渗透测试的挑战2020:公司如何在渗透测试中变得更加有用,道德黑客的挑战以及初学者可以做什么





到了2020年,人们很高兴阅读另一篇文章,其中涉及到打开陌生人的来信有多糟,特别是带有附件,将可疑的闪存驱动器插入计算机有多危险,在遥远的国家,黑客如何在动snap的手指间从帐户中转移数百万美元。该分析报告称,到2020年,在10个银行中有7个可以在两个晚上通过两名黑客的努力被黑客入侵。对于普通用户,他们甚至都不害怕:他们只是将诸如独立Marvel宇宙之类的消息视为事实,并偶尔要求熟悉的计算机科学家来破解VK。而且只有安全专家了解,一切都不像看起来那么简单...



到2020年,“最庞大”这个词已为许多人所熟悉,所有成熟的公司都会定期进行此类工作。有些人甚至组成了专家团队,每天进行自检。信息安全工具(SIS)的数量在不断增加,最佳的信息安全实践是免费在Internet上分发的,信息安全过程是根据最佳方法构建的。同时,人们仍然认为,什么都不会成为黑客的障碍:如果他们需要某些东西,他们就会实现。作为直接渗透测试专家,我今天想谈谈这种现象。



“前几代人的壮举是下一代的一项固定工作”


10到15年前,信息安全与乐趣相关联:您可以入侵一切,却一无所获。一切都“充满漏洞”,但吓得很少人。黑客大肆宣传,并向酒吧里的朋友吹嘘自己的壮举。如今,信息安全已经是一项大业务,仅偶然地就可以轻松,快速地进行黑客入侵,而“专家级”进行攻击的成本很高。



进入信息安全实用领域的门槛已经变得更高:如果早些时候有人可以负担得起,但身体状况未达到最佳状态,请重复在互联网上观看的几段视频,然后入侵组织,例如使用域控制器,现在可以做到这一点了到处都不是。问题至少在每一个环节和每个领域都开始出现,至少部分是因为以前的测验已经采纳了建议。下面,我将分析开始进行渗透测试时可能遇到的问题。



内部测试(或不忠诚的员工)



网络连接



让我们从内部网络进行渗透测试:现在,您甚至无法像这样连接到组织的网络出口。您来找客户,拿出一台笔记本电脑,用电线连接到以太网,然后……什么都没有。您假设需要绕过所连接设备的控制,如果需要在某个地方找到合法的MAC地址,但是它是否绑定到端口,这很好。如果一个端口上的MAC数量受到限制怎么办?并且是否有带有证书和合格配置文件的802.1x(Cisco ISE)?然后,您需要找到一个带有客户端证书的域帐户,或者将MITM破坏到其他人的流量中,并假装通过合法主机成为打印机或代理。你感觉到了吗?如电影中所示,这不是让您快速敲打键盘上的手指。



扫描



您像往常一样开始扫描子网(10.0 / 8,172.16 / 12,192.168 / 16),并且所有端口都已关闭或过滤,然后访问完全丢失。这些是我们最喜欢的具有适当配置分段策略的​​ITU。您放慢了速度,使用了模糊的侦察技术,但使用漏洞利用时却被淘汰了:它已经“入侵”了IDS / IPS,并告别了未经授权的访问。



终点



我进入了主机,但随后防病毒软件将使您失望,否则SIEM会烧死您,如果您拥有外壳,事实证明它具有有限的权限,并且会推出LPE的所有当前补丁程序,此外还会隔离lsass.exe进程。此外,尽管配置不正确,但用于检测异常用户行为的机制已经拧紧,实现了DLP,但是您已经注意到了在会计师工作站上运行的PowerShell。



“铁”



如果您在员工病假期间尝试物理地入侵他人的PC,则会发现BIOS受密码保护,硬盘使用位锁,PIN码和TPM模块进行加密,并且无法从计算机中提取任何内容。



域攻击



我有一个Active Directory域帐户,您很高兴现在可以对AD进行您最喜欢的攻击:Kerberoasting,AS-REP Roasting,委派攻击,但事实并非如此。提供了一切,密码不是“ brutal”,Microsoft ATA检测到对域的攻击,过时的主机被分离到一个单独的域中,此外,该体系结构是使用RedForest构建的,仅此而已,即使对用户域的妥协也不会带来预期的结果。



