Vale a pena contratar um hacker para realizar alguns testes de penetração em meus servidores? [fechadas]

É bom que você esteja pensando em ser seguro, mas não existe um "sistema seguro". A moderna prática de segurança envolve o isolamento de servidores, de modo que as violações são contidas e não evitadas. Todos os servidores da Web e outros servidores remotamente acessíveis devem ser colocados em uma DMZ isolada que tenha apenas um subconjunto limitado de dados (ou seja, - o mínimo possível para executar a tarefa em questão).

O melhor conselho de segurança é agir e planejar como se os servidores com serviços remotamente acessíveis já estivessem comprometidos. Para dados internos, proteja seus ativos mais importantes para que apenas as pessoas que têm um cargo que exija que eles acessem eles possam acessá-los e não há como eles acessarem os dados fora do site ou baixá-los em um pen drive. .

A segurança é uma equação de custo-benefício, é muito caro configurar sistemas seguros e você deve apenas adicionar medidas de segurança adicionais quando elas forem necessárias. Montar scanners de retina, armadilhas de homem, teclados e assim por diante para entrar em seu escritório seria um desperdício de dinheiro, a menos que haja algo dentro do qual você realmente precise ser paranóico. Gastar dinheiro em segurança para tentar reduzir seu "sentimento" de paranóia não é um bom investimento. Gaste-o com o risco de ser hackeado e o impacto se você for.

Faça o melhor esforço com seus serviços: o menor número possível de portas abertas com o mínimo de serviços. Mantenha-os atualizados. Siga as listas de discussão de segurança e os relatórios de erros sobre o software que você está executando. Leia os guias "endurecimento" para servidores Web.

Geralmente é mais econômico se concentrar no isolamento e na detecção dessa prevenção. Produtos IDS ou analisadores de log podem ser realmente úteis aqui.

A maioria do meu trabalho é para uma empresa que precisa de níveis muito altos de segurança e tem os meios para conseguir isso. Como tal, eles têm "chapéus brancos" e "chapéus pretos", os primeiros são funcionários que projetam, implementam e testam dentro dos limites dos sistemas de segurança. Os últimos são caras externos que são crackers reformados, alguns com registros criminais, quase todos estão significativamente envolvidos em projetos de código-fonte aberto com um ângulo de segurança. As duas equipes absolutamente nunca se comunicam umas com as outras e as identidades dos "chapéus-negros" são conhecidas por poucos. Cada um tem a tarefa de fazer o que quiserem da maneira que quiserem, sempre que quiserem e contra qualquer site que a empresa possua, sua única responsabilidade é informar imediatamente a empresa quando encontrarem problemas, de preferência com soluções de resolução, se disponíveis.

Eu sei que isso parece extremo, mas é uma política / tática usada em todo o mundo por organizações de um certo tamanho / responsabilidade e se você puder pagar, e se você puder encontrá-las, sugiro que você considere esta abordagem.

Eu acho que você ficaria surpreso com o quão ruim alguns especialistas em segurança são. Considere-se sortudo por não ter sido enganado por pedras preciosas como

"suas portas de rede não estão abertas, por isso não podemos verificá-lo. Por isso, é necessário abrir os servidores para que possamos verificar"

ou

assistentes de segurança: "você não pode usar o sslv2 como inseguro" IT: "mas as únicas opções são SSL e cleartext" Segurança: "pelo menos o texto não tem vulnerabilidades"

Se você tem duas empresas diferentes auditando você e ambos acham que você está bem, eu não contrataria ainda um terço. A única coisa que eu mudaria seria considerar se seus fornecedores de sistemas operacionais têm um serviço de auditoria de segurança.

E meu favorito pessoal

Segurança: "só podemos digitalizar as caixas UNIX, nenhuma das caixas de janelas sobre as quais você nos falou responderá em qualquer porta" IT: sim, usamos o isolamento de domínio para negar acesso a sistemas não associados ao domínio Segurança: isso não está nas diretrizes do NIST, você terá que desabilitar isso, não é seguro "

Como alguém que gerenciou muitas centenas de testes de penetração para organizações da Fortune e FTSE 100, bem como empresas locais muito pequenas, tenho o seguinte para você:

• Entenda suas ameaças
• Entenda seu perfil de risco
• Defina suas necessidades de controles - com base em seus clientes paranóicos, etc.
• Crie controles técnicos para atender a essas necessidades
• Use o teste de penetração para confirmar a implementação correta dos controles

Você deve planejar usar uma variedade de empresas ou rotacioná-las. Tenho a tendência de encorajar as pessoas a usar um painel de 4 ou mais, pois cada uma tem suas espacializações e experiências específicas.

