Litt bakgrunn

Penetrasjonstesting føles sannsynligvis som den mest sexy delen av sikkerhet, men det er også en veldig liten del. Det er også usedvanlig bredt. Begrepet "penetrasjonstest" brukes ofte som en paraply for å bety noe av det følgende:

• Sårbarhetsvurdering
• Sikkerhetsvurdering
• Sikkerhetsrevisjon
• Penetrasjonstest
• Social Engineering

Det kan hevdes at utnyttelsesutvikling faktisk er utenfor begrepet, selv om det i noen engasjement kan utvikles tilpasset utnyttelse.

Bare så vi er på samme side, la oss gjøre en veldig kort beskrivelse av hva jeg mener med hver av dem.

Vurdering av sårbarhet

Dette ville være den virkelige verdensversjonen av topp i vinduer og raslende dørhåndtak. I denne typen engasjement vil testeren bli gitt, eller forsøke å bestemme, arkitekturen og analysere den for svakheter. Vi ser etter hvilke tjenester som kjører, hvilke versjoner av programvaren det er, prøver å finne ut hvordan ting er konfigurert og koblet sammen, hvordan tjenestene brukes og hvilke sikkerhetsbeskyttelser som kan være på plass.

Vi tar all den informasjonen og identifiserer potensielle svakheter og rapporterer om dem. Dette kan omfatte funn relatert til utdaterte programvareversjoner, svake konfigurasjoner (for eksempel å bruke HTTP når de skal bruke HTTPS), ingen utilstrekkelig restriktive brannmurer osv.

Tanken her er å se etter problemer og rapportere om dem, for ikke å bryte inn i systemer.

Security Assessment

I de fleste tilfeller er en sikkerhetsvurdering en fullstendig sårbarhetsvurdering som følges opp med en policy- og prosedyregjennomgang. Dette vil gjøre det mulig for vurdereren å bedømme, ikke bare hvis prosedyrene er i tråd med politikken, men også om forretningsenhetens arbeidsflyt må strammes opp. Dette er viktig fordi en teknisk sårbarhetsvurdering ikke avslører om sensitive filer rutinemessig lagres i ulåste arkivskap i hovedlobbyen, eller kastes i vanlig søppel.

Sikkerhetsrevisjon

Revisjon kan være veldig lik en vurdering, med en stor forskjell. En revisjon er en streng formell test mot en forhåndsbestemt standard eller et sett med standarder. En vurdering kan bruke standarder som retningslinjer, og en vurderingsrapport vil inneholde alt vurderingsmannen føler kan være en svakhet. En revisjon er imidlertid begrenset til å TESTE KUN DET SOM DEFINERES I STANDARDEN. Hensikten her er at en revisjon er veldig formell, repeterbar og forutsigbar.

Noen revisjonsrapporter kan inneholde flere, eller informative, funn som minner mye om en vurdering. Det skal imidlertid ikke være mange av dem. De skal ikke være bindende, og de skal brukes til å informere om samsvar med den testede standarden.

Penetrasjonstesting

Dette er effektivt en grundigere form for en sårbarhetsvurdering. Når testeren har identifisert svakheter, vil de forsøke å utnytte disse svakhetene. Dette har to store fordeler:

1. Det hjelper med å avgjøre om funnene i vurderingen er falske positive, for eksempel i tilfelle en programvareversjon som skal være sårbar, men som inneholder sikkerhetsoppdateringer med bakside. >
2. Det tester sårbarhetene mot avbøtende kontroller.

Det er en ting å ha et funn om at selskapets ERP-løsning er et år etter på oppdateringer, det er en annen å demonstrere at det å være bak på lappene tillot en angriper å hente lønnsinformasjon.

I motsetning til en sikkerhetsvurdering vil en penetrasjonstest vanligvis ikke innebære en policy / prosedyregjennomgang.

Social Engineering

Under et sosialteknisk engasjement vil teamet ditt forsøke å konfiltre eller infiltrere organisasjon for å ex-filtrere informasjon. Dette er hvor du kommer inn på hvilke ting du ofte vil se i spionprogrammer eller filmer som joggesko. Du vil sannsynligvis gjøre dumpingdykking, prøve å opprette (eller stjele) merker, snakke deg forbi sikkerhet, posere som administrerende direktør og forsøke å overbevise helpdesk om å endre passordet osv. Dette kan eller ikke kan være inkludert som del av en penetrasjonstest.

Hva alt dette betyr for deg

Til slutt krever alle disse tingene spesifikke ferdigheter. Noen av dem er tekniske, noen av dem er personlige, noen av dem er organisatoriske. Det beste alternativet for å bryte deg inn i vurderings- / penetrasjonsfeltet er å starte et annet sted. Det er generelt slik at den beste måten å vite hvordan man skal bryte noe, er å først vite hvordan man får det til å fungere.

Folk jeg har snakket med, eller lest om, som gjør det beste, fikk start som utviklere, systemadministratorer, nettverksadministratorer eller noe lignende. La oss ikke glemme at på slutten av dagen bryter du ikke inn på en server for moro skyld. Du finner ut hvordan noe går i stykker for å fortelle klienten hva de trenger å gjøre for å fikse det. Hvis rapporten ikke kan inneholde anbefalinger om å låse TNS-lytteren, spiller det ingen rolle om du har tilgang til databasen.

Rapportering av et hack (eller potensielt hack) uten anbefalinger, bare ikke nyttig for klienten. Som sådan vil du gjøre en bjørnetjeneste for klienten, og som sådan vil det få arbeidsgiveren din til å se dårlig ut.

Så så intuitivt som det kan virke, bør du virkelig begynne et annet sted. Hold øye med ballen, skjønt. Det kan hende du kan få en jobb i Security Operations, som fungerer som en brannmuradministrator, eller som en systemadministrator for sikkerhetsapparater. Det vil absolutt hjelpe til med å komme i gang med en vurdering av vurderinger eller hendelsesrespons.

Når et selskap ansetter noen, er det selskapet som tar en risiko. Den ansatte kan vise seg å være en lamer. Hvis selskapet er så ELITE, vet de det allerede. Hvis de vil ansette deg, er det deres problem.

Hvis du velger å spesialisere deg i et område som en dag går ut av moten, må du lære et nytt håndverk. Eller bare skrumpe opp og dø. Ditt valg. Folk som var veldig flinke til å kjøre hestevogner, gikk ut av jobben da oljedrevne biler ble oppfunnet.

Jeg tror det vil være vanskelig for sikkerhet å være mye mindre bekymringsfull enn det er i dag. Datasikkerhetstilstanden er ganske avskyelig. Forskningsmiljøet er ganske bra, og det er mange mennesker der ute som vet hva de gjør, men det er langt flere som ikke bryr seg eller rett og slett ikke bryr seg.

I mellomtiden blir angripere mer og mer teknisk avansert, vil det bli mer og mer en risiko for bedrifter, så behovet vil bare øke. Det eneste virkelige problemet jeg kunne se skjer, er at det kan være en boble en stund da alle begynner å prøve å få sine eldre systemer sikrere, hvoretter det bare vil være vedlikehold, men det vil alltid være behov for info-sek så lenge det er IT.

Så langt som innen IT, vil ferdighetene for penetrasjonstesting være nyttige for IT og andre Info-Sec-ting generelt, så jeg ser ikke for mye av en risiko å gå inn i det. (Jeg forventer heller ikke at det vil bli en mindre del av sikkerheten når som helst i nær fremtid, men det er godt å vite at mange av ferdighetene fremdeles er nyttige.)