Teste de Invasão (Pentest) – Lidando com suas várias fases [Parte 1]

carreiraArtigo por Ed Skoudis, publicado originalmente sob o título: Dealing with the Many Stages of Pen Test Result Grief Part 1

Se você executa testes de invasão, não importa por quanto tempo, tenho certeza que já se viu nessa situação. Você executa um teste de penetração lindo – tecnicamente rigoroso, com foco no risco de negócio real, tudo embrulhado em um relatório sólido. Você não quer se gabar, mas se sente bastante orgulhoso em completar um trabalho bem feito.

E então… acontece. A equipe responsável pelo sistema alvo, as mesmas pessoas com quem você trabalhou e ajudou a se protegerem, julgam-no com uma saraivada de críticas às suas descobertas, descritas no esboço de seu relatório. Alguns pentesters ficam chocados pelo fato da equipe do sistema alvo, tanto da área de negócios quanto técnicos responsáveis ​​pelo cumprimento das conclusões do pentest, rejeitam os resultados. É quase como se eles deliberadamente não entendessem suas descobertas e os riscos associados ao negócio. Seus resultados fazem perfeito sentido para você, mas eles simplesmente não entendem, apesar de seus esforços para explicar as coisas da melhor maneira possível. E você ainda tem que transformar o seu esboço em um relatório final que será significativo para a organização alvo.

Ao longo dos anos, meus colegas e eu desenvolvemos nossas próprias metodologias de testes de invasão e técnicas de comunicação para evitar e lidar com estas situações. Nesta série de artigos vamos olhar para a variedade de respostas negativas dadas pela equipe responsável do sistema alvo, a resultados de um teste de invasão. Mais importante, nós vamos discutir como evitar esses problemas de forma proativa de maneira que você conduza o teste e relate seus resultados para que você possa rechaçá-los com antecedência. E, se eles ainda continuarem, nós vamos oferecer dicas de como responder a cada situação para que você possa ajustar o seu projeto de relatório em um relatório final realmente significativo, útil para a organização.

Nesta série de artigos, vamos apresentar cada uma dessas situações como etapas, análogas às fases de pesar que pessoas passam quando sofrem uma perda. É importante notar, porém, que nem todos os grupos na equipe do sistema alvo vão passar por todas as fases. Muitas vezes, as pessoas que leem seu relatório se fixarão em uma única fase e permanecerão lá. Com algum esforço, você pode ajudá-los na saída dessa fase em direção à melhora de postura de segurança da organização.

Em última análise, o objetivo de um teste de invasão eficaz é ajudar as organizações na melhoria de sua postura de segurança diante de ameaças do mundo real e vetores de ataque, revelando importantes riscos de negócio. No decorrer da série, retornaremos a esse conceito.

Outra observação relevante: é perfeitamente possível que a equipe do sistema alvo esteja 100% certa sobre suas próprias respostas em relação às descobertas do teste de invasão. Como um pentester, lembre-se de manter seu ego sob controle e ouvir atentamente a equipe. Sim, alguns dos impulsos deles serão apenas fases clássicas de preocupação como vamos discutir nesta série. Mas, às vezes, o que eles dizem é real e bem fundamentado. Sua inteligência em incorporar tais respostas para finalizar seu relatório neste projeto, ajustando as abordagens para testes futuros, vai fazer de você um pentester melhor.

Ah, e um último ponto antes de começar. Felizmente, sempre que questões como estas surgem, raramente se aplicam a todos os achados. Em vez disso, eles se aplicam a apenas um ou dois resultados particularmente importantes de seu teste de invasão. Assim, é extremamente improvável que você precisará usar todas as técnicas que descrevemos nesta série para cada achado. Em vez disso, você deve usá-los para os seus achados mais críticos e importantes, aqueles que precisam de ação.

OK, com este contexto, vamos começar analisando a razão mais comum para rejeitar resultados de pentests: negação.

Cursos relacionados:

banner-2-certificacao-clavis-formacao-aduitoria-teste-de-invasao-pentest
CEH-2-Clavis-Certified-Ethical-Hacker2

Fase 1: Negação

Sua chamada “vulnerabilidade” não está realmente lá. Na verdade, mesmo que a situação da qual você descreve seja ​​real (o que é duvidoso), não é realmente uma vulnerabilidade, mas sim uma característica do nosso ambiente.

