Назад | Перейти на главную страницу

Стоит ли нанимать хакера для тестирования моих серверов на проникновение?

Я работаю в небольшой ИТ-компании с параноидальными клиентами, поэтому безопасность всегда была для нас важным фактором. В прошлом мы уже заказывали тестирование на проникновение в двух независимых компаниях, специализирующихся в этой области (Дионах и GSS). Мы также провели несколько автоматических тестов на проникновение с помощью Nessus.

Эти два аудитора получили много инсайдерской информации и почти ничего не нашли * ...

Хотя приятно думать, что наша система совершенно безопасна (и было, конечно, удобно показывать эти отчеты нашим клиентам, когда они выполняли свою работу по комплексной проверке), мне трудно поверить, что мы создали совершенно безопасную систему. , особенно с учетом того, что у нас нет специалиста по безопасности в нашей компании (безопасность всегда была проблемой, и мы полностью параноики, что помогает, но это далеко не все!)

Если хакеры могут взломать компании, в которых, вероятно, работает хотя бы несколько человек, единственная задача которых - обеспечить конфиденциальность их данных, они наверняка могут взломать наш малый бизнес, верно?

Есть ли у кого-нибудь опыт найма «этичного хакера»? Как его найти? Сколько это будет стоить?


* Единственная рекомендация, которую они нам дали, заключалась в том, чтобы обновить наши протоколы удаленного рабочего стола на двух серверах Windows, к которым они могли получить доступ только потому, что мы дали им правильный нестандартный порт и добавили их IP-адреса в белый список.

Хорошо, что вы думаете о безопасности, но не существует такой вещи, как "надежная система". Современная практика обеспечения безопасности предполагает изоляцию серверов, поэтому нарушения должны быть локализованы, а не предотвращены. Все веб-серверы и другие удаленно доступные серверы должны быть размещены в изолированной DMZ, которая имеет только ограниченный набор данных (т.е. как можно меньше для выполнения поставленной задачи).

Лучший совет по безопасности - действовать и планировать так, как будто серверы с удаленно доступными службами уже скомпрометированы. Что касается внутренних данных, защитите свои самые важные активы, чтобы только люди, у которых есть должность, требующая доступа к ним, могли получить к ним доступ, и у них не было возможности получить доступ к данным за пределами предприятия или загрузить их все на USB-ключ .

Безопасность - это соотношение затрат и выгод, установка защищенных систем требует больших затрат, и вам следует добавлять дополнительные меры безопасности только тогда, когда они необходимы. Установка сканеров сетчатки глаза, ловушек для людей, клавиатур и т. Д., Чтобы попасть в ваш офис, будет пустой тратой денег, если только внутри нет чего-то, о чем вам действительно нужно опасаться. Тратить деньги на безопасность, чтобы попытаться уменьшить свое "чувство" паранойи, - нехорошие траты. Потратьте их на риск того, что вас взломают, и на удар, если вы это сделаете.

Делайте все возможное с вашими сервисами: как можно меньше открытых портов с минимальным количеством сервисов. Держите их в актуальном состоянии. Следите за списками рассылки по безопасности и сообщениями об ошибках в используемом вами программном обеспечении. Прочтите руководства по усилению защиты для веб-серверов.

Как правило, более экономически выгоднее сосредоточиться на изоляции и обнаружении, чем на предотвращении. Продукты IDS или анализаторы журналов могут быть здесь действительно полезны.

По большей части я работаю в компании, НУЖДАЮЩЕЙСЯ в очень высоком уровне безопасности и имеющей все необходимое для этого. Таким образом, у них есть «белые шляпы» и «черные шляпы», первые - это сотрудники, которые проектируют, внедряют и тестируют системы безопасности в определенных пределах. Последние - внешние ребята, которые являются реформированные взломщики, некоторые из которых имеют судимости, почти все активно участвуют в проектах с открытым исходным кодом с точки зрения безопасности. Две команды абсолютно никогда общаются друг с другом, и личности «черных шляп» известны очень немногим. Каждому из них поручено делать все, что им нравится, и любым способом, который им нравится, в любое время и против любого сайта, которым владеет компания, их единственная обязанность - немедленно сообщить компании, когда они обнаружат проблемы, в идеале с решениями по их устранению, если они доступны.