Você nunca estará seguro, mas pode ficar "seguro o suficiente" com base no perfil de risco que sua empresa deseja aceitar. Não assuma que, por ser pequeno, você não é um alvo - as atuais estruturas do crime organizado vendem metodologias de exploração de hacks bem sucedidos de grandes organizações para baixo, e se você está na Internet, é um alvo, quer você goste ou não. / p>

Várias perguntas sobre security.stackexchange.com abordaram essa questão, por isso vale a pena dar uma olhada ali.

Ummm ... Já foi dito que você provavelmente já fez tudo o que é necessário. Mais uma vez, quão paranóico você precisa - repetir, NEED - para ser?

Correndo o risco de ser muito básico, a maior parte da penetração é alcançada somente após a descoberta de uma senha apropriada. É uma questão muito difícil que:

a) muitas senhas são simples demais, usadas apenas porque o chefe diz que elas devem. O exemplo clássico é o solucionador de problemas de TI usando a senha "test".

b) a maior parte da penetração (mas não toda) agora passa pelo provado e verdadeiro suborno / chantagem e usa métodos eletrônicos de aquisição de senhas - mas você não pode ser penetrado até que a senha esteja lá.

Eu assumo que seu hardware é à prova de invasão? Uma marca de computador que eu conheço, provavelmente outras, também tem um suporte dip-switch convenientemente localizado que pode ser usado para desabilitar a senha de login E a senha da BIOS ...

Pessoalmente, suponho que serei invadido mais cedo ou mais tarde, por isso, certifico-me de que detecto qualquer intrusão e continuo a pós-penetração. Você fez backup?

Você precisa contratar um hacker? Eu não acredito. Além disso, como você determinaria qual hacker vale a pena contratar? Vamos enfrentá-lo, este não é o tipo de pessoa honrada que é a palavra que você pode confiar, por isso, só porque eles dizem o quão grande eles são, não significa que eles são realmente bons.

Vamos começar com uma premissa básica: Não existe um sistema voltado para o público que não possa ser penetrado. No entanto, existem muitos sistemas que resistirão a todos, menos ao atacante mais dedicado e dedicado.

Não se trata realmente de segurança absoluta, é mais sobre os riscos e sua capacidade de detectar e recuperar de um ataque. Backups são obviamente uma necessidade absoluta. O mesmo acontece com as restaurações de teste periódicas para verificar esses backups.

Um IDS deve alertá-lo sobre tentativas de invasão, embora seja necessário ter em mente que qualquer sistema com acesso à Internet pode ser atacado, o que resulta em tantos alertas que você precisa ignorar a grande maioria e se concentrar em aqueles que são fora do comum, como são os que mais provavelmente apontam para alguém melhor do que a típica kiddy de meio cérebro.

Um sistema tipo tripwire, que pode assumir qualquer forma que você escolher, ajuda muito na detecção de um ataque, quando o sistema deve ser removido e analisado para determinar como o ataque ocorreu, antes de o sistema ser restaurado. um bom backup conhecido, sem tentativa de apenas reparar o sistema comprometido, pois isso é uma lição de futilidade.

Todas as respostas acima são realmente ótimas e, com muitas coisas, não há uma maneira definitiva de responder a isso. Sim ou Não.

Trabalho com empresas de pequeno porte para ajudar a proteger seus ambientes e, em geral, fazer um "Teste de invasão" ou "Teste de invasão" geralmente não fornece muitas informações que você não conseguiu ou provavelmente já conseguiu. Scanners são um ótimo ponto de partida. Mas se tudo é simplesmente baseado nos resultados da verificação, eu diria que você definitivamente não está recebendo o valor do seu dinheiro.

Se você está contratando uma empresa externa para fazer o seu pentest / audit / assessment ou o que você quiser chamá-lo, você deve contratar pessoas que podem fazer mais do que apenas $ scanner. Eles não são à prova de idiotas e, da minha experiência, há muitos falsos positivos que levam um humano a interpretar corretamente.

Na minha opinião, o estilo de caixa preta que muitas empresas querem usar não exporá muitas informações que você deseja. Por exemplo, digamos que um invasor, por qualquer meio, fica dentro de sua rede. Eles podem ignorar controles para girar em outro lugar? E se um invasor obtiver acesso a um computador de atendimento ao cliente ou a um computador do contratado. Eles podem girar para outras áreas da empresa? Se sim, o que eles podem ver? Eles podem obter backups? Dados de produção? Informação contábil?

E se a Engenharia Social não faz parte do engajamento, então você está deixando um enorme buraco na superfície de ameaças das empresas.

Trabalhando para uma pequena empresa de TI, os orçamentos para uma auditoria externa podem ser difíceis de obter, especialmente se não houver conformidade do setor em vigor exigindo uma auditoria anual.

