В прошлом посте мы привели два примера рекомендаций, после которых заказчик тестирования делает вывод — да, хорошо поработали, ценю. Сегодня хочется взглянуть шире и выделить общие принципы хорошего пентеста и признаки качественного отчета.
👍4👎1
👉 Рекомендации актуальные для любого проекта:
⠀
1. Весь отчет должен быть как ГОСТ: единый стиль изложения, рекомендации в одних падежах, пунктуация, описание рисунков, схем, таблиц. Так, чтобы всем было приятно на него смотреть, а содержание было предельно ясным.
⠀
2. Детальное описание недостатков. Не просто общее описание, а для конкретных случаев: где нашли уязвимость, в каком параметре или модуле (на картинках приведен пример).
⠀
3. Примеры эксплуатации. Показаны найденные баги, прикреплена картинка, как пруф. Читающий может повторить действие с картинки. Также детальное описание процесса тестирования, ссылки на базы уязвимостей ФСТЭК России или техник MITRE.
⠀
4. Рекомендации также прописаны для конкретных случаев, описаны точечные советы, именно для того фреймворка, который использует заказчик. Нет двусмысленности.
⠀
5. Резюме работы с цифрами, рекомендациями и выводом.
⠀
6. Отчет оформлен на основе заданных заказчиком вопросов перед проектом. Затем идет то, что специалисты считают важным и релевантным. Если вопросов не было, то по иерархии критичности всех «находок».
⠀
👉 Как создать условия для качественного пентеста?
⠀
— Ограничивая охват работ или инструментарий исполнителя, заказчик сам себе ставит палки в колёса, получая отчёт, который не имеет никакого отношения к реальному состоянию защиты (при этом потратив время и заплатив деньги за услугу).
⠀
— Услугу оказывает компания, для которой этот вид работ профильный. Она имеет штат квалифицированных специалистов, которые понимают, как добиться результата. Непрофильная компания с большой долей вероятности отдаст заказ на аутсорс с неизвестным итоговым результатом.
⠀
В следующем посте расскажем про все красные флаги 🚩 в отчетах — признаки моветона, дилетантства и просто некачественной работы.
⠀
П.С. Мы не против показать товар лицом — выслать обезличенный пример нашего канонического отчета → по запросу в ЛС или почту, велкам.
⠀
#бенчмарк_пентеста
⠀
1. Весь отчет должен быть как ГОСТ: единый стиль изложения, рекомендации в одних падежах, пунктуация, описание рисунков, схем, таблиц. Так, чтобы всем было приятно на него смотреть, а содержание было предельно ясным.
⠀
2. Детальное описание недостатков. Не просто общее описание, а для конкретных случаев: где нашли уязвимость, в каком параметре или модуле (на картинках приведен пример).
⠀
3. Примеры эксплуатации. Показаны найденные баги, прикреплена картинка, как пруф. Читающий может повторить действие с картинки. Также детальное описание процесса тестирования, ссылки на базы уязвимостей ФСТЭК России или техник MITRE.
⠀
4. Рекомендации также прописаны для конкретных случаев, описаны точечные советы, именно для того фреймворка, который использует заказчик. Нет двусмысленности.
⠀
5. Резюме работы с цифрами, рекомендациями и выводом.
⠀
6. Отчет оформлен на основе заданных заказчиком вопросов перед проектом. Затем идет то, что специалисты считают важным и релевантным. Если вопросов не было, то по иерархии критичности всех «находок».
⠀
👉 Как создать условия для качественного пентеста?
⠀
— Ограничивая охват работ или инструментарий исполнителя, заказчик сам себе ставит палки в колёса, получая отчёт, который не имеет никакого отношения к реальному состоянию защиты (при этом потратив время и заплатив деньги за услугу).
⠀
— Услугу оказывает компания, для которой этот вид работ профильный. Она имеет штат квалифицированных специалистов, которые понимают, как добиться результата. Непрофильная компания с большой долей вероятности отдаст заказ на аутсорс с неизвестным итоговым результатом.
⠀
В следующем посте расскажем про все красные флаги 🚩 в отчетах — признаки моветона, дилетантства и просто некачественной работы.
⠀
П.С. Мы не против показать товар лицом — выслать обезличенный пример нашего канонического отчета → по запросу в ЛС или почту, велкам.
