Koliko često trebamo ići na test olovke?

Uobičajena kadenca: godišnje za opće držanje, nakon većih promjena (nova aplikacija, revizija arhitekture) i prema zahtjevima sukladnosti (PCI-DSS zahtijeva godišnje testove olovke za okruženja vlasnika kartice).

Test olovkom protiv crvenog tima — koja je razlika?

Pen testovi su usmjereni na pronalaženje što više ranjivosti u definiranim ciljevima. Angažmani crvenog tima simuliraju specifične napade iz stvarnog svijeta od kraja do kraja (početni pristup, bočno kretanje, eksfiltracija) kako bi se testirala sposobnost otkrivanja i odgovora. Crveni tim je širi, duži, često tajniji. Pogledajte naš članak red tima .

Je li mala tvrtka vrijedna testiranja olovke?

Ovisi o tome što je u pitanju. Mala i srednja poduzeća koja obrađuju podatke o klijentima, prihvaćaju plaćanja ili posluju u reguliranim djelatnostima imaju koristi. Web-mjesta koja sadrže čiste brošure bez korisničkih podataka imaju manju vrijednost. Cijena se kreće od nekoliko tisuća za uski opseg do desetaka tisuća za sveobuhvatan.

Mogu li testovi olovke pronaći svaku ranjivost?

Ne. Oni pronalaze ono što se može otkriti u vremenu koje ljudi dodijele alatima koje koriste. Vremenski ograničeni testovi propuštaju stvari; dovoljno temeljiti testovi su preskupi za često provođenje. Kombinirajte s kontinuiranim skeniranjem i nagradom za bugove za slojevitu pokrivenost.

Trebaju li testeri olovaka razbijati stvari?

Ponekad. Dokazivanje utjecaja često zahtijeva stvarnu eksploataciju. Renomirani testeri komuniciraju prije destruktivnih akcija, koriste inscenaciju kada je to moguće i sve dokumentiraju. Dokument o djelokrugu trebao bi unaprijed navesti granice razornog djelovanja.

Objašnjenje testiranja penetracije: što testeri olovki zapravo rade

Penetracijsko testiranje — skraćeno testiranje olovke — ovlaštena je simulacija napada na sustave organizacije radi pronalaženja ranjivosti prije nego što to učine protivnici. Disciplina je sazrela od pametnih pojedinaca koji su provaljivali u mreže do strukturirane industrije s metodološkim okvirima, certifikatima i regulatornim priznavanjem. Razumijevanje kako izgleda stvarno testiranje olovke pojašnjava njegovu vrijednost i ograničenja.

Cjeloviti članak nalazi se u nastavku na engleskom jeziku.

Penetration testing je ovlaštena praksa pokušaja kompromitiranja sustava organizacije radi identificiranja sigurnosnih slabosti. Ispitivači olovaka rade prema pisanom ugovoru koji određuje što je dopušteno, a što zabranjeno i koja vrsta izvješća slijedi. Neovlašteno testiranje — čak i s dobrim namjerama — kriminalna je aktivnost u stilu računalne prijevare u većini jurisdikcija.

Faze testa olovke

Scoping. Definirajte što je u opsegu (određene mreže, aplikacije, vremenski prozori), što nije (sustavi kritični za proizvodnju, podaci trećih strana), koje su tehnike dopuštene (društveni inženjering da/ne, DoS da/ne). Documented in writing.
Reconnaissance. Information gathering. OSINT, mrežno mapiranje, skeniranje priključaka, identifikacija usluge.
Identifikacija ranjivosti. Skeniranje poznatih ranjivosti, ispitivanje prilagođene logike aplikacije, identificiranje pogrešnih konfiguracija.
Exploitation. Pokušaj demonstracije da se ranjivosti mogu iskoristiti. Ne samo "ovo bi moglo biti loše", već "to je upravo ono što bi napadač učinio."
Post-exploitation. Nakon što se dobije početni pristup, istražuje što bi napadač mogao učiniti — bočno kretanje, pristup podacima, eskalacija privilegija. Zaustavljeno kada su ispunjeni ciljevi testiranja.
Izvještavanje. Detaljni nalazi s koracima reprodukcije, ocjenama ozbiljnosti, preporukama za popravak.
Ponovno testiranje. Provjera koja popravlja rad, nakon što je organizacija imala vremena za rješavanje nalazi.