Pense nas seguintes coisas

• Como detectamos atividades maliciosas em nossa empresa?
• Saberíamos se alguém está executando ferramentas contra nossos servidores? Websites?
• Os funcionários estão mantendo senhas de texto simples em seus computadores? (provavelmente muito mais prevalente do que você imagina).
• Podemos auditar o que os funcionários estão fazendo em nossa rede?
• Se tivéssemos que limpar completamente um servidor, com que rapidez podemos substituí-lo?

Estas são apenas algumas das coisas mais importantes, mas olhando francamente para esses itens e se você não puder responder a essas perguntas, passe mais tempo tentando descobrir o que fazer com elas. Será melhor gasto.

Você deve abordar isso do ponto de vista de que um invasor poderá entrar em sua rede. O que fazes, então? Como você atenua essa ameaça e reduz o impacto? Como você vai saber?

Algumas considerações:

Primeiro, qual é o objetivo que você está tentando alcançar? Os vários serviços de segurança, como testes de invasão, avaliações de vulnerabilidades e "hackers éticos", não são simplesmente "comprar mais segurança". Você tem que ter um objetivo em mente; O objetivo básico desse tipo de gasto é descobrir vulnerabilidades em software, redes, processos e procedimentos. Isso é importante: para que uma auditoria, avaliação ou teste melhore sua segurança, você precisará fazer algo sobre as descobertas. Isso quase sempre significa gastar mais dinheiro, seja em software, pessoal ou seguro. Você deve ter alguém em sua equipe cuja responsabilidade seja a segurança; eles devem ter os recursos técnicos para chamar a atenção dos fornecedores de segurança, conforme necessário, e a integridade para rastrear vulnerabilidades e advogar por melhorias de segurança em todas as áreas de sua empresa.

Em segundo lugar, e intimamente relacionado, não pague por informações que você já tem. Se você sabe que tem um problema de segurança específico, não pague um "hacker ético" para redescobri-lo. Gastar esse dinheiro para resolver o problema. Se o teste for mandatório de qualquer maneira, seja honesto sobre suas vulnerabilidades conhecidas antecipadamente. Um bom testador poderá adaptar sua avaliação para áreas de incógnitas, a fim de maximizar seu investimento. Considere a possibilidade de alternar entre os tipos de avaliação para maximizar a cobertura. Faça um teste de penetração externa de caixa preta, depois um teste interno simulando um funcionário insatisfeito, depois um teste de caixa branca / cinza direcionada de seus sistemas mais críticos, etc.

Terceiro, invista a maior parte do seu tempo e esforço no teste antes de ocorrer. Pesquise o provedor de serviços de segurança, incluindo referências de verificação, não apenas certificações. Há muitas fraudes e trabalhadores de má qualidade por aí. Peça para ver exemplos de seus relatórios. Se não é informação acionável, por que pagar por isso? Peça para ver sua metodologia de teste. Se eles recusarem, fiança. Se eles não tiverem um processo repetitivo, você não pode ter certeza de um teste completo. Uma varredura de vulnerabilidade com Nessus ou Retina não é um teste de penetração; não pague preços premium por serviços baratos. Envolva-se strongmente na negociação do escopo do teste. Quanto mais você liberar as mãos da equipe de testes, melhores e mais realísticos resultados você obterá.

Em quarto lugar, para testes de penetração, verifique se você está pagando por um teste que emula uma ameaça realista. Dan Guido, da Trail of Bits , fez uma excelente pesquisa sobre defesa orientada por inteligência - conhecendo as ameaças que sua organização enfrenta e otimizando suas defesas para eles, em vez de gastar cegamente dinheiro com o que todo mundo está fazendo. Confira seus artigos sobre o Projeto de Inteligência de Exploração e Matemática do Atacante . É simples o suficiente para você mesmo fazer uma análise preliminar e usá-la para verificar as reivindicações das equipes que estão tentando vender seus serviços. A Trail of Bits até oferece consultoria nesta e em outras áreas. (Eu não sou afiliado com Trail of Bits de qualquer forma)

Por fim, não compre no hype sobre a palavra "hacker", especialmente com a parte "ética" anexada. Existem certificações que indicam algum nível básico de habilidade, mas as opiniões na indústria variam amplamente; seja "ético" demonstrado pelo comportamento e referências de uma pessoa, não por uma certificação. Uma pessoa NÃO precisa ser "reformada" para ter habilidade; Não isente alguém neste campo de quaisquer verificações de antecedentes, criminais ou não, para os quais você manteria seus funcionários regulares. O teste de segurança não é "mágico" e os maus hábitos de trabalho não são uma "excentricidade" que acompanha o território. Você tem o direito de esperar a mais alta responsabilidade ética e integridade de seus testadores de segurança como qualquer outra posição, se não mais.