外部测试(Internet黑客)



您正在尝试入侵外围设备,并且Anti-DDoS和WAF已经存在,该应用程序是根据SSDLC的原理开发的,并在投入生产之前经过测试。客户端和服务器之间的数据被加密,并且任何用户输入都通过多种方式进行验证。有时,应用程序是用某种新奇的框架编写的,并被大量的企业技术所覆盖,开发人员自己才想出了如何在六个月内添加模块的方法,您打算在一周之内使用“黑盒”方法进行测试吗?



移动测试(手机黑客)



让我们以一个移动应用程序为例,这里的平台本身已经在保护潜在的开发人员免受许多麻烦。畅通无阻的交通将很快被完全禁止。有意识的开发人员已将重点转移到保护服务器端,因为如果服务器没有实现“漏洞”,那么它们将无法在客户端中工作。那些更进一步的人掌握了OWASP测试指南,学习了如何检测根设备和实现ssl固定。总而言之,其余缺点的影响可以忽略不计。



Wi-Fi(具有Wi-Fi适配器的黑客)



讨论太多是没有意义的。wpa2-enterprise是否与客户端证书一起使用。现在,wpa3正在进行中,甚至服务流量也在那里被加密,并且会话密钥得到了可靠的保护。首先,当然会有实现上的错误,但是这些不再是整个协议的缺点。



奖金



还有一个额外的因素:所有GIS现在都开始整合到一个生态系统中,一旦您触碰到某个边缘,整个网络就会开始动摇。仅仅花了五个月的时间,看看思科和微软的解决方案系列,我就对随后几年隐秘工作的种种痛苦感到震惊。而且,市场上出现了“自动测试仪”,例如PenTera或Cymulate解决方案,它们很快就会开始使用一些来自测试仪的面包。仍然有一些采用机器学习,神经网络和伪AI的信息安全初创公司。到目前为止,一切看起来都很潮湿,但是已经持续了几年...



有人会说这是一个理想的情况,并且总会有漏洞,而我会回答,看着公司的信息安全如何日趋成熟,我得出的结论是,即使有经验的专家,两年的黑客“代价”也将很高。 ... 我认为,在不久的将来,远程入侵银行与2020年实际抢劫银行一样罕见(您知道最近有很多成功的案例吗?)。



我最终得到了什么?安全性变得越来越复杂,也许在将来,这方面的问题将变得更加可控。但是,我们应该闭上眼睛,等待未来的到来吗?不,我们必须采取步骤来建设这个未来。



公司的5个秘诀



  • « » .



    nmap Nessus, , . , . , , , , . , , .



    : 10 , . , , , , .
  • .



    , ( ) - , - . . .
  • Red Teaming continuous pentest.



    , , ? ? , , -- ? Red Teaming , «» , , (3-9 ).
  • .



    , : , .
  • .



    . 100500 - . , , .




  • .



    . Bug Bounty GitHub CTF, . , — .
  • .



    . , , . , . telegram- twitter. - , «» , .
  • 与社区在一起。



    形成一个专业的社交圈:一起做某事比独自坐在壁橱里做事更有效率。在电影中,一个孤独的黑客闯入了世界,但实际上,有一个APT对每个人都有明确的角色和任务:一个扫描,另一个漏洞利用,第三个分析,第四个进行提款。开放并分享知识,因为其他人已经完成了您计划的100倍,相反,您可以帮助他们减少例行工作的时间,并腾出时间进行创造。


普通用户该怎么做



您不太可能正在阅读本文,但仍然可以。安全性得到控制:不要等待海边的天气,为自己提供一个正常的密码,参加有关信息安全性的提高认识的课程,并遵循他们的建议。相信我,这并不困难。



结论



我写这篇文章并不是为了展示信息安全方面的所有优势,而是要确保一切都不会像过去那样糟糕负面新闻使我们得以发展并变得更好,但答案是:我们比10年前更安全吗?好吧,如果您不这样做,那么谁可以入侵VK,例如:不是用户,不是抛出XSS,而是整个基础架构?



All Articles