Uobičajene kategorije testa

Vanjski test penetracije. Napad na organizaciju s javnog interneta. Što autsajder može vidjeti, skenirati, iskoristiti?
IInterni penetracijski test. Pretpostavimo početno uporište (kompromitirano prijenosno računalo zaposlenika, zlonamjerni insajder). Do čega napadač može doći odatle?
Test web aplikacije. Fokus na određenu aplikaciju — SQL injekcija, XSS, nedostaci poslovne logike, slabosti autentifikacije.
Test mobilne aplikacije. Obrnuti inženjering APK-ovi/IPA-ovi, manipulacija tijekom izvođenja, API iskorištavanje.
API penetration test. Usredotočite se na API sloj — nedostaci autorizacije, izloženost podataka, zaobilaženje ograničenja brzine.
Procjena konfiguracije oblaka. Pogrešne konfiguracije specifične za AWS/Azure/GCP — izloženi S3 spremnici, pretjerano dopušteni IAM, javna Lambda.
Bežična procjena. Wi-Fi sigurnosno testiranje.
Test fizičke penetracije. Pokušaj fizičkog pristupa — otvaranje vrata, otključavanje, društveni inženjering na recepciji.
Društveni inženjering procjena. Phishing kampanje, vishing, pokušaji manipulacije zaposlenicima.

Crna kutija vs siva kutija vs bijela kutija

Crna kutija. Ispitivač zna samo ono što bi vanjski napadač znao. Realistic but slow.
Gray box. Limited information provided (account credentials, network diagrams). Most common in practice.
White box. Full access including source code, architecture documentation, admin credentials. Most thorough; pronalazi probleme koje automatizirani alati i vanjsko testiranje mogu propustiti.

Metodološki okviri

OWASP Vodič za testiranje web sigurnosti. Sveobuhvatni okvir za testiranje web aplikacija.
NIST SP 800-115. Tehnički vodič američke vlade za sigurnosno testiranje.
OSSTMM. Priručnik za metodologiju testiranja sigurnosti otvorenog koda.
PTES. Standard izvršenja testiranja prodora.
MITRE ATT&CK. Nije metodologija sama po sebi, već okvir taktika-tehnika-procedura koji se intenzivno koristi u operacijama crvenog tima.

Alati zanata

Izviđanje: nmap, Masscan, Shodan, theHarvester, Recon-ng
Testiranje na webu: Burp Suite (standard industrije), OWASP ZAP, sqlmap
Okviri za eksploataciju: Metasploit, Cobalt Strike (standard crvenog tima), Empire, Sliver
Wireless: Aircrack-ng, Wifite, hcxdumptool
Napadi lozinkom: Hashcat, John the Ripper
Radi sustav: Kali Linux je standardna distribucija koja uključuje mnoge alate

Pen testiranje u odnosu na skeniranje ranjivosti

Često zbunjen; bitno drugačiji:

Skeniranje ranjivosti — automatizirani alat koji navodi poznate probleme. Jeftino, brzo, može se pokrenuti tjedno. Propušta nedostatke poslovne logike, ulančane ranjivosti, vektore socijalnog inženjeringa.
Penetration test — ljudski tester s kreativnim metodama. Skupo, dugotrajno, pronalazi probleme koje skeneri propuštaju. Obično godišnje ili polugodišnje.

Zreli sigurnosni programi koriste oboje — automatizirano skeniranje za stalnu pokrivenost, periodične testove olovke za dubinu.

