитирует «внутреннего злоумышленника», и интерпретировать это «как будто» так, как вы считаете нужным.
Поэтому обеспечивайте доступ только через VPN и лучше пускать по не самому короткому маршруту.
Кроме того, сделайте только доступ L3, потому что сетевые атаки на уровне L2 не актуальны [сарказм].
Это можно обосновать экономией средств: зачем людям лишний раз приходить к вам, браться за работу и беспокоить сотрудников, если это и так нормально.
Было ли это на самом деле?
Да, это совершенно нормальная ситуация – провести пентест организации через суб-VPN L3. Все зависает, канал забивается, инструменты воспринимают задержки как недоступность сервисов, а о невозможности широковещательных атак и MITM и говорить нечего.И даже после обычных внутренних пентестов с поездками, пентест через VPN — это как бегать по песку на коньках.
Совет 11: Никакого серого поля
Никакие записи, никакая документация, никакая дополнительная информация не должны предоставляться пентестерам, даже если этого требует контракт. Хорошая штука, им это будет полезно, чтобы быстрее достичь результата.Обоснуйте, что настоящий хакер (образ, навязанный в СМИ) придет и сразу все взломает. К нам пристают - дайте документацию десятилетней давности.
Было ли это на самом деле?
Кажется, все «в курсе» понимают, что серьезный злоумышленник не будет сидеть и пытаться топорно взломать систему; он сначала проведет разведку, соберет имеющуюся информацию, пообщается с людьми.Если это внутренний злоумышленник, то он уже знает кто, что и где.
Сотрудник находится внутри процессов и обладает обширными знаниями.
Но все же 80% пентестов — это «черный ящик», куда нужно прийти за 5 минут, во всем разобраться и взломать самому, иначе ты не «настоящий хакер».
Совет 12: не допускайте обмена информацией между разными сферами (внутренними, внешними и социальными)
Регулируйте разрозненную работу, желательно разных специалистов и строго без переноса информации между участками.Обоснуйте это тем, что вам необходимо точно определить риски по каждому направлению.
Если для взлома внешнего периметра была использована «инсайдерская» информация (полученная изнутри), то ни при каких обстоятельствах не засчитывайте такую работу, говорите, что она вам не интересна и не соответствует заявленной работе.
Если информация, полученная после «социальной инженерии», оказалась полезной для внутреннего пентестинга, тоже скажите, что это не в счет.
Было ли это на самом деле?
На самом деле это классический подход к пентесту: результаты каждого теста фактически требуются независимо, как если бы этим действительно занимался настоящий злоумышленник.
Но на самом деле APT-группы так не работают.
Совет 13: Расскажите всем в компании, что проводите пентест
Объявите всей компании, что проводите пентест. Пусть все удаляют наклейки с учетными данными, никто не открывает вложения в почте и не вставляет найденные флешки в USB. Пусть сотрудники с привилегированными правами доступа отправляются в отпуск или на обучение и выключают свои компьютеры, но самое главное — смените свой «qwerty»-пароль на случайный (хотя бы на время пентеста).В целом следует максимально снизить активность внутри компании и повысить бдительность.
Таким образом, вы значительно снизите вероятность атак, направленных на работников и разработки внутри сети.
Было ли это на самом деле?
Ну, конечно, так и было.Вы начинаете работу и видите, что люди предупреждены, их пароли недавно были изменены, и они относятся к вам с подозрением.
Некоторые компьютеры невозможно проверить, потому что люди, проходящие обучение, — «чистая случайность».
Совет 14: Следите за пентестерами
Прекратите все свои обычные действия и просто следите за пентестерами.Даже если у вас нет мониторинга, попробуйте.
Как только увидите, что что-то нашли, сразу заблокируйте доступ, измените права, удалите аккаунт, отключите порты.
Если вам действительно нужно, увольняйте людей.
Было ли это на самом деле?
О, это вообще-то «фаворит».Вы говорите заказчику: «мы проведем пентест и сообщим обо всем критичном, только ничего не меняйте, мы помогаем найти не просто конкретную недоработку, но и выявить плохие процессы».
И как только вы о чем-то сообщаете, это «случайно» меняется за короткий промежуток времени.
Вот несколько реальных случаев.
- На SMB-ресурсе обнаружен аккаунт, который не менялся в течение 5 лет и который якобы дает доступ «администратору домена» в два шага.
Вы предупреждаете заказчика, что продолжите работать на основе этих данных — и тогда файл чудесным образом удаляется, как будто его и не было.
- Список аккаунтов был получен в пятницу, а офлайн-анализ был проведен на выходных.
Становится понятно, что тут почти «админ домена».
В понедельник выясняется, что аккаунт заблокировали и администратора якобы уволили.
«Так уж получилось».
- В понедельник хост был просканирован, потенциальная RCE-уязвимость не была использована, к утру вторника соответствующие порты уже были отфильтрованы, либо хоста не было видно.
Совет 15: Запретите эксплуатацию уязвимостей!