⠀
#бенчмарк_пентеста
🔥2👍1
Итак, третий пост на тему идеального пентеста, настало время хейта! Каким НЕ ДОЛЖЕН быть пентест:
⠀
1. Есть целый класс так называемых «уязвимостей» вроде: «Support for SSL and/or Early TLS Protocols», «Secure Flag not set on Session Cookies» и прочее, что автоматически генерируют сканирующие движки. Если в отчете есть эти или подобные им уязвимости, то там также должны находится описания, которые поясняют:
— причину, по которым это было включено в отчет;
— описание того, как это вообще влияет на систему, в каких условиях и какая предполагается модель нарушителя.
⠀
Если этого нет, можно смело трактовать это, как формальную отписку. Исполнитель не потрудился примерить найденное к жизни и дать более глубокую оценку. Чаще всего просто «выплёвывают» в отчет простыню из автоматически сгенерированного текста.
⠀
2. Короткие формальные описания уязвимостей без пруфов и примеров эксплуатации бесполезны еще потому, что даже специалист не поймет сути баги, не сможет применить результат тестирования в своей работе. Что уж говорить про заказчика.
⠀
3. Отсутствие описанных рисков. Если заказчик не получает ответы на главные вопросы о том, что угрожает компании, смысл проекта теряется.
⠀
4. Нет подтверждения, что уязвимость существует, возможно исполнитель ее придумал. Качественный пентест предполагает максимально развернутую аргументацию на каждом этапе. Показаны найденные баги, прикреплена картинка, как пруф. Читающий может повторить действие с картинки.
⠀
5. Нет конкретных рекомендации. Например, понятно, что надо ограничить количество запросов, но как это сделать? Даже если заказчик не воспользуется рекомендациями, нужно показать пример, как это можно сделать в его случае.
⠀
❗️Мы собрали еще 10 таких критериев и назвали это — «Check up пентест-проектов». Если интересно посмотреть или самостоятельно продиагностировать себя и своих подрядчиков, ставьте «+» в комментарии и мы пришлем вам PDF.
⠀
#бенчмарк_пентеста
⠀
1. Есть целый класс так называемых «уязвимостей» вроде: «Support for SSL and/or Early TLS Protocols», «Secure Flag not set on Session Cookies» и прочее, что автоматически генерируют сканирующие движки. Если в отчете есть эти или подобные им уязвимости, то там также должны находится описания, которые поясняют:
— причину, по которым это было включено в отчет;
— описание того, как это вообще влияет на систему, в каких условиях и какая предполагается модель нарушителя.
⠀
Если этого нет, можно смело трактовать это, как формальную отписку. Исполнитель не потрудился примерить найденное к жизни и дать более глубокую оценку. Чаще всего просто «выплёвывают» в отчет простыню из автоматически сгенерированного текста.
⠀
2. Короткие формальные описания уязвимостей без пруфов и примеров эксплуатации бесполезны еще потому, что даже специалист не поймет сути баги, не сможет применить результат тестирования в своей работе. Что уж говорить про заказчика.
⠀
3. Отсутствие описанных рисков. Если заказчик не получает ответы на главные вопросы о том, что угрожает компании, смысл проекта теряется.
⠀
4. Нет подтверждения, что уязвимость существует, возможно исполнитель ее придумал. Качественный пентест предполагает максимально развернутую аргументацию на каждом этапе. Показаны найденные баги, прикреплена картинка, как пруф. Читающий может повторить действие с картинки.
⠀
5. Нет конкретных рекомендации. Например, понятно, что надо ограничить количество запросов, но как это сделать? Даже если заказчик не воспользуется рекомендациями, нужно показать пример, как это можно сделать в его случае.
⠀
❗️Мы собрали еще 10 таких критериев и назвали это — «Check up пентест-проектов». Если интересно посмотреть или самостоятельно продиагностировать себя и своих подрядчиков, ставьте «+» в комментарии и мы пришлем вам PDF.
⠀
#бенчмарк_пентеста
👍7🔥2🍾2❤🔥1
Вчера на Security Summit Александр Герасимов CISO Awillix выступил с обзором Open Source продуктов для анализа защищенности инфраструктуры и приложений. Показал пример построения автоматизированного поиска уязвимостей и мониторинга. А затем собрал ИБ-экспертов на круглый стол, чтобы обсудить практические кейсы использования Open Source решений в разных компаниях.
⠀
В дискуссии участвовали:
⠀
— Вадим Гриценко — руководитель направления информационной безопасности, Московская Биржа;
— Михаил Лукьянов — главный специалист по информационной безопасности, Simple wine;
— Вячеслав Касимов — директор департамента информационной безопасности, Московский кредитный банк (Банк МКБ).
