Удалёнка: опыт и лайфхаки
Реклама
Комментарии 22
+4

Да. Волосы шевелятся от ужаса от описанного в статье. Но все ли так плохо на самом деле? Давайте будем предельно честны: значительная часть заказчиков ставит своей целью не реальный поиск уязвимостей, а всего лишь получение заветной бумажки. А мы при этом с обеих сторон по-прежнему будем делать вид, что "все серьещно", ведь это тоже правила игры.

+1

Совет 9.


В бытность свою имел удовольствие быть отпентестченым изнутри локальной сети. Для этого был издан приказ снять все файерволы (локальные/сегментные) и вручить тестерам учетную запись с правом удаленного входа на все активы. После чего получил 15-ти сантиметровый отчет работы сканера, который проверил версии ПО/библиотек на объектах и сличил их с актуальными на тот момент.


Дополнительный совет: не отключать файерволы или даже наоборот – понаставить их на каждом углу.

+3
Я не совсем понял советы 8 и 11: Зачем выключать проактивные средства защиты? Это ведь будет уже не реальный тест, а тест искусственно ослабленной инфраструктуры. В чем будет «соль» такого теста? Так же по совету 11 тоже не совсем понял: зачем давать «явки-пароли»? Если злоумышленник должен будет «провести разведку», так проводите своими силами. В общем, спорный совет. Я его и понимаю, и не понимаю одновременно.
+1
В 11 вроде довольно понятно описано почему.Если я собираюсь взломать и я сотрудник я явно найду документацию, поговорю с этим забавный пареньком из сапорта, который мне расскажет как работает эта сраная глючная недоцрм в компании. В 8 всё так же, я смогу со временем разобраться и обойти, я ж не спешу, время у меня есть.
+5
ну так пентест и нужен, чтоб выяснить эти ключевые места, что где как почему и как исправить в комплексе.

А выключить все и запустить метасплойт может и макака
+3
Допустим, Вы используете популярный WAF, чтобы обезопасить своё веб-приложение. Как думайте, на что должен тратить время пентестер: обходить WAF или проверить веб-приложение на наличие уязвимостей?

В первом случае, например, пентестер не смог обходить WAF, и соответственно, согласно отчётам никакие уязвимости не были обнаружены. Однако это лишь иллюзия безопасности, ведь на самом деле может оказаться, что веб-приложение «дыряво, как дуршлаг». Не важно почему пентестер не смог сегодня обходить WAF, это не означает, что плохие парни тоже не могут сделать этого. К тому же, чем больше времени пентестер тратит на обход WAF, тем меньше времени он будет уделять веб-приложению. Не говоря уже о том, что в отличие от злоумышленника, пентестер должен завершить свою работу в определённый срок времени.

Если Вы всё ещё считаете, что не нужно отключить WAF, просто не отключайте ханипот. Это достаточно, чтобы заблокировать пентестера на неделю/месяц/год, да и в отчётах всё будет красиво. Остаётся лишь решить вопрос: что будете делать, если в один прекрасный день по какой-либо причине «отвалиться» проактивная защита.
+3
Совет 8 — представьте, что для оценки качества пива вам надо проверить солод, хмель, воду. Пивовар упорно заставляет вас пить воду, оставив на последние две проверки совсем мало времени, достаточно лишь для того, чтобы оценить зерна визуально. У человека, который хочет провести беспристрастный анализ, достаточно времени будет — он уже выкрал с фабрики образцы без ведома хозяина и не спеша пробует каждый из них, где-нибудь да найдется косяк.

Совет 11 — чтобы убедить вас, что действительно этот солод везут аж из самой Бельгии, вам подсовывают транспортные накладные за позапрошлый год, лишая вас при этом возможности поговорить с развеселым экспедитором — ведь он может сболтнуть лишнего. Не нравится — копайтесь сами.
+4
«Пускай PCI DSS и другие методологии рекомендуют отключать некоторые проактивные СЗИ для большей проработки тестирования»
Вы слегка путаетe пентест и редтим. Пентестер должен выдать заказчику по возможности все точки входа, но он не имитирует злоумышленника, а банально указывает на дырки(ну и показывает по возможности эксплуатацию этих дырок). А средства защиты тупо замедляют процесс этого тестирования. Если дать тестеру пару месяцев, он все равно найдет те же дырки что и без СЗИ. То же самое и с документацией: не нужно ему с нуля ломать сеть, нужно найти уязвимости и продемонстрировать их опасность, документация поможет вложиться в сроки.
+1
Потому что срок исполнения договора ограничен, а злоумышленник во времени не ограничен. В этом плане мало у кого хватит денег нанять команду пентестеров хотя бы на полгода-год. Тут уже сами думайте что вам нужно сделать за неделю — средства защиты проверить или найти слабые места в инфраструктуре. В целом все эти моменты должны оговариваться в договоре — отключать средства защиты или нет, black box, gray box… и тд
0

Все очень просто.
Никто со стороны заказчика не хочет быть крайним/лишиться премии/оказаться с вещами на улице.

