Апофеоз пентеста: Стань мастером донесения информации руководителям
Был такой кейс: продвигались по сети, попали в интересную подсеть, где была машина с очень злой уязвимостью и сессией достаточно значимого человека в домене. Эксплуатацию мы проводили по согласованию, поэтому позвонили devops-у (не хотелось ронять ему сервис своим эксплоитом и прерывать процессы), описали ситуацию и свои мысли, мотивы. На что получили ответ:
«Да, обязательно это делайте, я даю добро! И вне зависимости от результата, пожалуйста, опишите это в отчете — я уже год прошу выделить ресурсы на то, чтобы эту подсеть перестроить, но меня никто не слушает. Если получится, значит меня наконец-то услышат». В течение следующих 15 минут мы забрали DA.
Из этой истории и опыта работы с большими компаниями с глубокой субординацией, мы сделали вывод — даже оказывая сложную техническую услугу, общаться следует на языке денег.
Владельцы бизнеса мыслят прибылью, в этой связи ИБ — это просто траты. Но избежать этих трат все равно не выйдет. Запросы к начальству со стороны ИБ, нередко оказываются сфокусированы на локальной задаче, выражены сложным техническим языком и требуют дополнительной «расшифровки», а значит и дополнительной аргументации.
Не нужно говорить «тут уязвимость, это опасно», нужно говорить «если мы сейчас не вложим сюда $, то когда нас пробьют — мы потеряем $$$, решайте сами». Да, это требует подготовки и анализа активов, но благодаря такому подходу проблемы недостатка бюджета или ресурсов, решаются гораздо быстрее.
Окончание пентеста — это всего лишь начало большой работы для наших коллег. Они будут заниматься устранением найденных уязвимостей, построением новых ИБ-процессов и прочими изменениями, направленными на защиту систем. Весомой добавочной ценностью пентеста станет еxecutive summary, которое поймет совет директоров и захочет пойти на встречу ИБ. Еще лучше если вы в состоянии провести защиту проекта бизнес-заказчику и заставить биг-боссов быстро понять — насколько все уязвимо, и что нужно делать, чтобы изменить это.
Что нужно для хорошего executive summary?
1) Конкретика и цифры. Поскольку этот раздел читает бизнес, которые не понимает технических слов, важно доходчиво донести бизнес-риски, к которым ведут уязвимости.
2) Объяснить, каким был перечень работ, например, сделали пентест, фишинг, и так далее. Рассказать зачем это было нужно и к каким выводам привело. Схемы, картинки, например, ход пентеста верхнеуровнево «для самых маленьких».
3) Небольшая аналитика, например, количество критичных уязвимостей, время, необходимое злоумышленнику для компрометации инфраструктуры, необходимый уровень злоумышленника для реализации всех атак, сколько человек в компании попалось на фишинг и так далее.
4) Декомпозиция рисков — какой ущерб может нанести реализации атаки, к чему может привести успешный фишинг и тд
5) И конечно, отработка возражении. Рекомендации, понятные всем, например, внедрение таких-то средств защиты, позволит избежать реализацию атаки номер 1, непрерывный анализ защищенности позволит не допустить таких-то событий и так далее.
Надеемся, что серия постов на тему «идеальный пентест» 🙌 была полезной для коллег и заказчиков. Ставьте лайк, если хотите продолжения демонстрации внутренней offensive-кухни🙂
__________________
Предыдущие посты на тему #бенчмарк_пентеста
— Как оценивать результаты пентеста?
— Общие принципы хорошего пентеста и признаки качественного отчета.
— Каким НЕ ДОЛЖЕН быть пентест?
Был такой кейс: продвигались по сети, попали в интересную подсеть, где была машина с очень злой уязвимостью и сессией достаточно значимого человека в домене. Эксплуатацию мы проводили по согласованию, поэтому позвонили devops-у (не хотелось ронять ему сервис своим эксплоитом и прерывать процессы), описали ситуацию и свои мысли, мотивы. На что получили ответ:
«Да, обязательно это делайте, я даю добро! И вне зависимости от результата, пожалуйста, опишите это в отчете — я уже год прошу выделить ресурсы на то, чтобы эту подсеть перестроить, но меня никто не слушает. Если получится, значит меня наконец-то услышат». В течение следующих 15 минут мы забрали DA.