⠀
Получился крутой и продуктивный разговор, часть его нам удалось записать. Посмотреть можно тут — https://www.youtube.com/watch?v=tlr13NXj3Y8&t
⠀
Огромное спасибо экспертам за то, что щедро делились опытом и уделили время! Надеемся как-нибудь повторить :)
⠀
В дискуссии участвовали:
⠀
— Вадим Гриценко — руководитель направления информационной безопасности, Московская Биржа;
— Михаил Лукьянов — главный специалист по информационной безопасности, Simple wine;
— Вячеслав Касимов — директор департамента информационной безопасности, Московский кредитный банк (Банк МКБ).
⠀
Получился крутой и продуктивный разговор, часть его нам удалось записать. Посмотреть можно тут — https://www.youtube.com/watch?v=tlr13NXj3Y8&t
⠀
Огромное спасибо экспертам за то, что щедро делились опытом и уделили время! Надеемся как-нибудь повторить :)
❤🔥3👍3🍾3
Пентест — это такая вещь, что и результатами не поделишься и крупного клиента в портфолио не положишь, как бы круто ты его не сделал. Но есть проекты, у которых и срок давности вышел, и никто в жизни не догадается о ком речь, если не называть компанию.
⠀
Тем временем отраслевой опыт может быть полезен многим. Например, после статьи на Хакере, нам писали благодарности, что нашли такую же уязвимость у себя, можно и пентест не заказывать. Поэтому мы решили, что немного рассказывать про свой опыт все таки можно. Сегодня речь пойдет о работе с сервисом готовой еды. 😏😋
⠀
Тем временем отраслевой опыт может быть полезен многим. Например, после статьи на Хакере, нам писали благодарности, что нашли такую же уязвимость у себя, можно и пентест не заказывать. Поэтому мы решили, что немного рассказывать про свой опыт все таки можно. Сегодня речь пойдет о работе с сервисом готовой еды. 😏😋
👍7🔥2❤1🎉1
Апофеоз пентеста: Стань мастером донесения информации руководителям
Был такой кейс: продвигались по сети, попали в интересную подсеть, где была машина с очень злой уязвимостью и сессией достаточно значимого человека в домене. Эксплуатацию мы проводили по согласованию, поэтому позвонили devops-у (не хотелось ронять ему сервис своим эксплоитом и прерывать процессы), описали ситуацию и свои мысли, мотивы. На что получили ответ:
«Да, обязательно это делайте, я даю добро! И вне зависимости от результата, пожалуйста, опишите это в отчете — я уже год прошу выделить ресурсы на то, чтобы эту подсеть перестроить, но меня никто не слушает. Если получится, значит меня наконец-то услышат». В течение следующих 15 минут мы забрали DA.
Из этой истории и опыта работы с большими компаниями с глубокой субординацией, мы сделали вывод — даже оказывая сложную техническую услугу, общаться следует на языке денег.
Владельцы бизнеса мыслят прибылью, в этой связи ИБ — это просто траты. Но избежать этих трат все равно не выйдет. Запросы к начальству со стороны ИБ, нередко оказываются сфокусированы на локальной задаче, выражены сложным техническим языком и требуют дополнительной «расшифровки», а значит и дополнительной аргументации.
Не нужно говорить «тут уязвимость, это опасно», нужно говорить «если мы сейчас не вложим сюда $, то когда нас пробьют — мы потеряем $$$, решайте сами». Да, это требует подготовки и анализа активов, но благодаря такому подходу проблемы недостатка бюджета или ресурсов, решаются гораздо быстрее.
Окончание пентеста — это всего лишь начало большой работы для наших коллег. Они будут заниматься устранением найденных уязвимостей, построением новых ИБ-процессов и прочими изменениями, направленными на защиту систем. Весомой добавочной ценностью пентеста станет еxecutive summary, которое поймет совет директоров и захочет пойти на встречу ИБ. Еще лучше если вы в состоянии провести защиту проекта бизнес-заказчику и заставить биг-боссов быстро понять — насколько все уязвимо, и что нужно делать, чтобы изменить это.
Что нужно для хорошего executive summary?
1) Конкретика и цифры. Поскольку этот раздел читает бизнес, которые не понимает технических слов, важно доходчиво донести бизнес-риски, к которым ведут уязвимости.
2) Объяснить, каким был перечень работ, например, сделали пентест, фишинг, и так далее. Рассказать зачем это было нужно и к каким выводам привело. Схемы, картинки, например, ход пентеста верхнеуровнево «для самых маленьких».
3) Небольшая аналитика, например, количество критичных уязвимостей, время, необходимое злоумышленнику для компрометации инфраструктуры, необходимый уровень злоумышленника для реализации всех атак, сколько человек в компании попалось на фишинг и так далее.