0
именно к таким последствиям и приводит политика одного лишь кнута, когда пряником считается зарплата
сотрудники любых уровней начинают всеми правдами и неправдами скрывать любые свои косяки и ссать начальству в уши, вместо того, чтобы искать и устранять недостатки
а потом появляются анекдоты типа «я ж говорил — место прОклятое!»
0

Ни капли не сомневаюсь, все так.
Но бывает так, что специалист Заказчика помогает пентестерам, в ответ пентестеры могут поинтересоваться, какие уязвимости специалист Заказчика не хотел бы включать в отчет, а устранить в рабочем порядке. Такое тоже бывает. :)

0

Помню как однажды пентестер запросил хаб для своих нужд. Такие древние устройства перевелись в компании, выдали ему свич. Однако он настаивал на хабе, пришлось нагуглить инструкцию как спаять 3х портовый хаб. Пентестер был снабжён всем необходимым, паяльником, припоем и прочим барахлом для крафта хаба =)

0
Он хотел promiscuous mode, чтобы посканить траффик с соседних ПК. Кстати, не перевелись, они теперь все называются «switch», но иногда в локалке всё же можно перехватить чужой траффик со 100Mbps D-link'ов.
0

Многое звучит логично, но часть (включая увольнение админа) похожа на стандартную реакцию на инцидент ИБ. Если в компании сотрудники не знают о тесте, но обнаруживают уязвимость из-за начала её эксплуатации, то их прямая обязанность её закрыть полностью или прервать эксплуатацию, нет? Я бы на месте тестеров включил это в отчёт как положительный момент: "оперативная реакция на инцидент"


А насчёт файерволлов непонятно. Если отключим, то откроем всю сеть или сегмент на весь мир на время теста. Где грань между допустимыми рисками и качеством тестирования?

+2
1)Типовой пентест — это сжатое по времени мероприятие, около 3-10 рабочих дней. При включенных наложенных и проактивных средствах защиты львиная доля времени тратится на попытку их обхода вместо тестирования самой инфраструктуры. Поэтому, учитывая сжатые сроки, пентест лучше проводить без них — но это, еще раз повторю, типовой случай. Ничто не мешает проводить пентест полгода со всеми включенными СЗИ и реагированием ИБ на атаки, правда это уже будет называться «редтим».
2) WAF не отключается, а только хосты пентестеров добавляются в исключения на время работ.
0
Спасибо за интересное повествование! Любопытно, а бывали случаи, обратные описанным? Когда заказчика клонило в другую крайность?
+3
Всегда пожалуйста) Конечно бывали, многие специалисты по ИБ в самой компании заинтересованы в качественных работах по пентесту и нахождению максимального количества недостатков. Это позволяет им увидеть реальное положение дел, а также позволяет обосновать бюджет на дозакупку дополнительных СЗИ.
0

А чтоб прям избыточно предоставляли доступ, особые ресурсы или что-то в этом роде?

0
Чтобы открывали искусственно дыры — в моей практике не было, но официально было: протестировать информационную систему, изначально имея привилегированные права.
0
Ох какие страсти написаны, но зачем тогда вовсе просить тестировать — отключили тогда всё, занавесите все окна и допускать всех полностью голыми и по три камеры на все ракурсы, чтоб не одного лишнего чиха :-)
Отключать СЗИ и т.п., думаю допускается только именно при возможности изолирования на время всей инфраструктуры и проверки «что там не закрыто за на ложными средствами, если они вдруг дадут трещину», в остальных случаях это не имеет не какого смысла т.к. равносильно тому, что — а давайте отпустим собаку погулять и проверим как мы теперь в курятник заберёмся.
И как итог наверно — если заказчик постоянно пытается вставить палки в колёса и выполняет хотя бы часть тех «советов», то это значит он сам знает о всех своих косяках и возможно пользуется ими, потому даже нет смысла тратить на него время, а лучше сразу его сдать в другие органы, где уже не будут спрашивать не каких разрешений, а повяжут по полной. А вы тем временем поможете улучшить систему тем, кто реально хочет что то исправить.

Спасибо за статью, забавная.
Только полноправные пользователи могут оставлять комментарии.  , пожалуйста.