Из этой истории и опыта работы с большими компаниями с глубокой субординацией, мы сделали вывод — даже оказывая сложную техническую услугу, общаться следует на языке денег.
Владельцы бизнеса мыслят прибылью, в этой связи ИБ — это просто траты. Но избежать этих трат все равно не выйдет. Запросы к начальству со стороны ИБ, нередко оказываются сфокусированы на локальной задаче, выражены сложным техническим языком и требуют дополнительной «расшифровки», а значит и дополнительной аргументации.
Не нужно говорить «тут уязвимость, это опасно», нужно говорить «если мы сейчас не вложим сюда $, то когда нас пробьют — мы потеряем $$$, решайте сами». Да, это требует подготовки и анализа активов, но благодаря такому подходу проблемы недостатка бюджета или ресурсов, решаются гораздо быстрее.
Окончание пентеста — это всего лишь начало большой работы для наших коллег. Они будут заниматься устранением найденных уязвимостей, построением новых ИБ-процессов и прочими изменениями, направленными на защиту систем. Весомой добавочной ценностью пентеста станет еxecutive summary, которое поймет совет директоров и захочет пойти на встречу ИБ. Еще лучше если вы в состоянии провести защиту проекта бизнес-заказчику и заставить биг-боссов быстро понять — насколько все уязвимо, и что нужно делать, чтобы изменить это.
Что нужно для хорошего executive summary?
1) Конкретика и цифры. Поскольку этот раздел читает бизнес, которые не понимает технических слов, важно доходчиво донести бизнес-риски, к которым ведут уязвимости.
2) Объяснить, каким был перечень работ, например, сделали пентест, фишинг, и так далее. Рассказать зачем это было нужно и к каким выводам привело. Схемы, картинки, например, ход пентеста верхнеуровнево «для самых маленьких».
3) Небольшая аналитика, например, количество критичных уязвимостей, время, необходимое злоумышленнику для компрометации инфраструктуры, необходимый уровень злоумышленника для реализации всех атак, сколько человек в компании попалось на фишинг и так далее.
4) Декомпозиция рисков — какой ущерб может нанести реализации атаки, к чему может привести успешный фишинг и тд
5) И конечно, отработка возражении. Рекомендации, понятные всем, например, внедрение таких-то средств защиты, позволит избежать реализацию атаки номер 1, непрерывный анализ защищенности позволит не допустить таких-то событий и так далее.
Надеемся, что серия постов на тему «идеальный пентест» 🙌 была полезной для коллег и заказчиков. Ставьте лайк, если хотите продолжения демонстрации внутренней offensive-кухни
__________________
Предыдущие посты на тему #бенчмарк_пентеста
— Как оценивать результаты пентеста?
— Общие принципы хорошего пентеста и признаки качественного отчета.
— Каким НЕ ДОЛЖЕН быть пентест?
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5❤🔥4🔥2🍾2🤩1
Заканчиваем серию постов #бенчмарк_пентеста вебинаром на тему лучших практик в тестировании на проникновение.
Обсудим:
— Как проводить достойный пентест;
— Каким должен быть отчет у специалистов, которые себя уважают;
— Признаки компетентных и некомпетентных специалистов;
— Еxecutive summary ≠ краткое содержание: каким он должен быть;
— Как сделать так, чтобы найденные уязвимости в дальнейшем все таки пофиксили.
28 марта в 18:00 приходите вдохновляться.
👉 Регистрация здесь
Организовано при поддержке Cyber media
Обсудим:
— Как проводить достойный пентест;
— Каким должен быть отчет у специалистов, которые себя уважают;
— Признаки компетентных и некомпетентных специалистов;
— Еxecutive summary ≠ краткое содержание: каким он должен быть;
— Как сделать так, чтобы найденные уязвимости в дальнейшем все таки пофиксили.