4) Декомпозиция рисков — какой ущерб может нанести реализации атаки, к чему может привести успешный фишинг и тд
5) И конечно, отработка возражении. Рекомендации, понятные всем, например, внедрение таких-то средств защиты, позволит избежать реализацию атаки номер 1, непрерывный анализ защищенности позволит не допустить таких-то событий и так далее.
Надеемся, что серия постов на тему «идеальный пентест» 🙌 была полезной для коллег и заказчиков. Ставьте лайк, если хотите продолжения демонстрации внутренней offensive-кухни🙂
__________________
Предыдущие посты на тему #бенчмарк_пентеста
— Как оценивать результаты пентеста?
— Общие принципы хорошего пентеста и признаки качественного отчета.
— Каким НЕ ДОЛЖЕН быть пентест?
Был такой кейс: продвигались по сети, попали в интересную подсеть, где была машина с очень злой уязвимостью и сессией достаточно значимого человека в домене. Эксплуатацию мы проводили по согласованию, поэтому позвонили devops-у (не хотелось ронять ему сервис своим эксплоитом и прерывать процессы), описали ситуацию и свои мысли, мотивы. На что получили ответ:
«Да, обязательно это делайте, я даю добро! И вне зависимости от результата, пожалуйста, опишите это в отчете — я уже год прошу выделить ресурсы на то, чтобы эту подсеть перестроить, но меня никто не слушает. Если получится, значит меня наконец-то услышат». В течение следующих 15 минут мы забрали DA.
Из этой истории и опыта работы с большими компаниями с глубокой субординацией, мы сделали вывод — даже оказывая сложную техническую услугу, общаться следует на языке денег.
Владельцы бизнеса мыслят прибылью, в этой связи ИБ — это просто траты. Но избежать этих трат все равно не выйдет. Запросы к начальству со стороны ИБ, нередко оказываются сфокусированы на локальной задаче, выражены сложным техническим языком и требуют дополнительной «расшифровки», а значит и дополнительной аргументации.
Не нужно говорить «тут уязвимость, это опасно», нужно говорить «если мы сейчас не вложим сюда $, то когда нас пробьют — мы потеряем $$$, решайте сами». Да, это требует подготовки и анализа активов, но благодаря такому подходу проблемы недостатка бюджета или ресурсов, решаются гораздо быстрее.
Окончание пентеста — это всего лишь начало большой работы для наших коллег. Они будут заниматься устранением найденных уязвимостей, построением новых ИБ-процессов и прочими изменениями, направленными на защиту систем. Весомой добавочной ценностью пентеста станет еxecutive summary, которое поймет совет директоров и захочет пойти на встречу ИБ. Еще лучше если вы в состоянии провести защиту проекта бизнес-заказчику и заставить биг-боссов быстро понять — насколько все уязвимо, и что нужно делать, чтобы изменить это.
Что нужно для хорошего executive summary?
1) Конкретика и цифры. Поскольку этот раздел читает бизнес, которые не понимает технических слов, важно доходчиво донести бизнес-риски, к которым ведут уязвимости.
2) Объяснить, каким был перечень работ, например, сделали пентест, фишинг, и так далее. Рассказать зачем это было нужно и к каким выводам привело. Схемы, картинки, например, ход пентеста верхнеуровнево «для самых маленьких».
3) Небольшая аналитика, например, количество критичных уязвимостей, время, необходимое злоумышленнику для компрометации инфраструктуры, необходимый уровень злоумышленника для реализации всех атак, сколько человек в компании попалось на фишинг и так далее.
4) Декомпозиция рисков — какой ущерб может нанести реализации атаки, к чему может привести успешный фишинг и тд
5) И конечно, отработка возражении. Рекомендации, понятные всем, например, внедрение таких-то средств защиты, позволит избежать реализацию атаки номер 1, непрерывный анализ защищенности позволит не допустить таких-то событий и так далее.
Надеемся, что серия постов на тему «идеальный пентест» 🙌 была полезной для коллег и заказчиков. Ставьте лайк, если хотите продолжения демонстрации внутренней offensive-кухни
__________________
Предыдущие посты на тему #бенчмарк_пентеста
— Как оценивать результаты пентеста?
— Общие принципы хорошего пентеста и признаки качественного отчета.
— Каким НЕ ДОЛЖЕН быть пентест?
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5❤🔥4🔥2🍾2🤩1
Заканчиваем серию постов #бенчмарк_пентеста вебинаром на тему лучших практик в тестировании на проникновение.
