Как успешно пройти любой пентест (вредные советы)

[unabashed]

Да. Волосы шевелятся от ужаса от описанного в статье. Но все ли так плохо на самом деле? Давайте будем предельно честны: значительная часть заказчиков ставит своей целью не реальный поиск уязвимостей, а всего лишь получение заветной бумажки. А мы при этом с обеих сторон по-прежнему будем делать вид, что "все серьещно", ведь это тоже правила игры.

[aliend]

Совет 9.

В бытность свою имел удовольствие быть отпентестченым изнутри локальной сети. Для этого был издан приказ снять все файерволы (локальные/сегментные) и вручить тестерам учетную запись с правом удаленного входа на все активы. После чего получил 15-ти сантиметровый отчет работы сканера, который проверил версии ПО/библиотек на объектах и сличил их с актуальными на тот момент.

Дополнительный совет: не отключать файерволы или даже наоборот – понаставить их на каждом углу.

[Sayaka]

Отличные советы, местами до слёз прям, спасибо!

[Yuriy_krd]

Я не совсем понял советы 8 и 11: Зачем выключать проактивные средства защиты? Это ведь будет уже не реальный тест, а тест искусственно ослабленной инфраструктуры. В чем будет «соль» такого теста? Так же по совету 11 тоже не совсем понял: зачем давать «явки-пароли»? Если злоумышленник должен будет «провести разведку», так проводите своими силами. В общем, спорный совет. Я его и понимаю, и не понимаю одновременно.

[Sayaka]

В 11 вроде довольно понятно описано почему.Если я собираюсь взломать и я сотрудник я явно найду документацию, поговорю с этим забавный пареньком из сапорта, который мне расскажет как работает эта сраная глючная недоцрм в компании. В 8 всё так же, я смогу со временем разобраться и обойти, я ж не спешу, время у меня есть.

[Merkat0r]

ну так пентест и нужен, чтоб выяснить эти ключевые места, что где как почему и как исправить в комплексе.

А выключить все и запустить метасплойт может и макака

[w0den]

Допустим, Вы используете популярный WAF, чтобы обезопасить своё веб-приложение. Как думайте, на что должен тратить время пентестер: обходить WAF или проверить веб-приложение на наличие уязвимостей?

В первом случае, например, пентестер не смог обходить WAF, и соответственно, согласно отчётам никакие уязвимости не были обнаружены. Однако это лишь иллюзия безопасности, ведь на самом деле может оказаться, что веб-приложение «дыряво, как дуршлаг». Не важно почему пентестер не смог сегодня обходить WAF, это не означает, что плохие парни тоже не могут сделать этого. К тому же, чем больше времени пентестер тратит на обход WAF, тем меньше времени он будет уделять веб-приложению. Не говоря уже о том, что в отличие от злоумышленника, пентестер должен завершить свою работу в определённый срок времени.

Если Вы всё ещё считаете, что не нужно отключить WAF, просто не отключайте ханипот. Это достаточно, чтобы заблокировать пентестера на неделю/месяц/год, да и в отчётах всё будет красиво. Остаётся лишь решить вопрос: что будете делать, если в один прекрасный день по какой-либо причине «отвалиться» проактивная защита.

[notvet]

«Пускай PCI DSS и другие методологии рекомендуют отключать некоторые проактивные СЗИ для большей проработки тестирования»
Вы слегка путаетe пентест и редтим. Пентестер должен выдать заказчику по возможности все точки входа, но он не имитирует злоумышленника, а банально указывает на дырки(ну и показывает по возможности эксплуатацию этих дырок). А средства защиты тупо замедляют процесс этого тестирования. Если дать тестеру пару месяцев, он все равно найдет те же дырки что и без СЗИ. То же самое и с документацией: не нужно ему с нуля ломать сеть, нужно найти уязвимости и продемонстрировать их опасность, документация поможет вложиться в сроки.

[Loreweil]

Потому что срок исполнения договора ограничен, а злоумышленник во времени не ограничен. В этом плане мало у кого хватит денег нанять команду пентестеров хотя бы на полгода-год. Тут уже сами думайте что вам нужно сделать за неделю — средства защиты проверить или найти слабые места в инфраструктуре. В целом все эти моменты должны оговариваться в договоре — отключать средства защиты или нет, black box, gray box… и тд

[pawellrus]

Все очень просто.
Никто со стороны заказчика не хочет быть крайним/лишиться премии/оказаться с вещами на улице.

