Комментарии 22
Да. Волосы шевелятся от ужаса от описанного в статье. Но все ли так плохо на самом деле? Давайте будем предельно честны: значительная часть заказчиков ставит своей целью не реальный поиск уязвимостей, а всего лишь получение заветной бумажки. А мы при этом с обеих сторон по-прежнему будем делать вид, что "все серьещно", ведь это тоже правила игры.
Совет 9.
В бытность свою имел удовольствие быть отпентестченым изнутри локальной сети. Для этого был издан приказ снять все файерволы (локальные/сегментные) и вручить тестерам учетную запись с правом удаленного входа на все активы. После чего получил 15-ти сантиметровый отчет работы сканера, который проверил версии ПО/библиотек на объектах и сличил их с актуальными на тот момент.
Дополнительный совет: не отключать файерволы или даже наоборот – понаставить их на каждом углу.
А выключить все и запустить метасплойт может и макака
В первом случае, например, пентестер не смог обходить WAF, и соответственно, согласно отчётам никакие уязвимости не были обнаружены. Однако это лишь иллюзия безопасности, ведь на самом деле может оказаться, что веб-приложение «дыряво, как дуршлаг». Не важно почему пентестер не смог сегодня обходить WAF, это не означает, что плохие парни тоже не могут сделать этого. К тому же, чем больше времени пентестер тратит на обход WAF, тем меньше времени он будет уделять веб-приложению. Не говоря уже о том, что в отличие от злоумышленника, пентестер должен завершить свою работу в определённый срок времени.
Если Вы всё ещё считаете, что не нужно отключить WAF, просто не отключайте ханипот. Это достаточно, чтобы заблокировать пентестера на неделю/месяц/год, да и в отчётах всё будет красиво. Остаётся лишь решить вопрос: что будете делать, если в один прекрасный день по какой-либо причине «отвалиться» проактивная защита.
Вы слегка путаетe пентест и редтим. Пентестер должен выдать заказчику по возможности все точки входа, но он не имитирует злоумышленника, а банально указывает на дырки(ну и показывает по возможности эксплуатацию этих дырок). А средства защиты тупо замедляют процесс этого тестирования. Если дать тестеру пару месяцев, он все равно найдет те же дырки что и без СЗИ. То же самое и с документацией: не нужно ему с нуля ломать сеть, нужно найти уязвимости и продемонстрировать их опасность, документация поможет вложиться в сроки.
Все очень просто.
Никто со стороны заказчика не хочет быть крайним/лишиться премии/оказаться с вещами на улице.
сотрудники любых уровней начинают всеми правдами и неправдами скрывать любые свои косяки и ссать начальству в уши, вместо того, чтобы искать и устранять недостатки
а потом появляются анекдоты типа «я ж говорил — место прОклятое!»
Ни капли не сомневаюсь, все так.
Но бывает так, что специалист Заказчика помогает пентестерам, в ответ пентестеры могут поинтересоваться, какие уязвимости специалист Заказчика не хотел бы включать в отчет, а устранить в рабочем порядке. Такое тоже бывает. :)
Помню как однажды пентестер запросил хаб для своих нужд. Такие древние устройства перевелись в компании, выдали ему свич. Однако он настаивал на хабе, пришлось нагуглить инструкцию как спаять 3х портовый хаб. Пентестер был снабжён всем необходимым, паяльником, припоем и прочим барахлом для крафта хаба =)
Многое звучит логично, но часть (включая увольнение админа) похожа на стандартную реакцию на инцидент ИБ. Если в компании сотрудники не знают о тесте, но обнаруживают уязвимость из-за начала её эксплуатации, то их прямая обязанность её закрыть полностью или прервать эксплуатацию, нет? Я бы на месте тестеров включил это в отчёт как положительный момент: "оперативная реакция на инцидент"
А насчёт файерволлов непонятно. Если отключим, то откроем всю сеть или сегмент на весь мир на время теста. Где грань между допустимыми рисками и качеством тестирования?
2) WAF не отключается, а только хосты пентестеров добавляются в исключения на время работ.
Отключать СЗИ и т.п., думаю допускается только именно при возможности изолирования на время всей инфраструктуры и проверки «что там не закрыто за на ложными средствами, если они вдруг дадут трещину», в остальных случаях это не имеет не какого смысла т.к. равносильно тому, что — а давайте отпустим собаку погулять и проверим как мы теперь в курятник заберёмся.
И как итог наверно — если заказчик постоянно пытается вставить палки в колёса и выполняет хотя бы часть тех «советов», то это значит он сам знает о всех своих косяках и возможно пользуется ими, потому даже нет смысла тратить на него время, а лучше сразу его сдать в другие органы, где уже не будут спрашивать не каких разрешений, а повяжут по полной. А вы тем временем поможете улучшить систему тем, кто реально хочет что то исправить.
Спасибо за статью, забавная.
Как успешно пройти любой пентест (вредные советы)