Обсудим:
— Как проводить достойный пентест;
— Каким должен быть отчет у специалистов, которые себя уважают;
— Признаки компетентных и некомпетентных специалистов;
— Еxecutive summary ≠ краткое содержание: каким он должен быть;
— Как сделать так, чтобы найденные уязвимости в дальнейшем все таки пофиксили.
28 марта в 18:00 приходите вдохновляться.
👉 Регистрация здесь
Организовано при поддержке Cyber media
Обсудим:
— Как проводить достойный пентест;
— Каким должен быть отчет у специалистов, которые себя уважают;
— Признаки компетентных и некомпетентных специалистов;
— Еxecutive summary ≠ краткое содержание: каким он должен быть;
— Как сделать так, чтобы найденные уязвимости в дальнейшем все таки пофиксили.
28 марта в 18:00 приходите вдохновляться.
👉 Регистрация здесь
Организовано при поддержке Cyber media
🔥4👍2❤🔥1🍾1
Айтишников тоже мобилизуют?
Да, на CISO форум!
35+ экспертов из ведущих компаний
1000+ участников форума
15+ практических сессий
16 летний опыт индустрии собран в 1 день
👉XVI Межотраслевой CISO FORUM👈
Иии... мы выступаем там в секции: «Надежда и опора. К чему нас приведет доминирование отечественного софта и железа?» — by Александр Герасимов :)
Обсудим:
— Open Source: ожидания vs реальность
— Достойные решения под основные задачи ИТ и ИБ;
— Примеры и характеристики решений для: построения базовых процессов ИТ, защиты инфраструктуры и устройств, анализа защищенности;
— Пример построения автоматизированного поиска уязвимостей и мониторинга;
14 апреля
Холидей Инн Сокольники
👉Регистрируйтесь по ссылке
Да, на CISO форум!
35+ экспертов из ведущих компаний
1000+ участников форума
15+ практических сессий
16 летний опыт индустрии собран в 1 день
👉XVI Межотраслевой CISO FORUM👈
Иии... мы выступаем там в секции: «Надежда и опора. К чему нас приведет доминирование отечественного софта и железа?» — by Александр Герасимов :)
Обсудим:
— Open Source: ожидания vs реальность
— Достойные решения под основные задачи ИТ и ИБ;
— Примеры и характеристики решений для: построения базовых процессов ИТ, защиты инфраструктуры и устройств, анализа защищенности;
— Пример построения автоматизированного поиска уязвимостей и мониторинга;
14 апреля
Холидей Инн Сокольники
👉Регистрируйтесь по ссылке
💩13👍5❤🔥3🔥3🫡2🦄1
Записать выступление Александра, как предыдущий круглый стол?
Anonymous Poll
83%
да!
18%
не, не надо
Как провести анализ защищенности веб-приложения: Александр Герасимов рассказал о лучших практиках в статье на Ciso club.
~ Какие баги искать?
~ Какую информацию предоставить исполнителю?
~ Какие сформулировать задачи?
~ Кому и как часто нужно проводить анализ?
~ Что делать с найденными уязвимостями?
~ Какими должны быть результаты и как их правильно оценить?
Читайте → абсолютно безопасная ссылка.
~ Какие баги искать?
~ Какую информацию предоставить исполнителю?
~ Какие сформулировать задачи?
~ Кому и как часто нужно проводить анализ?
~ Что делать с найденными уязвимостями?
~ Какими должны быть результаты и как их правильно оценить?
Читайте → абсолютно безопасная ссылка.
CISOCLUB
Анализ защищенности веб-приложений: лучшие практики и главные выводы | CISOCLUB
Анализ защищенности проводят для выявления всевозможных уязвимостей, мошеннических схем, каналов утечки конфиденциальной информации и других ошибок, способных привести к несанкционированному доступу к административным функциям веб-приложений. По сути — это…
❤🔥2👍2🔥2👏2
Всем привет! Лучший доклад с CISO форума уже доступен в записи → https://www.youtube.com/watch?v=PvMaOg6-9F8
Инджой!
Инджой!
YouTube
CISO форум: Обзор продуктов на базе открытого кода
— Open Source ожидание vs реальность;
— Достойные решения под основные задачи ИТ и ИБ;
— Примеры и характеристики решений для: построения базовых процессов ИТ, защиты инфраструктуры и устройств, анализа защищенности;
— Пример построения автоматизированного…
— Достойные решения под основные задачи ИТ и ИБ;
— Примеры и характеристики решений для: построения базовых процессов ИТ, защиты инфраструктуры и устройств, анализа защищенности;
— Пример построения автоматизированного…
🔥10