Tantangan Pentesting 2020: Bagaimana Perusahaan Dapat Menjadi Lebih Berguna untuk Pentesting, Tantangan Peretas Etis, dan Apa yang Dapat Dilakukan Pemula





Saat itu tahun 2020, orang-orang senang membaca artikel lain tentang betapa buruknya membuka surat dari orang asing, terutama dengan lampiran, betapa berbahayanya memasukkan flash drive yang meragukan ke dalam komputer, bagaimana di negara yang jauh peretas mengirim jutaan dolar dari satu akun ke akun hanya dengan menjentikkan jari mereka. Analitik, yang mengatakan bahwa 7 dari 10 bank dapat diretas oleh upaya dua peretas di beberapa malam, tampaknya menjadi hal biasa bagi orang-orang pada tahun 2020. Sedangkan untuk pengguna biasa, mereka bahkan tidak takut: mereka hanya menganggap berita seperti itu sebagai Marvel universe yang terpisah dan kadang-kadang meminta ilmuwan komputer yang dikenal untuk meretas VK. Dan hanya pakar keamanan yang mengerti bahwa semuanya tidak sesederhana seperti yang terlihat ...



Pada tahun 2020, kata "pentest" sudah akrab bagi banyak orang, dan semua perusahaan dewasa melakukan pekerjaan seperti itu secara teratur. Beberapa bahkan membentuk staf spesialis dan swa-uji setiap hari. Jumlah alat keamanan informasi (ISS) terus meningkat, praktik keamanan informasi terbaik didistribusikan secara gratis di Internet, proses keamanan informasi dibangun sesuai dengan metodologi terbaik. Pada saat yang sama, pikiran itu masih ada di benak orang bahwa tidak ada halangan bagi peretas: jika mereka membutuhkan sesuatu, mereka akan mencapainya. Sebagai spesialis langsung dalam pengujian penetrasi, saya ingin berbicara tentang fenomena ini hari ini.



"Apa yang menjadi prestasi bagi generasi sebelumnya adalah pekerjaan tetap untuk generasi selanjutnya"


10-15 tahun yang lalu, keamanan informasi dikaitkan dengan kesenangan: Anda dapat meretas segalanya, dan Anda tidak mendapatkan apa-apa untuk itu. Semuanya "penuh lubang", tetapi itu membuat takut beberapa orang. Para peretas bersiap-siap untuk minat dan membual tentang prestasi mereka kepada teman-teman di bar. Saat ini keamanan informasi sudah menjadi bisnis besar, meretas sesuatu dapat dengan mudah dan cepat hanya mungkin terjadi secara tidak sengaja, dan melakukannya "secara ahli" adalah mahal.



Ambang batas untuk memasuki area praktis keamanan informasi telah menjadi lebih tinggi: jika sebelumnya seseorang mampu datang ke pelanggan bukan dalam bentuk fisik terbaik, ulangi beberapa video yang ditonton di Internet, dan retas organisasi, misalnya, ambil pengontrol domain, sekarang ini dapat dilakukan jauh tidak di mana-mana. Masalah mulai terjadi di setiap belokan dan di setiap wilayah, sebagian, setidaknya karena rekomendasi dari percobaan sebelumnya telah diadopsi. Di bawah ini saya akan menganalisis masalah yang mungkin Anda temui ketika mulai bekerja di pentest.



Pengujian internal (atau karyawan yang tidak loyal)



Koneksi jaringan



Mari kita ambil tes penetrasi dari jaringan internal: sekarang Anda bahkan tidak dapat terhubung ke outlet jaringan organisasi begitu saja. Anda datang ke pelanggan, mengambil laptop, terhubung dengan kabel ke Ethernet dan ... tidak ada. Anda berasumsi bahwa Anda perlu memintas kontrol perangkat yang terhubung, dan ada baiknya jika Anda perlu menemukan alamat MAC yang sah di suatu tempat, tetapi jika itu mengikat ke port? Dan jika jumlah MAC pada satu port terbatas? Dan jika ada 802.1x (Cisco ISE) dengan sertifikat dan profil yang kompeten? Kemudian Anda perlu menemukan akun domain dengan sertifikat klien sebagai tambahan, atau menabrakkan MITM ke lalu lintas orang lain dan berpura-pura menjadi printer atau proxy melalui host yang sah. Apakah kamu merasakannya? Ini bukan untuk Anda dengan cepat mengetuk jari pada keyboard, seperti yang ditunjukkan dalam film.



