題:
作為一家公司,我們如何防止滲透測試人員破壞我們的系統?
Pippo Pluto
2020-05-03 21:49:10 UTC
view on stackexchange narkive permalink

公司可以使用哪些工具或技術來防止滲透測試人員惡意行為和洩露數據或破壞系統?我無法想像公司使用的唯一保護是合同保護。

將它們視為高級計算機鎖匠。他們是您聘請測試“鎖”的好人。您不是要雇用實際的竊賊(我希望)。
如果您願意,您可以隨時對其進行監督,但這將非常昂貴。同樣,如果您不授予他們特權訪問權限,則您基本上必須擔心壞人還是會這樣做。您還可以讓他們檢查其他環境,但這可能不會給您帶來您所關心的生產系統的缺點,
作為房主,如何防止水管工使熱水器漏水?
聘用滲透測試人員的目的是避免違規行為。當他們成功破壞您的安全性時,與您沒有合同的其他人則面臨更嚴重的威脅。當您的安全性足夠好時,根本就沒有威脅。要獲得實際建議,請:查看所僱用滲透測試人員的聲譽。他們以前為誰工作?他們是如何進入企業的,對他們的了解是什麼?
您再僱用@fraxinus,僱用兩名管道工,他們將檢查第一個管道工是否正確完成了所有工作。還是你們告訴我,如果國家安全局需要修理水龍頭,*任何*水管工都會受到信任,只是因為嘿,他是水管工,他知道自己在做什麼,我們應該信任他嗎?OP提出的問題並不像最初聽起來那樣愚蠢。
@reed最初的問題實質上是,我需要雇人來測試我的安全性。如何防止他們滲透我的安全?答案是僱用其他人來測試我的安全性嗎?以及我們如何防止這個新組織滲透到我的安全中?烏龜一直降下來嗎?還是您相信自己僱用的人的專業知識可以適當地利用他們的專業知識。
首先,@MichaelRichardson在我看來也聽起來像是一個愚蠢的問題。但是,如果您考慮一下,OP可能真正要問的是:如果我真的很擔心我的數據的安全性,我是否應該僅僅因為這是他們的工作而盲目地信任一個pentester?然後,至少,談論檢查簡歷/簡歷,請求安全檢查,獲得保險等是有意義的(例如,參見匿名者的回答)。
@reed既然您信任其他所有人,那麼您也可能會信任下一個月期。
@fraxinus我想不出管道工因熱水器漏水而獲得的任何收益。
@reed是什麼因素導致這些人員在您被雇用之前*損害了您的安全?僱用它們後,所有相同的預防因素仍然繼續適用。如果他們想造成一些損失,他們可以在簽訂合同之前就很容易做到,因此招聘活動不會帶來額外的風險,而這些風險需要進一步的緩解措施。無論如何,您將一味地信任所有您不僱用的滲透測試公司。
@Peteris,我想,與“陌生人”相比,您僱用的某人能夠收集更多的信息並更輕鬆地訪問您的系統。我還想像當您成為一個pentester時,可能會出現一些有趣的社會工程技巧。“哦,對不起,警報是在我剛測試其他東西時發出的(是的)”。您會原諒他們,並且不會進一步調查。
@DavidSchwartz,,但是誰說其他所有人應該受到信任?我同意擔心一個月的學期,然後不擔心其他任何人,這是愚蠢的。但是,OP並未表示他們信任其他所有人。
@reed恰恰相反,標準的外部滲透測試恰恰是測試(並證明)每個“陌生人”在沒有任何特權訪問或信息的情況下可以實現的目標,並且客戶的員工不應忽略任何警報-實際上,這是“唯一”區別對社會工程學嘗試的回應應該是,最後,肇事者不會因為他們的許可而入獄。如果您不做進一步調查,那就是合格的筆試會利用並記錄下來的一個過程缺陷,以便以後進行修復(例如,偽造的“出獄”信)
@Peteris:還有一個細微的差別,即付費的pentester通常追隨特定的預先約定的目標,而黑客追逐生產數據。
-1
@fraxinus這是一個毫無用處的評論
六 答案:
MechMK1
2020-05-03 23:12:39 UTC
view on stackexchange narkive permalink