Я знаю, что это звучит чрезмерно, но это политика / тактика, используемая во всем мире организациями определенного размера / ответственности, и если вы можете себе это позволить, и если вы можете их найти, я предлагаю вам серьезно рассмотреть этот подход.

Я думаю, вы удивитесь, насколько плохи некоторые специалисты по "безопасности". Считайте себя удачливым, что вас не сбили с пути такие драгоценные камни, как

"ваши сетевые порты не открыты, поэтому мы не можем сканировать вас, поэтому вам нужно открыть серверы, чтобы мы могли сканировать"

или

мастера безопасности: «вы не можете использовать sslv2, это небезопасно» IT: », но единственными вариантами являются SSL и открытый текст« Безопасность: «по крайней мере, открытый текст не имеет уязвимостей»

Если у вас есть две разные фирмы, которые проводят аудит, и обе думают, что у вас все в порядке, я бы не стал нанимать еще третью. Единственное, что я бы изменил, - это учитывать, есть ли у поставщиков вашей ОС служба аудита безопасности.

И мой личный фаворит

Безопасность: «мы можем сканировать только блоки UNIX, ни один из окон Windows, о которых вы нам сказали, не ответит на любой порт» ИТ: да, мы используем изоляцию домена, чтобы запретить доступ к системам, не присоединенным к домену. Безопасность: этого нет в рекомендациях NIST, вам придется отключить это, это небезопасно "

Как человек, который провел сотни тестов на проникновение для организаций, входящих в Fortune и FTSE 100, а также для очень небольших местных компаний, у меня для вас есть следующее:

Вообще говоря, вы поступаете правильно в отношении тестирования на проникновение с точки зрения использования хорошо известных внешних компаний, чтобы узнать, к чему они могут получить доступ, однако наиболее подходящий способ сделать это:

  • Понять свои угрозы
  • Изучите свой профиль риска
  • Определите свои потребности в контроле - на основе ваших параноидальных клиентов и т. Д.
  • Создайте технический контроль для удовлетворения этих потребностей
  • Используйте тестирование на проникновение, чтобы подтвердить правильность внедрения средств управления

Вам следует запланировать использование различных компаний или их ротацию. Я склоняюсь к тому, чтобы люди использовали панель из 4 или более человек, поскольку у каждой есть своя специализация и особый опыт.

Вы никогда не будете в безопасности, но вы можете добиться «достаточной безопасности» на основе профиля риска, который ваша компания желает принять. Не думайте, что из-за вашего маленького роста вы не являетесь мишенью - нынешние структуры организованной преступности продают методологии эксплойтов от успешных хакерских атак крупных организаций вниз, и если вы находитесь в Интернете, вы становитесь мишенью, нравится вам это или нет.

Различные вопросы по security.stackexchange.com рассмотрели этот вопрос, поэтому стоит взглянуть на него.

Лично я бы включил программное обеспечение для использования, такое как Nessus, о котором вы упомянули, и, возможно, Tripwire и необходимые системы аудита, и попросил бы кого-нибудь регулярно просматривать журналы или иметь программу для синтаксического анализа и предупреждения на основе указанных журналов. Я думаю, что более чем вероятно, что вы столкнетесь с необходимостью соответствовать стандартам, что не обязательно означает хорошую безопасность. Я бы сосредоточил свое внимание на возможности обнаруживать и проверять доступ к вашим системам. Однако я хотел бы отметить, что вы не упомянули, что вы делаете для систем предотвращения или обнаружения вторжений?

Эммм ... Уже было сказано, что вы, наверное, сделали все необходимое. Опять же, насколько параноиком вам нужно - повторюсь, НУЖНО - быть?

Рискуя оказаться слишком простым, большая часть проникновения достигается только после того, как будет раскрыт соответствующий пароль. То, что:

а) многие пароли слишком простые, используются только потому, что начальник говорит, что это необходимо. Классическим примером является средство устранения неполадок ИТ, использующее пароль «test».

б) большая часть (но не все) проникновения теперь обходят испытанный и верный подкуп / шантаж и используют электронные методы получения пароля - но вы не сможете проникнуть, пока пароль не будет введен.

