As organizações mudam continuamente e é mais difícil do que nunca saber qual é o status atual.

Desafios da contratação de testes de penetração.

Muitas organizações estão procurando testes de penetração para ajudar a resolver o problema da incerteza, permitindo que uma equipe externa avalie a situação e forneça indicações sobre onde o foco defensivo deve ser feito, por exemplo, patching, segmentação e vulnerabilidades em geral.

A metodologia de alto nível de teste de penetração constitui: reconhecimento, descoberta, digitalização e exploração.

Infelizmente, adquirir um teste de penetração pronto para uso tem muitos desafios atribuídos a ele. Por exemplo, como cliente, existem os seguintes problemas ao adquirir um teste de penetração:

• Você não sabe necessariamente qual seria o escopo de um invasor motivado. Você pode ter ideias sobre a aparência de sua superfície de ataque, mas e quanto à shadow IT e outros ativos e serviços que você não conhece? Todos eles expõem seus riscos ao mundo exterior, como tudo o mais;

• Você não entende necessariamente como os invasores operam, portanto, você não é o melhor para definir o que os testadores de penetração de trabalho devem realizar;

E sobre os desafios que a equipe de teste de penetração tem durante os compromissos?

O escopo do trabalho é definido pelo cliente ou durante as reuniões de definição do escopo. No entanto, não é assim que os invasores funcionam. Frequentemente, os testadores de penetração identificarão os ativos que gostariam de testar após o início do envolvimento, transformando-o em uma situação de aumento de escopo, tornando a situação potencialmente azeda tanto para o cliente quanto para os testadores. Essas reuniões de definição de escopo também tendem a arrastar e atrasar o processo.

• O escopo geralmente depende de quanto o cliente está disposto a investir, e a maioria das empresas não pode aceitar tudo como parte do escopo. A questão é: como você prioriza quais ativos manter no escopo e quais excluir? E qual será o preço?

• Frequentemente, o cliente deseja se concentrar em alguns aplicativos selecionados, em vez de cenários do mundo real.

Este artigo apresenta uma solução para os problemas acima. Uma proposta de mudança para uma metodologia antiga, praticada por centenas de empresas. Não é complexo e a elegância reside em sua simplicidade.

Uma maneira mais eficiente de fazer testes de penetração

Para um atacante motivado, a fase mais valiosa de um teste de penetração é o reconhecimento, descoberta e varredura. Como a fase mais valiosa, é também a fase mais negligenciada e ignorada, devido a problemas com o escopo, conforme mencionado na seção anterior. Como os invasores geralmente invadem pelo caminho menos percorrido, muitas vezes ativos não mantidos que os clientes ainda não conhecem ou não foram gerenciados adequadamente, os testadores de penetração fornecem a melhor visão geral da empresa-alvo antes de um teste de penetração.

Ao dividir um teste de penetração em duas entregas, uma em que as pegadas digitais são mapeadas e uma segunda, em que o teste de penetração real é feito, ambos os lados do envolvimento são aprimorados. Um relatório sobre as pegadas digitais, ou seja, um relatório contendo resultados dos processos de reconhecimento, descoberta e digitalização antes de iniciar um compromisso de teste de penetração, oferece um valor incrível de muitas maneiras.

Vejamos alguns dos grandes benefícios de fazer uma entrega de várias partes de um teste de penetração, fornecendo os resultados de reconhecimento, descoberta e digitalização em um relatório separado.

O cliente poderá selecionar e escolher quais ativos considera dentro do escopo. Talvez o mais importante, o cliente será capaz de tomar uma decisão consciente sobre quais ativos não incluir no escopo. O cliente pode ter ideias sobre o que incluir no escopo, mas com o advento de um relatório de pegadas digitais, suas opiniões podem mudar.

Frequentemente, apenas fazendo OSINT (Open Source Intelligence Gathering), as vulnerabilidades são identificadas. Simplesmente procurando pelos ativos da organização de destino, você pode encontrar credenciais vazadas, informações confidenciais indexadas por mecanismos de pesquisa e sistemas que claramente não são mantidos e parecem interessantes e vulneráveis a um testador de invasão. Ao identificar as pegadas digitais de um cliente, quase todas as vezes, o cliente fica com coisas acionáveis, para consertar antes de um teste de penetração.

Permitir que o cliente tenha um retorno mais cedo sobre o investimento é ótimo e fazer com que ele conserte as vulnerabilidades mais baixas antes do início do teste de penetração também é uma boa ideia. Dessa forma, os testadores de penetração podem se concentrar nas descobertas mais avançadas e difíceis de explorar.

Fazer a divisão no contrato permite que os clientes se comprometam mais facilmente com a realização do trabalho. Fazer o reconhecimento, a descoberta e a varredura não inclui tanto esforço dos testadores de penetração, portanto, será mais barato e mais acessível para os clientes começarem a se envolver com a equipe e obter resultados acionáveis no processo.

Para organizações que desejam ter todo o escopo testado, agora é mais fácil garantir que ele de fato foi testado, já que as pegadas digitais são entregues com antecedência, também é mais fácil concordar com o preço de ter tudo no escopo.

Finalmente, ter uma terceira parte propondo sua compreensão da superfície de ataque de uma organização é muito valioso. Também é muito mais conveniente para os testadores de penetração enquanto fazem seu trabalho. Menos variação do escopo, uma melhor compreensão do escopo do trabalho e até mesmo a oportunidade de contratos de preço fixo são vantagens para todas as partes envolvidas.

O que deve conter um relatório sobre as pegadas digitais?