您正在尋找法律問題的技術解決方案。

您擔心的主要是法律問題。滲透測試儀根據保密協議進行操作,該協議在法律上等同於“對所看到的一切保持警惕”。保密協議,簡稱NDA,是阻止滲透測試人員談論上週測試ACME Corp.時發現的酷漏洞的原因。

為什麼滲透測試人員會尊重NDA?因為不這樣做基本上會破壞他們的職業生涯。如果公司得知滲透測試人員披露了內部信息,他們將起訴筆測試人員以獲取可能高達數百萬美元的賠償。

此外,這將完全破壞筆測試人員的聲譽。 ,確保沒有人會再次僱用他們。對於滲透測試人員而言,這意味著他們花了數年或數十年的時間積累的知識基本上毫無價值。即使這個想法對道德上敗壞的筆測試者來說似乎是甜蜜的,懲罰也要嚴重得多。

此外,大多數筆測試者對讓客戶妥協沒有興趣。他們為什麼會呢?確保客戶滿意是他們的最大利益,以便他們一次又一次地僱用他們。


關於您為什麼不施加技術限制的原因有很多。首先,作為戊pent酯,您會覺得自己被當作罪犯對待。許多滲透測試者為他們所做的工作感到驕傲,並且像對待罪犯一樣對待他們只是在嘴裡留下了酸味。一個pentester知道公司有某些政策,但是如果公司超越並帶武裝警衛護送他們上廁所,只是要確保他們在途中不尋找帶有密碼的便條紙回來,他們會感到不信任。這可能而且很可能會降低士氣,並可能使一個學期的學生沒有盡其所能。

此外,荒謬的技術約束也會使筆測試者感到困難。例如,如果他們的公司提供的域帳戶在啟動Wireshark或nmap時立即被阻止,則該帳戶需要一段時間才能重新激活。這樣會阻止一個pentester啟動他們的所有工具來盡可能有效地發現漏洞,並浪費大量時間。