Para evitar proativamente este tipo de reclamação, verifique se o relatório inclui, para cada descoberta crítica ou importante, os seguintes itens:

a) Uma descrição dos passos de ataque necessários para explorar a descoberta.

b) Uma descrição do risco do negócio (em termos de negócios), associada com o achado, especialmente como ele pode danificar os objetivos da organização, como pelo custo em dinheiro, prejudicando sua reputação, convidando uma vistoria da fiscalização etc.

c) Uma ou mais screenshots mostrando que a descoberta é real. Sua tela deve incluir anotações com setas e textos apontando para a prova na tela mostrando que a vulnerabilidade realmente existe. Dizem que uma imagem vale mais que mil palavras. Faça sua imagem realmente ilustrativa para indicar que seu achado é um problema e representa um risco de negócio.

d) Se possível, uma descrição de como outras organizações sofreram de ataques contra o problema em destaque.

Você não tem que fornecer esses itens para cada descoberta, mas é vital incluí-los em suas descobertas críticas e importantes, aquelas que você realmente acha que exigem atenção e ação de curto prazo.

Mesmo se você fornecer os itens descritos acima no seu projeto de relatório, você ainda pode enfrentar pessoas que jogam o jogo da “negação”. Se isso acontecer, eu recomendo que você verifique a qualidade de cada um dos itens na lista acima, em particular, o item (b). Além disso, certifique-se que de o item (a) forneça uma narrativa realista, passo a passo, de como uma ameaça real, do mundo real, enfrentada pela organização alvo pode explorar a situação dada para causar danos.

Além disso, se você ainda está sendo pressionado pela equipe do sistema alvo, na forma de negação, considere uma sessão de brainstorming com eles (seja pessoalmente ou por teleconferência) para discutir recomendações de mitigação diferentes. Frequentemente a negação não depende de seu achado específico, mas na dificuldade operacional na implementação e gerenciamento de suas correções recomendadas. Se for esse o caso, o brainstorming sobre esforços de remediações alternativas para corrigir a situação sendo operacionalmente sustentáveis irá ajudá-lo a alcançar seu objetivo geral de melhorar a segurança de uma forma rentável. Às vezes, você vai ter que recuar em sua recomendação original (não a sua descoberta, mas apenas a recomendação) e trabalhar com a equipe do sistema alvo para chegar a alternativas inteligentes que ainda possam mitigar a falha.

Fase 2: Nós pretendíamos fazer desse jeito

Tomamos uma decisão consciente de negócios para fazer as coisas desta maneira, e sua “descoberta” está realmente apenas ressaltando as nossas decisões. Assim, o seu trabalho não é importante, e não temos de tomar em conta a sua chamada “descoberta”; Já estava tudo no nosso plano desde o início.

Ah, sim! Este é um clássico. Para evitá-lo de forma proativa, certifique-se suas observações críticas incluem cada um dos itens que discutimos em nosso segmento “negação” acima. Mesmo assim, isso ainda pode persistir depois da entrega do seu projeto de relatório. Quando confrontado com este tipo de resposta, lembre-se de manter a calma e ser solidário. Deixe-os saber que você está feliz em saber que eles anteciparam esta situação, e que o pentest a confirmou. Eu gosto de usar frases como: “É bom ver que estamos na mesma página então” e “Excelente. Vamos trabalhar juntos para chegar a uma boa estratégia de mitigação que funciona para vocês.”

Então, como antes, monte uma narrativa passo a passo mostrando como uma ameaça real pode explorar esta situação, causando danos de negócios para a organização. Sugira um brainstorming para diferentes táticas de remediação. Com esta resposta, é mais provável do que nunca que a organização realmente precise de ajuda para encontrar um plano de remediação que possa operacionalizar. Seu trabalho como um pentester é ajudá-los a encontrar uma forma prática para impedir as táticas que você usou. Às vezes ouço, a partir de pentesters, esta opinião: “Olha, eu sou um cara ofensivo. Como diabos eu sei o que fazer para se defender contra essas coisas?” Acho que essa atitude é apenas uma desculpa ou evasão, e eu retruco de volta: “Você é um atacante muito inteligente”. Digo sinceramente, “e eu aposto que você pode bolar uma meia dúzia de técnicas que poderiam impedir as táticas que você usou aqui.” Na maioria das vezes, o pentester concorda.

Mas, mesmo se você não chegar a uma abordagem aceitável e implementável no brainstorm sobre mitigação em sua reunião ou conferência, chame algum parceiro especializado, da organização alvo, para ajudar a encontrar soluções. Essas interações serão de suma importância para fornecer valor máximo à sua recomendação final.

Em nosso próximo artigo desta série, vamos olhar para as fases 3 e 4 de resultados de pentests: “Culpa” e “Isso não é justo!”

Fonte: neste link.