O relatório pode conter muitas coisas, desde servidores, serviços, tecnologias, credenciais vazadas e muito mais. Nesta seção, descreverei os diferentes elementos que você pode adicionar a esse relatório. Vou deixar para você o tipo de design e apresentação que você escolherá.

Resumo Técnico

Comece com o lado direito para cima; os fatos e descobertas mais importantes das atividades. Pode não ser muito, mas se houver algo, liste aqui. Descobertas típicas para incluir aqui também seriam coisas como:

• Domínios maliciosos identificados, por exemplo domínios de phishing e domínios semelhantes;

• Quaisquer vulnerabilidades identificadas, mesmo que nenhuma atividade de teste de penetração tenha sido realizada ainda, às vezes você mesmo assim encontra vulnerabilidades;

• Todas as credenciais vazadas que foram encontradas;

• Qualquer outra informação que possa ser usada contra a empresa no caso de um ataque de hacker.

Você deseja compartilhar o máximo de informações acionáveis que puder. O que a empresa pode fazer para se preparar melhor para um teste de penetração de entrada? Também é uma boa ideia incluir algumas estatísticas nesta seção, resumindo o que foi identificado como a superfície de ataque total.

Visão geral do ativo do servidor

É aqui que você deseja produzir uma visão geral agradável e detalhada de todos os domínios e endereços IP que encontrar e que hospedam serviços para a empresa-alvo. Eu gosto de dividir isso em uma visão geral de:

• Provedor, por exemplo Amazon, Telenor, Rackspace

  • Endereço de IP

  • Domínio

  • Comentário do testador

  • Tamanho estimado

Em cada provedor, eu listaria todos os diferentes endereços IP e domínios, se aplicável. Os comentários ajudam o testador de penetração a fornecer valor em como eles consideram a superfície de ataque do sistema. Em termos de estimativa de tamanho, sugiro que você estabeleça uma forma qualitativa de definir se um ativo é considerado micro, pequeno, médio, grande ou extragrande. Isso pode ser usado para fornecer esquemas de preços fixos, se for isso que sua equipe e cliente preferem.

O código de cores também pode ajudar aqui. Por exemplo. marcar os ativos em vermelho, amarelo, verde ou branco para determinar o grau de importância ou prioridade do ativo para ser incluído no escopo. Isso pode ser usado como um documento de trabalho entre você e seu cliente para encontrar o escopo apropriado.

Emails e dados pessoais

Nesta seção, gosto de destacar algumas coisas. Em primeiro lugar, quero listar os colaboradores da empresa, seus e-mails e que tipo de função eles desempenham na empresa. Eu divido as funções em 3 áreas diferentes, cada uma com seu próprio tipo de superfície de ataque e deve ser tratada de forma diferente nos ataques:

Gestão e funções relacionadas à gestão, por exemplo assistentes executivos.

• TI, desenvolvedores, segurança e pessoal semelhante;

• Recepcionistas, suporte ao cliente e outras funções de suporte;

• Outras funções não contidas nas funções anteriores.

Especialmente as funções específicas de TI têm uma superfície de ataque interessante para hackers. Você pode direcioná-los mais diretamente em termos de procura de postagens de blog, contas de estouro de pilha, repositórios de código e muito mais. Gosto de destacar as diferentes funções com códigos de cores, permitindo uma melhor visualização das funções.

Você também deseja identificar todas as contas de e-mail compartilhadas que foram identificadas e podem representar o risco de ter senhas fracas ou outras ameaças. Contas típicas que você pode encontrar são:

• entrada@

• vendas@

• publicar@

• segurança@

Você também deve fazer o seu melhor para mostrar quais contas vazaram credenciais. Dependendo do seu envolvimento, você pode estender isso para as contas privadas dos colaboradores, caso tenha identificado esses e-mails também.

Aplicações Móveis

Os aplicativos desenvolvidos e usados pela empresa também devem ser listados como parte da superfície de ataque potencial das empresas. Muitos aplicativos têm conexões diretas por meio de APIs com os ativos internos da organização ou os aplicativos apresentam riscos se as credenciais forem perdidas, por exemplo, uma solução de gerenciamento de dispositivos móveis que permite que os dispositivos sejam gerenciados sem autorização.

Contas de mídia social

Sim, eles também são considerados um vetor de ataque importante para alguns invasores. Você pode imaginar a dor de ter invasores fazendo login em sua conta de mídia social, usando a senha “CompanyName123!”, permitindo que o invasor se comunique com todos os seus 20.000 seguidores? É importante manter as contas de mídia social sob um bom bloqueio, especialmente aquelas que exigem um login específico da empresa e não estão vinculadas a outras contas de usuário individuais.

Outros

Em um relatório de pegadas digitais, você pode incluir muitas coisas, apenas certifique-se de que o que você inclui é de alta qualidade e útil para a organização de destino. Você pode descobrir informações confidenciais expostas como planos de orçamento, projetos ou configurações. Essas coisas seriam óbvias para compartilhar com o cliente.

Concluindo

Ao utilizar relações ganha / ganha entre fornecedores e clientes, podem ocorrer formas melhores e mais eficientes de teste. Se a empresa compradora pode assumir um pequeno risco ao incorporar um relatório de pegada digital antes de um teste de penetração, os contratos têm muito mais probabilidade de serem mutuamente benéficos. Integrar uma empresa para avaliar as pegadas digitais é de fato conveniente, pois você poderá testar seu fornecedor antes de usá-lo para compromissos de teste de penetração mais complexos e completos.

Este texto é uma adaptação livre do artigo publicado por Ghris Dale em:

https://www.sans.org/blog/digital-footprint-offensive-services/

Clique aqui e veja como nós podemos te ajudar na implantação de processos de testes de segurança e vulnerabilidade.