這對pentester和客戶都不利,並且可能導致更糟他們倆的整體經驗。

另外,當您要雇用已經採取惡意行動並找到解決方法的人員時,如果他們真的有動力違約,您只會給他們另一個挑戰,以解決他們。
可能值得添加您想要* pentester *違反的條件。因為那個人會告訴你他們是怎麼做到的。一個真正的黑客不會那麼好:)
這個答案在技術上是錯誤的(但我不會拒絕投票,我幾乎不會這樣做)。基本上,您說的是,因為有合同,所以應該信任五分之一學期,這是專業性和聲譽的問題。但是,誰告訴你,一個陰莖不是惡意的呢?您如何知道要處理的是真正的戊糖還是冒名頂替者?想像一下,打電話給水管工修理水龍頭,然后凱文·米特尼克(Kevin Mitnick)出現告訴你他是水管工。真好!因此,匿名者的答案是更正確的IMO。
另外,添加這些技術限制不僅使五分期畢業生的工作更加困難,而且使他們的報告價值降低。因為,如果您護衛他們,以確保他們不尋找開機自檢密碼(您的系統中的漏洞!),則不會在報告中顯示這些信息。而且,除非您的團隊與*每位客人*都有一名武裝警衛,否則存在一個未知的安全漏洞。您最終測試“這些漏洞是必須在[這些技術限制]下操作的黑客可用的漏洞;對於其他人來說,可能是額外的漏洞。“
@reed當然可以了,我同意匿名者提出了一些非常好的觀點。這就是為什麼人們不應該在回答一個問題後就停止閱讀
_即使這個想法對道德上敗壞的筆測試者來說似乎是甜蜜的,但懲罰卻更加嚴重。_沒關係,就是不要被抓住;
@AndrewSavinykh這是一個簡單的公式:惡意活動的收益必須大於被捕獲的懲罰乘以被捕獲的機會。如果懲罰足夠嚴厲,那麼我需要*確保自己*不會被抓到。
-1
@Arthur雖然我同意人們很難把握機會-賭博業的存在足以證明這一點-砍掉手的想法不僅僅是“嚴重懲罰”。它一次具有像徵性的意義,那就是去除犯罪的身體部位。其次,它把小偷打上了社會上其他小偷的烙印。這應有助於誠實的公民識別罪犯,並防止他們意外地與他們交往。如果聽起來很殘酷,那回去了。
@MechMK1但是那時也有扒手。知道他們會被砍掉。用切碎的手圍著他們。他們中的許多人可能已經拼死了,但威懾力並不像人們認為正確遵循您的公式那樣強大。懲罰背後有其他原因不會改變它如何計入風險回報計算中。
-1
@MechMK1您確實做了。“這是一個簡單的公式:惡意活動的收益必須大於被捕獲的懲罰乘以被捕獲的機會。”這意味著該公式之外的犯罪不會發生。有人認為,只有當我們假設完全理性的個體時,公式才有意義
我認為,應該在這個答案中增加一個方面:至少在美國,違反涉及入場考試之類的合同的條款可能不僅會產生民事責任,而且還會招致(嚴重)刑事責任。除了最明顯的CFAA之外,其他與欺詐/犯罪商業秘密/等相關的指控(州或聯邦)也是可能的(特別是如果相關損失可以要求很高的話)。 關於收益與風險:諸如此類聲譽上升或下降的領域的專家,風險還在於未來獲利豐厚的機會。
如果您有足夠的能力對滲透測試人員進行切實可行的防禦,那麼您可能不需要雇用滲透測試人員;相反,您可以自己進行所有滲透測試。
@taswyn我不是法律專家-甚至不是新手-因此,我所能做的就是提供餅乾切割器建議,以遵守適用的法律和法規。
@JeremyFriesner在大多數情況下,這是組織的“防禦”。諸如“是的,我們希望您測試該系統。否,我們不允許您的客戶端連接到它。”然後,您需要花費數小時來尋找可以欺騙,欺騙等等的客戶端的MAC。這不是沒有可能,只是惹惱了整個地獄,最終每個人的情況都變得更糟。
@MechMK1是絕對的,我不是建議您嘗試解決特定的法律,僅是法律問題(取決於管轄權)可能會導致違反民事合同可能*另外*產生刑事責任(例如,根據具體情況在CFAA法庭上進行測試並成功起訴)。滲透測試通常可能涉及未經合同約定即屬違法的行為,並且如果在合同之外行事(並且違反NDA通常會使合同無效),則可能會形成實際犯罪角度的“可能性”
Anonymous
2020-05-04 00:50:47 UTC
view on stackexchange narkive permalink

我在問公司是否可以使用某些工具和某些技術來避免滲透測試人員的惡意行為會洩露某些數據或永久性破壞系統。

您可以記錄防火牆後面的所有流量,或者整夜保持清醒狀態,觀看Wireshark的輸出,但是如果沒有技術技能,將很難理解擺在您面前的碎片。防數據丟失系統可能是您要考慮的,但是它將乾擾滲透測試,除非這正是您要測試的設備。


答案是盡職調查。僱用公司之前,請先檢查其憑據。提出問題,也要求提供樣品報告,有些服裝公司只需要在模板表上運行自動掃描和勾選框即可。這不是我們想要的。我們需要的是才華橫溢的測試人員,他們應該跳出思路,根據自己的偵察工作(大多是自動化的)來設計原始手動攻擊。好的滲透測試應該是量身定制的操作,而不是千篇一律的練習。

我不會與不提供樣本報告(當然是經過整理的報告)的公司開展業務。
我最大的擔心不是誠實,而是缺乏能力,這意味著您要為無用的交付物付費。
這是我的第一個過濾器。在我看來,售票公司不道德,因為它故意提供可疑價值的服務。可能總比沒有好,但您想要物有所值。

