Этот пост спровоцировал развернутое интервью на тему: «Технохардкор» – это лучший формат обучения для пентестера.

Все об особенностях получения Offensive Security Experienced Penetration Tester от Offensive Security, и пользе от сертификации для специалиста по информационной безопасности.

Кому интересна тема, заглядывайте :)

Сегодня речь пойдет об этапе «Моделирование угроз в цикле SSDLC».

Моделирование угроз в рамках SSDLC — это метод анализа приложения с точки зрения дизайна/архитектуры для поиска уязвимостей и других недостатков без запуска самого сервиса.

Допустим приложение все еще находится на стадии проектирования, код ещё не написан, но мы уже сейчас можем выполнить моделирование угроз, как чаще всего и делают. Таким образом команда безопасности может подсветить возможные атаки еще до реализации ПО.

Далее по ссылке ☝️

У нас супер-новость! Разработка киберполигона завершена и теперь можно рассказывать подробности 👏
⠀
Киберполигон — это платформа для тренировки специалистов кибербезопасности. На ней можно учиться атаковать и защищать ИТ-активы компаний. Это безопасный способ практиковать навыки, чтобы успешнее отражать атаки в реальной жизни.
⠀
Сама платформа — это экспертиза наших специалистов, выраженная в скриптах, шаблонах и подготовленных заранее сценариях атак. Для пользователей это веб-интерфейс, в котором они регистрируются и подключаются, к созданному для тренировки виртуальному рабочему месту. Инфраструктуру можно взламывать без ограничений, не боясь испортить или нарушить непрерывность бизнес-процессов.
⠀
В системе есть скрипты для защиты и для атаки. Тренировать можно и те и другие навыки, как в одиночку, так и в команде.
⠀
Это на 100% отечественный продукт с использованием Open source и собственных уникальных наработок. Мы уже провели апробацию полигона на студентах университета и удостоверились в работоспособности и эффективности решения.

Результат получился более доступным для использования, в сравнении с аналогами. Запустить учения можно быстро, нажатием одной кнопки. Платформу можно масштабировать и сделать процесс обучения специалистов более доступным и массовым.

📎Ссылка на новость

Что бы почитать реально полезного?
⠀
Всем, кто хочет стать редтимером, советуем прочитать книгу Питера Кима «The Hacker Playbook: Practical Guide To Penetration Testing». Автор описывает, как работают такие специалисты, какие средства они используют при взломах и многое другое.
⠀
Блютимерам советуем прочитать прекрасную книгу «Компьютерные сети» Эндрю Таненбаума (чем свежее издание, тем лучше). Разобраться в устройстве Windows и Linux помогут две книги: «Внутреннее устройство Windows. Седьмое издание» Марка Руссиновича и «Внутреннее устройство Linux» Уорда Брайана. Также советую почитать про исследования Malware.
⠀
Блютимерам в идеале надо знать, что такое RFC, какие есть основные сетевые протоколы (FTP, HTTP, SSL, DNS, SSH). На изучение всего этого потребуется минимум полгода.
⠀
Еще несколько классных книг:
⠀
Hacking: The Art of Exploitation
RTFM: Red Team Field Manual
PTFM: Purple Team Field Manual
Red Team Development and Operations: A practical guide
Blue Team Field Manual (BTFM)
⠀
Книги, которые позволяют на базовом уровне понять, что примерно происходит в компьютерах и зачем вообще ИБ в этих процессах. Лучше читать именно в этой последовательности, чтобы понимать мотивацию каждого следующего уровня:
⠀
1.Heather Adkins, Betsy Beyer — Building Secure and Reliable Systems
2. Nu1L Team — Handbook for CTFers
3. MDSec Active Breach — Adversary Simulation and Red Team Tactics
4. Денис Юричев — RE4B
5. The Fuzzing Book — The Fuzzing Book

Продолжаем изучение темы моделирования угроз в разрезе SSDLC. Сегодня речь пойдет о методологиях STRIDE, DREAD и применения их на практике.

👉 Лонгрид

👉 Предыдущий пост на эту тему

Делитесь в комментариях, как вы моделируете угрозы, используете ли какие-то фреймворки или инструменты для этого?

Собрали самые распространенные стереотипы о пентестерах, исходящие от обычных людей, молодых специалистов и бизнеса. Попробовали опровергнуть их (без цензуры).

Посмотрите жиза или нет?

📎 Ссылка на статью на Хабре

Опубликовали на Хакере историю одного пентеста.

Рассказали, как недостатки конфигурации STUN сервера позволили проникнуть во внутреннюю сеть, обойти средства защиты и проэксплуатировать Log4Shell. Как удалось захватить виртуальную инфраструктуру с помощью генерации сессии для SAML-аутентификации, продвинуться по сети и получить доменного администратора с помощью классической техники «Pass the hash».

Статья родилась по итогам проекта для крупной ИТ-компании. Мы оценили возможность проникновения во внутреннюю сеть из внешней и дали рекомендации по устранению уязвимостей. Развивая атаки во внутренней сети, СЗИ блокировали вредоносный трафик, но обойдя СЗИ и проэксплуатировав Log4Shell, удалось получить доступ к гипервизору и захватить виртуальную инфраструктуру. Сделать дамп памяти, получить доменную учетную запись, повысить свои привилегии и стать администратором домена.

Короткий вывод — уровень злоумышленника необходимый для захвата ИТ-инфраструктуры должен быть достаточно высоким. Заказчик увидел пробелы в своем процессе патч-менеджмента и промашки администраторов — они хранили пароли в открытом виде и переиспользовали их на разных сервисах.

Можно ли считать этот результат удовлетворительным? Как вообще оценивать результаты пентеста? — Вот, что об этом думают специалисты со стороны заказчика:

«В одном из проектов была уязвимая библиотека, которая имела достаточно высокий CVSS и, при этом, достаточно просто эксплуатировалась. PoC не было, но составить его было вполне можно — коллеги из Китая оставили очень хорошие описания к CVE, за недельку можно заиметь боевой образец. Однако мы знали, что, в силу дополнительных усилений с нашей стороны, эта уязвимость была неприменима.

Мы ждали отчет с кричащими тегами «CRITICAL». В отчете мы увидели эту библиотеку с маркером «LOW». Исполнители прекрасно понимали, как мы защитились, сами же описали причину, по которым эта уязвимость не может быть проэксплуатирована и корректно подсветили факт того, что библиотека является уязвимой и её следует обновить, когда появится патч.

После такого понимаешь:

1) Твоё временное решение проблемы с уязвимостью в компоненте является компетентным — сторонняя команда пришла к тому же выводу.

2) Исполнитель не просто использовал какие-то анализаторы, но осмыслил происходящее, проанализировал потоки данных, сопоставлял логику уязвимости и бизнес-процессы. Получив такое, хочется верить, что он был настолько же дотошен и в других параметрах оценки».

В следующем посте расскажем другие критерии хорошего аудита. Стей Тюнд 🙌

#бенчмарк_пентеста

16 марта пройдет Security Summit — ежегодное мероприятие для профессионалов в области ИБ российского бизнеса.

Я выступлю с обзором Open Source продуктов для анализа защищенности инфраструктуры и приложений. Дам много практической пользы, а потом проведу круглый стол с экспертами на ту же тему.

Приходите!

📎Регистрация