28 марта в 18:00 приходите вдохновляться.
👉 Регистрация здесь
Организовано при поддержке Cyber media
🔥4👍2❤🔥1🍾1
Айтишников тоже мобилизуют?
Да, на CISO форум!
35+ экспертов из ведущих компаний
1000+ участников форума
15+ практических сессий
16 летний опыт индустрии собран в 1 день
👉XVI Межотраслевой CISO FORUM👈
Иии... мы выступаем там в секции: «Надежда и опора. К чему нас приведет доминирование отечественного софта и железа?» — by Александр Герасимов :)
Обсудим:
— Open Source: ожидания vs реальность
— Достойные решения под основные задачи ИТ и ИБ;
— Примеры и характеристики решений для: построения базовых процессов ИТ, защиты инфраструктуры и устройств, анализа защищенности;
— Пример построения автоматизированного поиска уязвимостей и мониторинга;
14 апреля
Холидей Инн Сокольники
👉Регистрируйтесь по ссылке
Да, на CISO форум!
35+ экспертов из ведущих компаний
1000+ участников форума
15+ практических сессий
16 летний опыт индустрии собран в 1 день
👉XVI Межотраслевой CISO FORUM👈
Иии... мы выступаем там в секции: «Надежда и опора. К чему нас приведет доминирование отечественного софта и железа?» — by Александр Герасимов :)
Обсудим:
— Open Source: ожидания vs реальность
— Достойные решения под основные задачи ИТ и ИБ;
— Примеры и характеристики решений для: построения базовых процессов ИТ, защиты инфраструктуры и устройств, анализа защищенности;
— Пример построения автоматизированного поиска уязвимостей и мониторинга;
14 апреля
Холидей Инн Сокольники
👉Регистрируйтесь по ссылке
💩13👍5❤🔥3🔥3🫡2🦄1
Записать выступление Александра, как предыдущий круглый стол?
Anonymous Poll
83%
да!
18%
не, не надо
Как провести анализ защищенности веб-приложения: Александр Герасимов рассказал о лучших практиках в статье на Ciso club.
~ Какие баги искать?
~ Какую информацию предоставить исполнителю?
~ Какие сформулировать задачи?
~ Кому и как часто нужно проводить анализ?
~ Что делать с найденными уязвимостями?
~ Какими должны быть результаты и как их правильно оценить?
Читайте → абсолютно безопасная ссылка.
~ Какие баги искать?
~ Какую информацию предоставить исполнителю?
~ Какие сформулировать задачи?
~ Кому и как часто нужно проводить анализ?
~ Что делать с найденными уязвимостями?
~ Какими должны быть результаты и как их правильно оценить?
Читайте → абсолютно безопасная ссылка.
CISOCLUB
Анализ защищенности веб-приложений: лучшие практики и главные выводы | CISOCLUB
Анализ защищенности проводят для выявления всевозможных уязвимостей, мошеннических схем, каналов утечки конфиденциальной информации и других ошибок, способных привести к несанкционированному доступу к административным функциям веб-приложений. По сути — это…
❤🔥2👍2🔥2👏2
Всем привет! Лучший доклад с CISO форума уже доступен в записи → https://www.youtube.com/watch?v=PvMaOg6-9F8
Инджой!
Инджой!
YouTube
CISO форум: Обзор продуктов на базе открытого кода
— Open Source ожидание vs реальность;
— Достойные решения под основные задачи ИТ и ИБ;
— Примеры и характеристики решений для: построения базовых процессов ИТ, защиты инфраструктуры и устройств, анализа защищенности;
— Пример построения автоматизированного…
— Достойные решения под основные задачи ИТ и ИБ;
— Примеры и характеристики решений для: построения базовых процессов ИТ, защиты инфраструктуры и устройств, анализа защищенности;
— Пример построения автоматизированного…
🔥10
Сбор security логов и мониторинг событий в Linux.