Certifikati

OSCP (Offensive Security Certified Professional) — praktični standard. Praktični 24-satni ispit protiv ranjivog laboratorija.
OSCE3 — napredna web-aplikacija, programer za iskorištavanje, bežični certifikati tvrtke Offensive Security.
GPEN, GWAPT, GXPN — SANS GIAC certifikati.
CEH (Certificirani etički haker) — vjerodajnica početne razine, više teoretska od OSCP-a.
PNPT (Praktični tester mrežne penetracije) — TCM Security praktičan ispit.

OSCP vjerodajnica koju najčešće traže renomirane tvrtke za testiranje olovke.

Pravni i etički sloj

Pen testiranje bez pisanog odobrenja je zločin u većini jurisdikcija — američki CFAA, UK Zakon o zlouporabi računala, slični zakoni drugdje. Čak i uz autorizaciju, puzanje opsega može uzrokovati pravne probleme. Pisano ovlaštenje (ponekad se naziva "Pismo za izlazak iz zatvora") pravna je zaštita testera.

Ugledne tvrtke za testiranje olovaka održavaju osiguranje od incidenata, slijede stroga pravila o rukovanju podacima za sve osjetljive podatke na koje naiđu i imaju jasne putove eskalacije ako naiđu na stvarni stalni upad ili osjetljive osobne podatke.

Što bi organizacije trebale očekivanje

A izvješće o testu olovke obično uključuje:

Izvršni sažetak za netehničko vodstvo
Nalaze rangirane po ozbiljnosti s CVSS rezultatima
Detaljne korake reprodukcije za svaki nalaz
Snimke zaslona i dokazi o dokazu o konceptu
Specifične preporuke za popravke
Zbirna zapažanja o sigurnosnom položaju

Nalazi bi trebali biti djelotvorni. "Ranjivost X postoji u komponenti Y, evo kako je iskorištena, evo kako to popraviti" — a ne "vaša sigurnost je loša."

Često postavljana pitanja

Koliko često trebamo ići na test olovke?: Uobičajena kadenca: godišnje za opće držanje, nakon većih promjena (nova aplikacija, revizija arhitekture) i prema zahtjevima sukladnosti (PCI-DSS zahtijeva godišnje testove olovke za okruženja vlasnika kartice).
Test olovkom protiv crvenog tima — koja je razlika?: Pen testovi su usmjereni na pronalaženje što više ranjivosti u definiranim ciljevima. Angažmani crvenog tima simuliraju specifične napade iz stvarnog svijeta od kraja do kraja (početni pristup, bočno kretanje, eksfiltracija) kako bi se testirala sposobnost otkrivanja i odgovora. Crveni tim je širi, duži, često tajniji. Pogledajte naš članak <a href="/learning/red-team-blue-team">red tima </a>.
Je li mala tvrtka vrijedna testiranja olovke?: Ovisi o tome što je u pitanju. Mala i srednja poduzeća koja obrađuju podatke o klijentima, prihvaćaju plaćanja ili posluju u reguliranim djelatnostima imaju koristi. Web-mjesta koja sadrže čiste brošure bez korisničkih podataka imaju manju vrijednost. Cijena se kreće od nekoliko tisuća za uski opseg do desetaka tisuća za sveobuhvatan.
Mogu li testovi olovke pronaći svaku ranjivost?: Ne. Oni pronalaze ono što se može otkriti u vremenu koje ljudi dodijele alatima koje koriste. Vremenski ograničeni testovi propuštaju stvari; dovoljno temeljiti testovi su preskupi za često provođenje. Kombinirajte s kontinuiranim skeniranjem i nagradom za bugove za slojevitu pokrivenost.
Trebaju li testeri olovaka razbijati stvari?: Ponekad. Dokazivanje utjecaja često zahtijeva stvarnu eksploataciju. Renomirani testeri komuniciraju prije destruktivnih akcija, koriste inscenaciju kada je to moguće i sve dokumentiraju. Dokument o djelokrugu trebao bi unaprijed navesti granice razornog djelovanja.