Rdeca ekipa proti penetracijskemu testu: Kaj potrebujete?

Organizacije pogosto uporabljajo "penetracijski test" in "rdeca ekipa" kot sinonima. To slisim nenehno: podjetje zahteva angažma rdece ekipe, ko dejansko potrebuje penetracijski test, ali pa se zadovolji z osnovnim skeniranjem ranljivosti, ko je njihov varnostni program ze prerasel to raven. To so bistveno razlicne storitve z razlicnimi cilji, razlicnimi metodologijami in razlicnimi rezultati. Razumevanje te razlike vam pomaga vložiti varnostni proracun tja, kjer prinese najvec vrednosti.

Penetracijsko testiranje

Penetracijski test je casovno omejena ocena, osredotocena na prepoznavanje in izkoriščanje ranljivosti znotraj dolocenega obsega. Cilj je celovita pokritost: najti cim vec ranljivosti znotraj dogovorjenih sistemov in casovnega okvira. Kot tester obicajno dobim jasne meje: ta obseg IP-naslovov, te aplikacije, ta omrežni segment.

• Dolocen obseg - Stranka doloci, katere sisteme, omrežja ali aplikacije testirati. Vse zunaj te meje je prepovedano. Ta osredotocenost omogoca temeljito pokritost ciljnega obmocja.
• 1-4 tedne trajanja - Vecina projektov se uvrsti v to okno, ceprav kompleksna okolja morda zahtevajo vec casa. Bistveno je, da obstaja fiksno obdobje testiranja z jasnim zacetkom in koncem.
• Celovita pokritost - Cilj je identificirati vsako izkoriščljivo slabost znotraj obsega. Za razliko od rdece ekipe se ne trudim biti prikrit. Ce najdem ranljivost, jo dokumentiram ne glede na to, ali bi jo napadalec realno povezal s cim drugim.
• Fokus na odkrivanje ranljivosti - Primarni rezultat je temeljit katalog ranljivosti z ocenami resnosti, dokazi o izkoriščanju in navodili za odpravo. To vasi inženirski ekipi zagotovi jasen nacrrt za utrjevanje.

Pri nedavnem penetracijskem testu spletne aplikacije sem identificiral triindvajset razlicnih ranljivosti, vkljucno s slepo SQL injekcijo, vec napakami v kontroli dostopa in ponarejanjem zahtev na strani streznika. Vsaka je bila dokumentirana z dokazom o izkoriščanju in specificnimi koraki za odpravo. Razvojna ekipa stranke je sistematicno obdelala seznam in razresila vse kriticne in visoke ugotovitve v dveh tednih.

Rdeca ekipa

Angažma rdece ekipe simulira realisticnega nasprotnika, ki zasleduje specificne cilje. Cilj ni najti vsako ranljivost, ampak preveriti sposobnost organizacije za zaznavo, odziv in obvladovanje sofisticiranega napada. To je bistveno drugacno vprasanje kot "katere ranljivosti obstajajo."

• Temelji na ciljih - Namesto "testirajte spletno aplikacijo" je cilj lahko "pridobite dostop do baze financnih porocil" ali "dokazite zmožnost namestitve izsiljevalske programske opreme po celotni domeni." To odseva delovanje resnicnih groženj.
• Tedni do meseci - Operacije rdece ekipe trajajo bistveno dlje, ker vkljucujejo skrbno nacrtovanje, razvoj prilagojenih orodij in potrpežljivo izvajanje za izogibanje zaznavi. Hitenje iznici namen.
• Resnicne napadalske tehnike - Uporabljam tehnike, ki odsevajo dejanske akterje groženj: prilagojene phishing kampanje, razvoj lastne C2 infrastrukture, pisanje prilagojenih implantatov za izogibanje EDR-ju in izkoriščanje tehnik "življenja z dežele" z orodji, kot sta PowerShell in WMI. Celoten pristop je zasnovan za preverjanje, ali vasa obramba lahko zazna realisticne grožnje.
• Testira celotni varnostni program - Angažma rdece ekipe oceni vase ljudi, procese in tehnologijo skupaj. Ali vasi analitiki opazijo neobicajne vzorce avtentikacije? Ali vas nacrt odziva na incidente dejansko deluje, ko se sproži? Ali so vase kontrole segmentacije omrežja ucinkovite proti bocnemu premikanju?

Kdaj izbrati posamezno storitev

Izberite penetracijsko testiranje, ko: ocenjujete specificne sisteme pred uvedbo, izpolnjujete zahteve skladnosti, kot sta PCI DSS ali ISO 27001, gradite ali razvijate varnostni program, ali ze dolgo niste imeli varnostne ocene. Penetracijsko testiranje vam zagotovi podatke o ranljivostih, ki jih potrebujete za konkretne izboljsave. Ce se vedno odkrivate in odpravljate osnovne tezave, kot so manjkajoci popravki, privzete poverilnice ali SQL injekcije, je penetracijski test prava naložba.

Izberite rdeco ekipo, ko: je vas varnostni program zrel, imate SOC ali upravljano storitev zaznave, ste ze odpravili pogoste ranljivosti z rednim testiranjem in zelite preveriti, ali vase zmogljivosti zaznave in odziva dejansko delujejo proti usposobljenemu nasprotniku. Rdeca ekipa je stresni test za organizacije, ki so ze zgradile svojo obrambo in zelijo vedeti, ali ta drži pod pritiskom.

Pogoste napacne predstave

Ena napacna predstava, na katero pogosto naletim, je, da je rdeca ekipa preprosto "naprednejsi penetracijski test." Ni. Odgovarjata na razlicna vprasanja. Penetracijski test sprasi "kaj se da zlomiti?" Rdeca ekipa sprasi "ali nasi branilci lahko ustavijo motiviranega napadalca?" Druga napacna predstava je, da vsaka organizacija potrebuje rdeco ekipo. Ce vasa organizacija se ni odpravila ugotovitev iz osnovnih penetracijskih testov, je skok na angažma rdece ekipe kot testiranje protivlomnega alarma, medtem ko so vhodna vrata na stežaj odprta.

Prakticno priporocilo

Vecini organizacij, s katerimi sodelujem, priporocam, da zacnejo z rednim penetracijskim testiranjem, cetrtletno ali polletno, za izgradnjo mocne varnostne osnove. Ko imate zrel program upravljanja ranljivosti, funkcionalno spremljanje in zmogljivost odziva na incidente, bo angažma rdece ekipe prinesel smiselne vpoglede. Videl sem organizacije, ki so poskusale preskociti korake, in rezultat je vedno enak: rdeca ekipa najde osnovne tezave, ki bi jih penetracijski test odkril za del cene. Vložite v pravo storitev za vaso trenutno raven zrelosti in vas varnostni program se bo izboljsal bistveno ucinkoviteje.