Вовремя среагировать или расследовать инцидент может помочь утилита SysmonForLinuх.
System Monitor for Linux — это инструмент, предоставляющий возможность расширенного мониторинга событий в Linux. Он является полным аналогом инструмента Sysinternals Sysmon для Windows.
Утилита позволяет отслеживать системные вызовы, такие как: создание и удаление файлов, изменение прав доступа к файлам, запуск и остановка процессов, сетевую активность, изменения в системном реестре и т.д. Кроме того, может определять подозрительную активность и отправлять уведомления об этом.
Нам, конечно, хотелось бы использовать SysmonForLinux до момента полной компрометации системы. Поэтому — пару слов про интеграции SysmonForLinux в SIEM.
Для интеграции можно использовать системы сбора и анализа журналов (например, ELK), агрегаторы логов (например, Fluentd, rsyslog). В процессе интеграции можно (даже нужно, т.к. событий будет очень много) настроить сбор данных о различных событиях, определить пороговые значения и правила для обнаружения подозрительной активности и настроить уведомления для оперативного реагирования на инциденты.
Конечно, SysmonForLinux имеет множество аналогов, которые могут быть удобнее для вашей инфраструктуры.
А как вы собираете security события с *nix хостов?
Вовремя среагировать или расследовать инцидент может помочь утилита SysmonForLinuх.
System Monitor for Linux — это инструмент, предоставляющий возможность расширенного мониторинга событий в Linux. Он является полным аналогом инструмента Sysinternals Sysmon для Windows.
Утилита позволяет отслеживать системные вызовы, такие как: создание и удаление файлов, изменение прав доступа к файлам, запуск и остановка процессов, сетевую активность, изменения в системном реестре и т.д. Кроме того, может определять подозрительную активность и отправлять уведомления об этом.
Нам, конечно, хотелось бы использовать SysmonForLinux до момента полной компрометации системы. Поэтому — пару слов про интеграции SysmonForLinux в SIEM.
Для интеграции можно использовать системы сбора и анализа журналов (например, ELK), агрегаторы логов (например, Fluentd, rsyslog). В процессе интеграции можно (даже нужно, т.к. событий будет очень много) настроить сбор данных о различных событиях, определить пороговые значения и правила для обнаружения подозрительной активности и настроить уведомления для оперативного реагирования на инциденты.
Конечно, SysmonForLinux имеет множество аналогов, которые могут быть удобнее для вашей инфраструктуры.
А как вы собираете security события с *nix хостов?
👍4❤3😁1
Продолжаем рассказывать о проектах обезличено. Сегодня история о том, как клиентоориентированность автодилера сгубила.
Если нужна консультация, пентест или тренинг по социальной инженерии — пишите на почту info@awillix.ru
Если нужна консультация, пентест или тренинг по социальной инженерии — пишите на почту info@awillix.ru
🔥9❤2❤🔥1👍1😁1😱1
Как сделать аудит безопасности мобильного приложения? Продолжаем рассказывать про свой опыт на страницах Ciso club.
~ Цель аудита безопасности мобильных приложений.
~ Специфика первичного анализа приложения.
~ Зависимость от физического оборудования.
~ Инструменты для анализа защищенности на ОС Android и ОС iOS.
~ Практики успешного проведения оценки состояния защищенности мобильных приложений.
Много букв и много пользы :)
Читайте → https://cisoclub.ru/audit-bezopasnosti-mobilnyh-prilozhenij-osobennosti-instrumenty-i-luchshie-praktiki/
~ Цель аудита безопасности мобильных приложений.
~ Специфика первичного анализа приложения.
~ Зависимость от физического оборудования.
~ Инструменты для анализа защищенности на ОС Android и ОС iOS.
~ Практики успешного проведения оценки состояния защищенности мобильных приложений.
