Litt bakgrunn
Penetrasjonstesting føles sannsynligvis som den mest sexy delen av sikkerhet, men det er også en veldig liten del. Det er også usedvanlig bredt. Begrepet "penetrasjonstest" brukes ofte som en paraply for å bety noe av det følgende:
- Sårbarhetsvurdering
- Sikkerhetsvurdering
- Sikkerhetsrevisjon
- Penetrasjonstest
- Social Engineering
Det kan hevdes at utnyttelsesutvikling faktisk er utenfor begrepet, selv om det i noen engasjement kan utvikles tilpasset utnyttelse.
Bare så vi er på samme side, la oss gjøre en veldig kort beskrivelse av hva jeg mener med hver av dem.
Vurdering av sårbarhet
Dette ville være den virkelige verdensversjonen av topp i vinduer og raslende dørhåndtak. I denne typen engasjement vil testeren bli gitt, eller forsøke å bestemme, arkitekturen og analysere den for svakheter. Vi ser etter hvilke tjenester som kjører, hvilke versjoner av programvaren det er, prøver å finne ut hvordan ting er konfigurert og koblet sammen, hvordan tjenestene brukes og hvilke sikkerhetsbeskyttelser som kan være på plass.
Vi tar all den informasjonen og identifiserer potensielle svakheter og rapporterer om dem. Dette kan omfatte funn relatert til utdaterte programvareversjoner, svake konfigurasjoner (for eksempel å bruke HTTP når de skal bruke HTTPS), ingen utilstrekkelig restriktive brannmurer osv.
Tanken her er å se etter problemer og rapportere om dem, for ikke å bryte inn i systemer.
Security Assessment
I de fleste tilfeller er en sikkerhetsvurdering en fullstendig sårbarhetsvurdering som følges opp med en policy- og prosedyregjennomgang. Dette vil gjøre det mulig for vurdereren å bedømme, ikke bare hvis prosedyrene er i tråd med politikken, men også om forretningsenhetens arbeidsflyt må strammes opp. Dette er viktig fordi en teknisk sårbarhetsvurdering ikke avslører om sensitive filer rutinemessig lagres i ulåste arkivskap i hovedlobbyen, eller kastes i vanlig søppel.
Sikkerhetsrevisjon
Revisjon kan være veldig lik en vurdering, med en stor forskjell. En revisjon er en streng formell test mot en forhåndsbestemt standard eller et sett med standarder. En vurdering kan bruke standarder som retningslinjer, og en vurderingsrapport vil inneholde alt vurderingsmannen føler kan være en svakhet. En revisjon er imidlertid begrenset til å TESTE KUN DET SOM DEFINERES I STANDARDEN. Hensikten her er at en revisjon er veldig formell, repeterbar og forutsigbar.
Noen revisjonsrapporter kan inneholde flere, eller informative, funn som minner mye om en vurdering. Det skal imidlertid ikke være mange av dem. De skal ikke være bindende, og de skal brukes til å informere om samsvar med den testede standarden.
Penetrasjonstesting
Dette er effektivt en grundigere form for en sårbarhetsvurdering. Når testeren har identifisert svakheter, vil de forsøke å utnytte disse svakhetene. Dette har to store fordeler:
- Det hjelper med å avgjøre om funnene i vurderingen er falske positive, for eksempel i tilfelle en programvareversjon som skal være sårbar, men som inneholder sikkerhetsoppdateringer med bakside. >
- Det tester sårbarhetene mot avbøtende kontroller.
Det er en ting å ha et funn om at selskapets ERP-løsning er et år etter på oppdateringer, det er en annen å demonstrere at det å være bak på lappene tillot en angriper å hente lønnsinformasjon.
I motsetning til en sikkerhetsvurdering vil en penetrasjonstest vanligvis ikke innebære en policy / prosedyregjennomgang.
Social Engineering
Under et sosialteknisk engasjement vil teamet ditt forsøke å konfiltre eller infiltrere organisasjon for å ex-filtrere informasjon. Dette er hvor du kommer inn på hvilke ting du ofte vil se i spionprogrammer eller filmer som joggesko. Du vil sannsynligvis gjøre dumpingdykking, prøve å opprette (eller stjele) merker, snakke deg forbi sikkerhet, posere som administrerende direktør og forsøke å overbevise helpdesk om å endre passordet osv. Dette kan eller ikke kan være inkludert som del av en penetrasjonstest.
Hva alt dette betyr for deg
Til slutt krever alle disse tingene spesifikke ferdigheter. Noen av dem er tekniske, noen av dem er personlige, noen av dem er organisatoriske. Det beste alternativet for å bryte deg inn i vurderings- / penetrasjonsfeltet er å starte et annet sted. Det er generelt slik at den beste måten å vite hvordan man skal bryte noe, er å først vite hvordan man får det til å fungere.
Folk jeg har snakket med, eller lest om, som gjør det beste, fikk start som utviklere, systemadministratorer, nettverksadministratorer eller noe lignende. La oss ikke glemme at på slutten av dagen bryter du ikke inn på en server for moro skyld. Du finner ut hvordan noe går i stykker for å fortelle klienten hva de trenger å gjøre for å fikse det. Hvis rapporten ikke kan inneholde anbefalinger om å låse TNS-lytteren, spiller det ingen rolle om du har tilgang til databasen.
Rapportering av et hack (eller potensielt hack) uten anbefalinger, bare ikke nyttig for klienten. Som sådan vil du gjøre en bjørnetjeneste for klienten, og som sådan vil det få arbeidsgiveren din til å se dårlig ut.
Så så intuitivt som det kan virke, bør du virkelig begynne et annet sted. Hold øye med ballen, skjønt. Det kan hende du kan få en jobb i Security Operations, som fungerer som en brannmuradministrator, eller som en systemadministrator for sikkerhetsapparater. Det vil absolutt hjelpe til med å komme i gang med en vurdering av vurderinger eller hendelsesrespons.