[Lennonenko]

именно к таким последствиям и приводит политика одного лишь кнута, когда пряником считается зарплата
сотрудники любых уровней начинают всеми правдами и неправдами скрывать любые свои косяки и ссать начальству в уши, вместо того, чтобы искать и устранять недостатки
а потом появляются анекдоты типа «я ж говорил — место прОклятое!»

[Stanleygoo]

Ни капли не сомневаюсь, все так.
Но бывает так, что специалист Заказчика помогает пентестерам, в ответ пентестеры могут поинтересоваться, какие уязвимости специалист Заказчика не хотел бы включать в отчет, а устранить в рабочем порядке. Такое тоже бывает. :)

[spkody]

Помню как однажды пентестер запросил хаб для своих нужд. Такие древние устройства перевелись в компании, выдали ему свич. Однако он настаивал на хабе, пришлось нагуглить инструкцию как спаять 3х портовый хаб. Пентестер был снабжён всем необходимым, паяльником, припоем и прочим барахлом для крафта хаба =)

[Loggus66]

Он хотел promiscuous mode, чтобы посканить траффик с соседних ПК. Кстати, не перевелись, они теперь все называются «switch», но иногда в локалке всё же можно перехватить чужой траффик со 100Mbps D-link'ов.

[VolCh]

Многое звучит логично, но часть (включая увольнение админа) похожа на стандартную реакцию на инцидент ИБ. Если в компании сотрудники не знают о тесте, но обнаруживают уязвимость из-за начала её эксплуатации, то их прямая обязанность её закрыть полностью или прервать эксплуатацию, нет? Я бы на месте тестеров включил это в отчёт как положительный момент: "оперативная реакция на инцидент"

А насчёт файерволлов непонятно. Если отключим, то откроем всю сеть или сегмент на весь мир на время теста. Где грань между допустимыми рисками и качеством тестирования?

[ramses2]

1)Типовой пентест — это сжатое по времени мероприятие, около 3-10 рабочих дней. При включенных наложенных и проактивных средствах защиты львиная доля времени тратится на попытку их обхода вместо тестирования самой инфраструктуры. Поэтому, учитывая сжатые сроки, пентест лучше проводить без них — но это, еще раз повторю, типовой случай. Ничто не мешает проводить пентест полгода со всеми включенными СЗИ и реагированием ИБ на атаки, правда это уже будет называться «редтим».
2) WAF не отключается, а только хосты пентестеров добавляются в исключения на время работ.

[Max8k]

Спасибо за интересное повествование! Любопытно, а бывали случаи, обратные описанным? Когда заказчика клонило в другую крайность?

[ramses2]

Всегда пожалуйста) Конечно бывали, многие специалисты по ИБ в самой компании заинтересованы в качественных работах по пентесту и нахождению максимального количества недостатков. Это позволяет им увидеть реальное положение дел, а также позволяет обосновать бюджет на дозакупку дополнительных СЗИ.

[Max8k]

А чтоб прям избыточно предоставляли доступ, особые ресурсы или что-то в этом роде?

[ramses2]

Чтобы открывали искусственно дыры — в моей практике не было, но официально было: протестировать информационную систему, изначально имея привилегированные права.

[Vector_om]

Ох какие страсти написаны, но зачем тогда вовсе просить тестировать — отключили тогда всё, занавесите все окна и допускать всех полностью голыми и по три камеры на все ракурсы, чтоб не одного лишнего чиха :-)
Отключать СЗИ и т.п., думаю допускается только именно при возможности изолирования на время всей инфраструктуры и проверки «что там не закрыто за на ложными средствами, если они вдруг дадут трещину», в остальных случаях это не имеет не какого смысла т.к. равносильно тому, что — а давайте отпустим собаку погулять и проверим как мы теперь в курятник заберёмся.
И как итог наверно — если заказчик постоянно пытается вставить палки в колёса и выполняет хотя бы часть тех «советов», то это значит он сам знает о всех своих косяках и возможно пользуется ими, потому даже нет смысла тратить на него время, а лучше сразу его сдать в другие органы, где уже не будут спрашивать не каких разрешений, а повяжут по полной. А вы тем временем поможете улучшить систему тем, кто реально хочет что то исправить.

Спасибо за статью, забавная.