Много букв и много пользы :)
Читайте → https://cisoclub.ru/audit-bezopasnosti-mobilnyh-prilozhenij-osobennosti-instrumenty-i-luchshie-praktiki/
CISOCLUB
Аудит безопасности мобильных приложений: особенности, инструменты и лучшие практики | CISOCLUB
Цель аудита безопасности мобильных приложений Есть две ключевых цели, выделенных в стандарте OWASP ASVS. ASVS – это список требований или тестов для проверки безопасности приложений, которым могут воспользоваться архитекторы, разработчики, тестировщики, специалисты…
🔥4❤2👍2✍1❤🔥1👏1
Уязвимости в функциях загрузки файлов очень распространены.
При проведении анализа защищенности веб-приложений, важно знать, как обойти ограничения, так как это часто приводит к полной компрометации системы. А для разработчиков и инженеров полезно знать, как такие атаки происходят, чтобы корректно реализовать механизмы защиты.
Минимальный набор проверок File Upload:
→ Попробуйте различные расширения файлов: используйте разные варианты расширений файлов, например, php3, php4, php5, phtml для PHP-скриптов, asp, aspx и ashx для IIS. Список можно взять тут: https://github.com/danielmiessler/SecLists
→ Добавьте дополнительное расширение файла: если приложение не проверяет правильность расширения файла — добавьте еще одно расширение, например, из noscript.php в noscript.gif.php
→ Неправильная реализация Regex: например, некорректное регулярное выражение
→ Измените регистр расширения: попробуйте разные комбинации строчных и прописных букв, например, pHp, PhP, phP, Php и т.д.
→ Приложение позволяет загружать файлы .noscript?: SVG изображения — это просто данные XML. Используя XML, можно, например, добиться XSS.
→ Измените тип контента: при перехвате запроса с помощью Burp Suite, тип контента можно изменить, например, с
→ Попробуйте использовать исполняемые расширения: могут быть разрешены определенные исполняемые расширения, например
→ Добавьте нулевой байт в имя файла: если сайт использует белые списки расширений файлов, их часто можно обойти, добавив
→ Вставьте данные EXIF: исполняемый скрипт может быть вставлен в изображение в форме метаданных комментария, который затем будет выполнен, если веб-сервер обрабатывают эти данные.
→ Попробуйте использовать обозначение Windows 8.3 для имени файла: можно использовать короткую версию имени файла Windows 8.3. Например,
→ Обход каталога: попробуйте использовать вместо имени файла
Полезные ссылки:
- Перезапись файла конфигурации сервера
- Обфускация расширений файлов
- Race condition при загрузке файлов
- Небезопасная десериализация, ведущая к полному захвату сервера
- OWASP Unrestricted File Upload
Накидывайте еще способы обхода и полезные ссылки по теме в комментарии!
При проведении анализа защищенности веб-приложений, важно знать, как обойти ограничения, так как это часто приводит к полной компрометации системы. А для разработчиков и инженеров полезно знать, как такие атаки происходят, чтобы корректно реализовать механизмы защиты.
Минимальный набор проверок File Upload:
→ Попробуйте различные расширения файлов: используйте разные варианты расширений файлов, например, php3, php4, php5, phtml для PHP-скриптов, asp, aspx и ashx для IIS. Список можно взять тут: https://github.com/danielmiessler/SecLists
→ Добавьте дополнительное расширение файла: если приложение не проверяет правильность расширения файла — добавьте еще одно расширение, например, из noscript.php в noscript.gif.php
→ Неправильная реализация Regex: например, некорректное регулярное выражение
".png|.jpeg" можно обойти с помощью следующей нагрузки bypasspng.php.→ Измените регистр расширения: попробуйте разные комбинации строчных и прописных букв, например, pHp, PhP, phP, Php и т.д.
→ Приложение позволяет загружать файлы .noscript?: SVG изображения — это просто данные XML. Используя XML, можно, например, добиться XSS.