我不記得有一個滲透測試公司的實例被用於犯罪行為。但是,已經有人起訴了一些“瀆職”行為。例如:親和遊戲vs Trustwave

合同應明確允許什麼和不允許什麼。確保沒有誤會,並且僱用您的人具有完全的權限。可能出了什麼問題: Iowa vs Coalfire

當然,想要闖入您系統的“流氓滲透測試人員”(oxymoron)不會徵求您的許可,以進行測試和然後超出分配範圍。他們只會邀請自己。

不知道您是否是其中之一,但是某些公司/政府機構需要安全許可。這就稍微提高了標準:重罪犯不太可能獲得許可。像斯諾登先生這樣的例外,不存在0%的風險。

如果您的公司參與令人反感的活動,破壞環境,向暴君出售武器,那麼您可能會合理地擔心吹哨。這是一個難題-您擁有敏感信息,並且希望對其保密,但是為了保護它,您必須允許外部人員訪問它。您應該選擇一個在您的活動領域與公司合作有經驗並且對您的工作感到滿意的提供商。也許您的貿易機構或業務合作夥伴可以提供建議。口耳相傳。

如果您認為您的公司在發生數據洩露(偶然或其他情況)的情況下可能遭受財務損失/罰款,請與您的保險聯繫>公司。順便說一下,滲透測試公司也應該有責任保險。這是一個要問的問題。

違反是生活中的事實。幾乎所有公司都至少被黑客入侵過一次,或者將來會被黑客入侵。這是要考慮的事情。無論您是否決定繼續進行滲透測試,都應該準備好災難恢復計劃。我認為這是個好主意:如果至少出現問題,則可以證明您已做出合理的努力來防止違規。被發現存在過失的公司可能會受到以下方面的製裁:監管罰款,訴訟,消費者強烈反對,負面媒體曝光,股東反抗等。

也許將Affinity Gaming vs Trustwave網站更改為非付費觀看文章?
奇怪,我昨天沒有付費專區,沒有看完這篇文章。我將放置另一個鏈接。
如果您不是有權訪問包含上述許可證據的系統的組織,則實際上不需要進行安全許可。您可能還想考慮,要求具有安全許可的顧問可能會誘使供應商向您收取需要許可的顧問的費率,這將大大高於不需要並具有同等能力和道德的顧問的費率獲得許可,包括完全沒有參與許可項目的完全相同的顧問。
Beurtschipper
2020-05-04 02:56:24 UTC
view on stackexchange narkive permalink

如果要開發產品,則應該有一個具有不同環境的SDLC管道,例如DTAP,在該環境中應該有滲透測試人員在驗收環境中進行測試。保持環境與生產完全分離是一種安全性最佳實踐。因此,您的驗收環境應該是生產環境的功能副本,但不應包含生產憑證,來自用戶的數據,與生產環境的連接等。

通常為公司創建驗收環境網絡和服務器級別的挑戰。如果是這種情況,您可以大聲說他們應該在碰到生產系統時立即停止。如果滲透測試人員確實設法在某個地方找到生產憑證,或者意外地入侵了生產服務器,那麼您就像是發生了真正的違規行為-除了報警外-更改登錄憑證/監視服務器等。

這是可行的一種好方法,但值得注意的是,測試環境和實時環境之間的差異可能意味著筆式測試無法在測試環境中找到在實時環境中可能發現的東西。最明顯的是,測試環境沒有用戶,因此依賴於用戶操作或錯誤的攻擊可能無法正常工作。
確實,驗收並不一定總是生產的精確副本,但是在驗收環境中執行安全性測試是最佳實踐,並且在該領域中最為常見。測試環境沒有用戶的想法是完全錯誤的。實際上,有時創建測試帳戶比生產帳戶更容易。測試生產環境的一種時髦方法是分配紅隊。
當我說用戶時,我並不是說用戶帳戶,而是人類,他們通常是安全系統中最薄弱的部分。
為了測試生產中的用戶行為,除了正常的筆測外,您通常還執行社交工程和/或網絡釣魚測試。正確保護系統的全部要點是,即使某些用戶搞砸了,安全性仍然成立。如果您的主要防線是擁有精明的用戶,那麼您的設計就不會一開始。現代的滲透測試會考慮到這一點,除非明確界定範圍,否則不會打擾用戶。
@James_pic我已經看到了滲透最嚴重的情況,這些情況始於受到破壞的用戶帳戶-因為這是一個合理的假設,即無論公司做什麼,任何大小適中的公司*都會*有人參加魚叉式廣告活動,因此您不需要因為您已經知道魚尾網狀網絡是否有風險,所以要測試您的用戶,因為您已經知道了這一點,但是您想測試所有“其他”安全性和檢測措施,以通過受到威脅的低特權用戶計算機進行攻擊。如果橫向移動或升級需要合理的用戶交互,則可以由客戶模擬。
唯一在這裡“回答問題”的答案,而不是費力地說明自己的重要性。OP,您的問題並不愚蠢,就像其他人暗示的那樣。您沒有選擇此答案作為正確答案,我感到有些驚訝。
Jacopo
2020-05-05 16:27:20 UTC
view on stackexchange narkive permalink