Я полагаю, ваше оборудование защищено от проникновения? Одна из известных мне марок компьютеров, возможно, и другие, имеет удобно расположенную стойку с двухпозиционным переключателем, которую можно использовать для отключения пароля входа и пароля BIOS ...

Лично я предполагаю, что рано или поздно в меня проникнут, поэтому я проверяю, могу ли я обнаружить любое вторжение и продолжить после проникновения. Вы сделали резервную копию?

Вам нужно нанять хакера? Я так не верю. Кроме того, как определить, какого хакера стоит нанять? Посмотрим правде в глаза, это не тот благородный человек, на слово которого можно положиться, поэтому то, что они говорят вам, насколько они хороши, не означает, что они действительно хороши.

Давайте начнем с основной посылки: не существует такой вещи, как публичная система, в которую невозможно проникнуть. Тем не менее, существует множество систем, которые противостоят всем, кроме самых стойких и преданных атак.

На самом деле речь идет не об абсолютной безопасности, а о рисках и вашей способности обнаруживать атаки и восстанавливаться после них. Очевидно, что резервное копирование абсолютно необходимо. Как и периодические тестовые восстановления для проверки этих резервных копий.

IDS должна предупреждать вас о попытках взлома, хотя вы должны помнить о том, что любая система, подключенная к Интернету, может быть атакована, что приводит к появлению такого количества предупреждений, что вам нужно иметь возможность игнорировать подавляющее большинство и сосредоточиться на тех, которые из ряда вон выходящего, так как это то, что, скорее всего, укажет на кого-то лучше, чем типичный полудумный скрипач.

Система типа Tripwire, которая может принимать любую выбранную вами форму, имеет большое значение для обнаружения атаки, после чего система должна быть отключена и проанализирована, чтобы определить, как произошла атака, до того, как система будет восстановлена ​​из заведомо исправного резервное копирование, без попытки просто восстановить скомпрометированную систему, поскольку это урок бесполезности.

Все приведенные выше ответы действительно хороши, и по многим вопросам нет реального однозначного способа ответить на этот вопрос: да или нет.

Я работаю с малыми предприятиями, чтобы защитить их среду, и в целом выполнение «Оценки уязвимости» или прямого теста на проникновение обычно не дает большого количества информации, которую вы не могли или, вероятно, уже получили сами. Сканеры - отличная НАЧАЛЬНАЯ точка. Но если все просто основано на результатах сканирования, я бы сказал, что вы определенно не окупаете свои деньги.

Если вы нанимаете стороннюю компанию для проведения пентеста / аудита / оценки или как вы хотите это называть, вам следует нанимать людей, которые могут сделать больше, чем просто сканер $. Они не являются защитой от дурака, и, судя по моему опыту, существует множество ложных срабатываний, которые требуется человеку для правильной интерпретации.

На мой взгляд, пентест в стиле черного ящика, который хотят использовать многие компании, не предоставит много информации, которая вам нужна. Например, давайте просто скажем, что злоумышленник ДЕЙСТВИТЕЛЬНО во что бы то ни стало проникает в вашу сеть. Могут ли они обойти элементы управления, чтобы развернуться в другом месте? Что, если злоумышленник получит доступ к компьютеру службы поддержки клиентов или компьютеру подрядчика. Могут ли они перейти на другие области компании? Если да, то что они видят? Могут ли они добраться до резервных копий? Производственные данные? Бухгалтерская информация?

И если социальная инженерия не является частью взаимодействия, тогда вы оставляете огромную дыру в поверхности угрозы компании.

Работая в небольшой ИТ-компании, трудно получить бюджет на внешний аудит, особенно если нет отраслевых нормативных требований, требующих ежегодного аудита.

Подумайте о следующих вещах

  • Как мы обнаруживаем вредоносную активность в нашей компании?
  • Узнаем ли мы, использует ли кто-нибудь инструменты против наших серверов? Сайты?
  • Хранят ли сотрудники на своих компьютерах пароли в виде обычного текста? (вероятно, гораздо более распространены, чем вы думаете).
  • Можем ли мы проверить, что сотрудники делают в нашей сети?
  • Если бы нам пришлось полностью стереть сервер, как быстро мы сможем его заменить?