→ Измените тип контента: при перехвате запроса с помощью Burp Suite, тип контента можно изменить, например, с
"Content-type: application/x-php" на "Content-type: image/gif"
→ Добавьте magic байт в файл: магические байты служат подписями, которые используются веб-сервером для определения типа загружаемого файла. Например, добавив GIF87a в начало скрипта, сервер будет считать его файлом GIF. Например : Filename='1.php' , filetype: image/gif и начните содержимое файла с GIF29a
→ Попробуйте уменьшить размер файла: если используется ограничение размера файла, можно загрузить меньший скрипт для удаленного выполнения кода.→ Попробуйте использовать исполняемые расширения: могут быть разрешены определенные исполняемые расширения, например
.phtml, .shtml, .asa, .cer, .asax, .swf, или .xap.→ Добавьте нулевой байт в имя файла: если сайт использует белые списки расширений файлов, их часто можно обойти, добавив
%00 (HTML) или \x00 (hex) в конец имени файла. Например: php-reverse-shell.php%00.gif
→ Добавьте специальные символы перед расширением файла: на старых веб-серверах, добавление специальных символов, таких как ;%$&, сразу после имени файла, например, shell;.php, может помочь обойти белые списки расширений файлов.→ Вставьте данные EXIF: исполняемый скрипт может быть вставлен в изображение в форме метаданных комментария, который затем будет выполнен, если веб-сервер обрабатывают эти данные.
→ Попробуйте использовать обозначение Windows 8.3 для имени файла: можно использовать короткую версию имени файла Windows 8.3. Например,
shell.aspx станет SHELL~1.ASP
→ Попробуйте добавить нейтральные символы после имени файла: специальные символы, такие как пробелы или точки в Windows, или точки и слэши в Linux в конце имени файла, будут автоматически удалены (например, shell.aspx … … . . .. .., file.asp.).→ Обход каталога: попробуйте использовать вместо имени файла
../../../../etc/passwd и подобные, возможно, вы наткнетесь на новую уязвимостьПолезные ссылки:
- Перезапись файла конфигурации сервера
- Обфускация расширений файлов
- Race condition при загрузке файлов
- Небезопасная десериализация, ведущая к полному захвату сервера
- OWASP Unrestricted File Upload
Накидывайте еще способы обхода и полезные ссылки по теме в комментарии!
👍13❤2🔥1👨💻1
Внимательный подписчик узнает в этой колонке наш недавний вебинар. А всем, кто его пропустил, рекомендуем прочитать выдержку в «Хакер» 👇
https://xakep.ru/2023/05/17/ideal-pentest/
https://xakep.ru/2023/05/17/ideal-pentest/
xakep.ru
Идеальный пентест. Как довести заказчика до экстаза
Пентест, то есть проверка инфраструктуры компании на возможность хакерского проникновения, — это распространенная услуга, которую предоставляют ИБ-компании. Однако пентесты бывают очень разными. В этой статье я расскажу, как, на мой взгляд, должны и как не…
👍4🔥2❤🔥1
Forwarded from Хакер — Xakep.RU
Идеальный пентест. Как довести заказчика до экстаза
Пентест, то есть проверка инфраструктуры компании на возможность хакерского проникновения, — это распространенная услуга, которую предоставляют ИБ-компании. Однако пентесты бывают очень разными. В этой статье я расскажу, как, на мой взгляд, должны и как не должны выглядеть результаты таких работ. Думаю, мои советы пригодятся и заказчикам, и исполнителям.
https://xakep.ru/2023/05/17/ideal-pentest/
Пентест, то есть проверка инфраструктуры компании на возможность хакерского проникновения, — это распространенная услуга, которую предоставляют ИБ-компании. Однако пентесты бывают очень разными. В этой статье я расскажу, как, на мой взгляд, должны и как не должны выглядеть результаты таких работ. Думаю, мои советы пригодятся и заказчикам, и исполнителям.
https://xakep.ru/2023/05/17/ideal-pentest/
🔥5👍3❤🔥2👎2❤1