概念/合同方面已包含在其他答案中,這非常重要。

但是,還有技術方面,尤其是在“最壞情況”方面影響”,並限制不必要的訪問。公司應該為滲透測試做好準備。

下面是一些示例:

  • 應該可以在不訪問無關係統Y的情況下測試系統X。

    這聽起來似乎很明顯,但是許多公司為員工提供了一個單一的登錄系統,該系統可以訪問所有系統-換句話說,X的測試憑據也可以訪問Y ,Z等。

    相反,該公司應該能夠發行“受限訪問”令牌。在設計憑據系統時,即使一開始沒用(很少有員工,每個人通常都是受信任的...),也應該添加此要求。

  • 應該在再說一次 realistic 環境

    ,聽起來似乎很明顯,但是...您的測試環境中是否包含現實數據/腳本/程序/等?你有自動發電機嗎?是否涵蓋了所有有趣的案例?如果不是,那麼對真實數據進行快照和匿名化是否可行?

    令人驚訝的是,您的測試系統應該比真正的系統更完整 –您應該添加所有棘手的案例請記住,即使您還沒有真正接觸過它們。

  • 應該事先確定通信線路和期望

    萬一遇到麻煩,滲透測試者應該聯繫誰?您準備好快速恢復測試(或生產!)系統並將其備份嗎?

    您是否希望盡快發現關鍵問題?您要在測試進行時修補系統嗎?您是否希望嘗試持久性?跨服務器攻擊/“橫向移動”?社會工程學?

    更棘手的是:滲透測試者是否應該閱讀可疑數據,他們可以確認情況嗎? (“正在測試數據,請繼續”與“我們不希望此數據存在/可以訪問,請立即停止”)

  • 其中包含什麼範圍?緊密相關:您的威脅模型是什麼?

    雖然您可以要求滲透測試人員“弄清楚”它,但這可能不是您想要的-記住,結果需要有用來並代表您的安全邊界。

    通常最好與滲透測試者一起弄清楚這一點,並準備在努力中不斷發展

沒有人真正想要處理意外損壞或隱私影響的後果。
我不確定無法訪問系統Y的測試系統X與滲透測試之間的關係。如果有人破壞了您的系統,並且可以通過系統X訪問不相關的系統Y,那麼您就應該知道這一點。如果有的話,訪問不相關的系統就是大多數違反行為的發生方式。
那將是跨服務器的攻擊(“橫向運動”)。我主要是指訪問憑證。例如,假設我們正在完善銷售跟踪系統:滲透測試人員將需要某種形式的訪問憑證。我們可以限制那個嗎?還是我們必須提供一個可以訪問所有系統(電子郵件,HR,文件共享等)的公司範圍的員工帳戶?有時,公司會進行“廣泛”的滲透測試,所有東西都在範圍之內,但最常見的範圍是有限的-以這種方式思考:滲透測試者的時間有限,您希望他們在哪裡度過?您應該承擔不必要的風險嗎?
您為什麼要給他們訪問憑證?他們的工作是弄清楚如何從無憑據開始獲取訪問權限。無論這是服務器中的漏洞,網絡釣魚電子郵件,某種其他形式的社會工程手段,等等。如果您具有訪問憑據,則您已經在密閉的艙口中。
好吧,有很多艙口:)要求“偵察風格”的測試是有效的:從零開始,找到憑證或其他訪問方式(有時,找到站點本身:D)。但是,查看經過身份驗證的用戶可以做什麼,存在哪些風險等也很重要。例如,員工可以合法登錄HR系統並查看自己的頁面,但通常不能看到其他人或他人的信息。編輯超出政策允許範圍的自己的信息。
Kerry
2020-05-21 13:44:14 UTC
view on stackexchange narkive permalink

