in

Проверка пентестирования – это самая “легкая” часть.

Помню, как увидел в LinkedIn сообщение о том, что ценность шифрования переоценена. Человек, сделавший это сообщение, был удален через день.

Помню, как увидел в LinkedIn сообщение о том, что ценность шифрования переоценена. Человек, сделавший это сообщение, был удален через день.

В его сообщении была верная мысль, хотя и плохо сформулированная. Поэтому, пожалуйста, прислушайтесь ко мне.

Я чувствую, что в этом сообщении есть верный смысл. Я постараюсь сформулировать его правильно. Если мне это не удастся, эта запись может исчезнуть из блога.

Я украл идею этого поста у своего друга. У него больше опыта в этой отрасли, чем у меня. Возможно, именно поэтому он воплотил идею в слова раньше меня.

Я люблю Пентестирование

Да. Это моя основная работа, и нет ничего, чем бы я хотел заниматься. Сложность этой работы поражает, и я уважаю своих коллег, которые глубоко разбираются в технологиях, позволяющих выявлять безумные уязвимости.

И чтобы было понятно, сам по себе пен-тест не так уж прост. Например, получение OSCP было самым сложным экзаменом, который я когда-либо сдавал.

Он требует огромного количества знаний и самоотдачи, но при этом является одним из самых интересных, и его сложность – это часть того, что делает его интересным.

Однако перьевое тестирование не может существовать в изоляции и всегда является лишь частью подхода организации к кибербезопасности.

Без других способов проверки уязвимостей, таких как сканирование кода или инфраструктуры, пен-тестеры просто утонут в результатах и никогда не смогут выявить действительно сложные уязвимости.

Должны существовать политики, определяющие подход к безопасности, и люди, которые будут ловить атаки, когда они происходят.

Также должны быть люди, устраняющие уязвимости, и именно этому мы должны уделять больше внимания.

Различные типы уязвимостей

Уязвимости можно дифференцировать различными способами. Их можно классифицировать по степени серьезности, аппаратному или программному обеспечению, лежащим в основе принципам и т. д. В этой статье мы рассмотрим уязвимости с точки зрения того, являются ли они “легко устранимыми” или “нелегко устранимыми”.

Когда в ходе пен-теста обнаруживается SQL-инъекция, вы знаете, что с ней делать. Нужно очистить пользовательский ввод. Существует множество способов сделать это неправильно, но обычно вы точно знаете, что делать.

Однако ваш пен-тестер (возможно, во время работы “красной команды”) может сообщить о других результатах, таких как слишком большое количество разрешений, предоставленных пользователю X, недостаточная осведомленность пользователя, раскрытие пользователем конфиденциальной информации (что также является недостаточной осведомленностью), небезопасные настройки основного процесса и т. д.

Исправить эти результаты сложно, и стандартного способа сделать это не существует. Возможно, сейчас вы кричите в экран. “Доверие и безопасность на нуле из-за дизайна и кампании по повышению осведомленности”.

Что ж, вы правы, но над этим еще нужно много работать, и универсального подхода не существует.

(Если у вас есть решение, не рассказывайте мне о нем в разделе комментариев, продайте его и наслаждайтесь жизнью миллиардера).

Для исправления ситуации часто требуются архитектурные изменения, реинжиниринг системы или изменения в организационных процессах и поведении.

Смысл этой тирады

Почему я пишу это? Потому что есть некоторые вещи, которые я действительно хочу записать. Ни одна из них не является революционной, но все же может оказаться важной для тех, кто занимается кибербезопасностью:

  1. Пентестирование не означает безопасность: Если ваш ИТ-менеджер говорит о дырах в системе безопасности, о которых вы давно знаете, нет необходимости тратить деньги на пен-тестера.
  2. Почему я должен покупать pentest, я потратил тысячи долларов на этот блестящий сканер безопасности? Сканирование не может заменить пен-тестирование, а пен-тестирование не может заменить сканирование. Зачем проводить сканирование системы безопасности, если мы каждый год проводим пен-тестирование? Конечно, если бы мы хотели, чтобы тысячи ресурсов сканировались вручную, мы бы с радостью взяли за это деньги. Но если вы так поступите, весь ваш бюджет исчезнет, и вы не сможете обратить внимание на сложные уязвимости, которые сканер никогда не сможет обнаружить.Найти баланс между этими двумя и всеми остальными мерами безопасности может быть довольно сложно. (Можно даже сказать, что перьевое тестирование – это самая легкая часть).
  3. Вся организация безопасности должна работать сообща: Нам знакомо чувство, когда сообщаешь об очевидной уязвимости в системе безопасности и не получаешь ожидаемой реакции. Иногда правильное решение – усилить давление на уязвимые части организации, чтобы они поняли, насколько это срочно. (Удаленное выполнение кода – это не ошибка, это особенность). Но, возможно, вы только что сообщили о проблеме в процессе, который является центральным для получения дохода. Если есть плохие метрики, контролеры и продавцы будут кричать на вас; если есть приоритетные требования безопасности, на вас будет кричать CISO. Почему бы не поработать с ними, чтобы найти способ защитить интересы всех? Поймите суть проблемы. Используйте свои богатые знания в области безопасности, чтобы помочь им. Привлеките группу реагирования на инциденты и узнайте, смогут ли они обеспечить обнаружение до тех пор, пока уязвимость не будет устранена.
  4. Безопасность должна быть стратегической: В управлении организацией существует множество оперативных задач, связанных с безопасностью. Исправление, внедрение и сбор доказательств соответствия. Zero Trust и Security by Design – это не то, что можно объявить сегодня и внедрить на следующей неделе. Zero Trust и Security by Design – это не то, что можно объявить сегодня и внедрить на следующей неделе. В противном случае это будет просто бесконечная череда операционных задач по поддержанию определенного уровня организационной безопасности.

Заключение

Вероятно, в этом тексте нет ничего нового, и, возможно, некоторые из них не очень хорошо выражены или не имеют смысла, но мы надеемся, что он все же вносит что-то новое в разговор о пентестинге и безопасности.

Написание и обсуждение этого текста, по крайней мере, дало нам более полную картину.

What do you think?

Начинающий

Written by Даниил

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

GIPHY App Key not set. Please check settings