Если по какой-то причине пентестерам удалось найти уязвимость и они просят у вас разрешения на ее эксплуатацию, не соглашайтесь; оправдать это нарушением доступности.
Этот презентационный ноутбук — незаменимая услуга для бизнеса!
Было ли это на самом деле?
Да, это тоже происходит постоянно.Понятно, что сервер содержит критически важные данные и уязвим, но заказчик не одобряет операцию.
В результате подрядчик теряет точку входа, что может привести к целому куче проблем вплоть до компрометации всей компании.
А если не согласовано, то в отчете просто написано: «операция не согласована», а по сути в отчете нет ничего интересного.
Совет 16: Чаще делайте паузы в работе
При всех ИТ-инцидентах скажите, что это связано с пентестом, и приостановите работу.Если инцидента нет, то придумайте его.
Попросите предоставить логи всего, что пентестер делал позавчера с 14:00 до 15:00 — пусть проанализирует свой трафик и запомнит, какую из сотен проверок он каким инструментом и где проводил.
Было ли это на самом деле?
От этого страдают не только пентестеры, но и информационная безопасность в целом.Как только вы приступаете к выполнению работы, любое происшествие в организации сразу же приводит к необходимости остановить ее и разобраться.
Сервер стал недоступен — это пентестеры; к пользователю попал вирус — это пентестеры; В столовой сломалась кофеварка - это пентестеры.
Мы подходим к этому с юмором и терпением, но время съедает существенно.
Совет 17: Отключите анализ файловых дисков и почты
Запретить пентестерам анализировать их содержимое после получения доступа к файловым дискам и почте.Обоснуйте это «ну, очень конфиденциальной информацией».
Было ли это на самом деле?
Администраторских ящиков, конечно, 20, но письма прочитать невозможно.Однако на практике мы много раз извлекали дополнительные пароли в почте, и они очень помогали в компрометации компании.
И да, настоящий хакер, конечно, скачал бы всю почту и ни у кого не спрашивал.
Совет 18. Попросите проверить программное обеспечение поставщика
Скажем, из всей инфраструктуры в целом вы бы хотели, чтобы специалисты проанализировали программное обеспечение вендора, особенно если оно очень распространено и представляет собой практически «коробочную версию» без дополнительной настройки.
Было ли это на самом деле?
Бывает, что вас просят взломать чистую Cisco ASA или что-то подобное.Мы говорим, что этот продукт широко распространен и, скорее всего, протестирован многими людьми, мы можем проверить «неправильную конфигурацию», но нет смысла все фаззить во время пентеста.
На самом деле это поиск 0day, и лучше проводить стендовое тестирование в сочетании с реверс-инжинирингом.
Заказчики кивают и все равно просят протестировать в ходе пентеста, что успеем.
Почти всегда это пустая трата времени.
Совет 19: Откорректируйте итоговый отчет
Самое приятное: если взлом был осуществлен и пентестеры предоставили вам первую версию отчета, просто попросите их удалить из него критические точки.Это бизнес, и вам должны предоставить отчет, за который вы заплатили.
Было ли это на самом деле?
Есть забавные моменты, от которых хочется смеяться и плакать.То «уберите из отчета почту генерального директора», то «этот сервер нужно удалить», то «кто просил вас получить доступ к компьютерам службы ИБ — быстро удаляйте».
Иногда формулировки верны, благодаря чему один и тот же факт из ужасного становится вполне допустимым.
Совет 20. Настройте Dire Game на сетевых устройствах
Почему нет? Если у вас есть стальные кулаки и технические возможности, создайте хаос.Например, пусть каждый 27 TCP-пакет, возвращаемый пентестеру, приходит поврежденным.
Главное, чтобы этого никто не заметил.
Было ли это на самом деле?
Этого еще не произошло, но это не точно.Возможно, аномальное поведение сканера в одном из 100 случаев было следствием таких мер.
Заключение
В отчете никто не пишет о миллионе проблем, возникших в ходе работы: что доступ был предоставлен на 5 часов, что операция одобрена на 2 дня, что был стул без спинки, выброс из окна и т.д. Все это остается «за кадром», а по результатам работы выдается сухой технический отчет, глядя на который независимый человек просто не поймет, сколько боли за этим стоит. В Центре информационной безопасности «Инфосистемы Джет» мы работаем со средним и крупным бизнесом.Некоторые из этих советов выполняются клиентами в фоновом режиме из-за внутренних особенностей организации, критичности информационных систем и большого количества ответственных людей.
Это обычные процессы, позволяющие минимизировать риск влияния работы по анализу безопасности на бизнес-процессы.
Однако по большей части наши руки свободны и с клиентами у нас сложились дружеские отношения.
Мы сами можем предложить правильные подходы и взаимодействие, удобное для обеих сторон.
Даже в сложных, бюрократических организациях всегда можно найти гибкое решение и выполнить работу качественно, если договориться с заинтересованными людьми.
Теги: #информационная безопасность #пентест #вредный совет
-
Интернет-Знакомства В Стиле Web 2.0
19 Oct, 24 -
Простой Путь К Бессерверным Вычислениям
19 Oct, 24