問題當然是轉彎的:如果您可以阻止測試人員進行某些訪問,那麼您肯定會阻止外國人/攻擊者訪問此文件。因此,使五分之一個月的訪問者所採取的措施完全是您已經到位並想要測試。沒什麼區別。

唯一可能的選擇是讓滲透測試人員去往從您的產品環境中復制的專用測試環境,但是沒有實時數據,這當然會增加成本,並且您會冒險克隆的細節可能會有所不同並稀釋結果。對此進行的比較溫和的修改可能是僅切斷最有價值的IP和數據數據庫/ NAS等,或將虛擬數據庫附加到產品系統中。

您的問題更多是關於對您所關注問題的風險處理的問題,這些問題應由第三方風險管理中定義的適當條款涵蓋:

  • 進行風險分析,以識別實際的風險潛力/價值;這不僅應涵蓋數據洩漏,還應涵蓋鏈接的信譽破壞,可能的服務中斷(它們是否可能在測試期間關閉您的生產或Web站點/商店?)等。
  • 確定可能的提供者(Pentesters)並執行適當的盡職調查/研究。您最關心的是對參與方的信任,因此您需要建立/獲得信任,並確保這種信任是建立在事實之上的。
  • 請僅使用我們自己所掌握的五分錢!如果發生某種情況,您需要能夠在您同意的管轄範圍內將它們送達法院,並且如果測試人員那裡沒有合法實體,這種情況就會消失。
  • 定義要執行的測試的(合法)邊界
  • ,最重要的是:在適當的賠償責任條款中定義合同中的法律後果(通常會忘記這一點-人們只同意做什麼或不做什麼,但不弄清楚發生了什麼(如果違反),取消權,付款 變體和罰款。

作為滲透測試之後證明洩漏的實際數據洩漏問題的另一種措施,您可以在實際數據中添加一些蜜罐數據在筆試時間。因此,如果存在洩漏並且其中包含蜜罐數據,則可以更好地證明數據洩漏實際上來自滲透測試。

dmaynor
2020-05-20 19:36:22 UTC
view on stackexchange narkive permalink

您在問錯問題。滲透測試人員通過模擬攻擊者的行為來測試安全性。如果您比惡意行為者更擔心滲透者竊取您的數據,我建議您重新考慮您的安全體系結構。

在安全的環境中,應該有“深度防禦”,其中具有多個安全控制措施,以防萬一發生故障時提供冗餘。控件可以是技術(如防火牆,IPS,EDR),策略(請勿在外部系統上使用您公司的信譽)或用戶培訓(請勿單擊該網絡釣魚鏈接)。多個控件應旨在捕獲任何惡意行為。進行滲透測試的目的是找出沒有多個控件或任何控件的空白。找到這些差距之後,就可以採取補救措施,以更多技術,程序或用戶意識培訓的形式實施其他控件。

沉迷不應是對抗性的。滲透測試人員和管理員/安全團隊應該進行良好的協作。

這裡有一些錯誤的前提。“如果您比惡意行為者更擔心滲透者竊取您的數據,” –沒有證據表明這一點。有人可能會破解弱鎖與邀請他人嘗試破解鎖之間是有區別的。“沉思不應該是對抗性的。”-OP並非建議您進行對抗,而是進行正常的盡職調查。您不承認有*可能有*惡意滲透測試者(實際上是一回事),並且假設僱用五分之一債務者沒有風險(如果有)。


該問答將自動從英語翻譯而來。原始內容可在stackexchange上找到,我們感謝它分發的cc by-sa 4.0許可。
Loading...