Это всего лишь несколько вещей, которые мне не приходят в голову, но если честно, если вы не можете на них ответить, потратьте время на то, чтобы выяснить, что с ними делать. Лучше потратится.

Вы должны подходить к этому с точки зрения того, что злоумышленник сможет проникнуть внутрь вашей сети. Что вы делаете тогда? Как смягчить эту угрозу и уменьшить воздействие? Как ты вообще узнаешь?

Некоторые соображения:

Во-первых, какой цели вы пытаетесь достичь? Различные службы безопасности, такие как тесты на проникновение, оценка уязвимостей и «этические хакеры», - это не просто «покупка большей безопасности». У вас должна быть цель; Основная цель таких расходов - обнаружение уязвимостей в программном обеспечении, сетях, процессах и процедурах. Это важно: чтобы аудит, оценка или тестирование повысили вашу безопасность, вам необходимо: сделай что-нибудь о выводах. Это почти всегда означает, что нужно тратить больше денег на программное обеспечение, персонал или страховку. В вашем штате должен быть человек, отвечающий за безопасность; они должны обладать техническими навыками, чтобы при необходимости называть чушью поставщиков средств безопасности, и честностью, чтобы отслеживать уязвимости и выступать за улучшения безопасности во всех сферах вашего бизнеса.

Во-вторых, не стоит платить за информацию, которая у вас уже есть. Если вы знаете, что у вас есть конкретная проблема с безопасностью, не платите «этическому хакеру», чтобы он обнаружил ее заново. Потратьте эти деньги на решение проблемы. Если в любом случае проверка обязательна, заранее сообщите о своих известных уязвимостях. Хороший тестировщик сможет адаптировать свою оценку к неизвестным областям, чтобы максимизировать ваши вложения. Для максимального охвата рассмотрите возможность чередования типов оценивания. Проведите внешний тест на проникновение методом черного ящика, затем внутренний тест, имитирующий недовольного сотрудника, затем целевой тест белого / серого ящика ваших наиболее важных систем и т. Д.

В-третьих, инвестируйте большую часть своего времени и усилий в тест. перед такое случается. Изучите поставщика услуг безопасности, в том числе проверьте ссылки, а не только сертификаты. Есть много мошенничество и низкорослые рабочие там. Попросите показать примеры их отчетов. Если это не требующая действий информация, зачем за нее платить? Попросите показать их методику тестирования. Если они откажутся, отпустите. Если у них нет повторяемого процесса, вы не можете быть уверены в тщательном тестировании. Сканирование уязвимостей с помощью Nessus или Retina не является тестом на проникновение; не платите высокие цены за дешевые услуги. Принимайте активное участие в согласовании объема тестирования. Чем больше вы освободите руки команде тестирования, тем лучше и реалистичнее вы получите результаты.

В-четвертых, при тестировании на проникновение убедитесь, что вы платите за тест, имитирующий реальную угрозу. Дэн Гвидо из След битов провел отличное исследование защиты, основанной на разведке, - зная угрозы, с которыми сталкивается ваша организация, и оптимизирует вашу защиту от них, а не просто тратит деньги на то, что делают все остальные. Проверьте их документы на Exploit Intelligence Project и математика атакующего. Это достаточно просто, чтобы вы могли провести предварительный анализ самостоятельно, а затем использовать его для проверки утверждений команд, которые пытаются продать вам свои услуги. Trail of Bits даже предлагает консультации в этой и других областях. (Я никак не связан с Trail of Bits)

Наконец, не поддавайтесь шумихе вокруг слова «хакер», особенно с добавлением «этической» части. Существуют сертификаты, указывающие на некоторый базовый уровень навыков, но мнения в отрасли сильно различаются; пусть «этичность» будет продемонстрирована поведением человека и отзывами, а не сертификатом. Человеку НЕ нужно «реформироваться», чтобы иметь навыки; не освобождайте кого-либо в этой области от каких-либо проверок биографических данных, криминальных или иных, к которым вы бы предъявили своих постоянных сотрудников. Тестирование безопасности - это не «волшебство», а плохие рабочие привычки - не «эксцентричность», присущая территории. Вы имеете право ожидать высочайшей этической ответственности и честности от ваших тестировщиков безопасности, как и от любой другой должности, если не больше.