Memindai



Anda mulai memindai, seperti biasa, subnet (10.0 / 8, 172.16 / 12, 192.168 / 16), dan semua port ditutup atau difilter, dan kemudian akses benar-benar hilang. Ini adalah ITU favorit kami dengan kebijakan segmentasi yang dikonfigurasi dengan benar. Anda melambat, menggunakan teknik pengintaian yang gelap, tetapi Anda diusir saat menggunakan exploit: itu sudah IDS / IPS, dan selamat tinggal, akses tidak sah.



Titik akhir



Saya berjalan ke host, tetapi kemudian antivirus akan menghabisi Anda, atau SIEM akan membakar Anda, dan jika Anda mendapatkan shell, ternyata ia memiliki hak terbatas, dan semua tambalan saat ini untuk LPE diluncurkan, dan di samping itu proses lsass.exe terisolasi. Selain itu, mekanisme untuk mendeteksi perilaku pengguna yang tidak normal telah diaktifkan, DLP diimplementasikan, meskipun tidak terkonfigurasi dengan baik, tetapi PowerShell Anda yang sedang berjalan di stasiun kerja akuntan sudah akan diperhatikan.



"Besi"



Jika Anda secara fisik mencoba meretas PC orang lain ketika seorang karyawan cuti sakit, Anda akan menemukan bahwa BIOS dilindungi kata sandi, hard drive dienkripsi dengan bitlocker bersama dengan kode pin dan modul TPM, dan tidak ada yang dapat diekstraksi dari komputer.



Serangan domain



Saya mendapat akun domain Direktori Aktif dan Anda senang bahwa Anda sekarang akan melakukan serangan favorit Anda pada AD: Kerberoasting, AS-REP Roasting, serangan delegasi, tetapi bukan itu masalahnya. Semuanya disediakan, kata sandi tidak "brutal", serangan pada domain terdeteksi oleh Microsoft ATA, dan host yang sudah ketinggalan zaman dipisahkan menjadi domain yang terpisah, di samping itu, arsitektur dibangun menggunakan RedForest , dan hanya itu, bahkan kompromi dari domain pengguna tidak akan membawa hasil yang diinginkan.



Pengujian Eksternal (Peretas Internet)



Anda mencoba untuk meretas sesuatu pada batas luar, dan Anti-DDoS dan WAF sudah ada di sana, aplikasi dikembangkan berdasarkan prinsip-prinsip SSDLC dan diuji sebelum dirilis dalam produksi. Data antara klien dan server dienkripsi dan input pengguna apa pun divalidasi dalam beberapa cara. Kadang-kadang sebuah aplikasi ditulis pada beberapa kerangka kerja bermodel baru dan dilapisi dengan sekelompok perusahaan teknologi, para pengembang sendiri baru saja menemukan cara untuk menambahkan modul dalam enam bulan, di mana Anda pergi dengan fuzzing Anda menggunakan metode "kotak hitam" selama seminggu?



Pengujian seluler (peretas dengan telepon)



Mari kita ambil aplikasi mobile, di sini platform itu sendiri sudah melindungi calon pengembang dari banyak tembakan di kaki. Lalu lintas dalam bentuk terbuka akan segera dilarang sepenuhnya. Pengembang yang sadar telah mengalihkan penekanan untuk melindungi sisi server, karena jika server tidak menerapkan "lubang", maka mereka tidak akan berfungsi di klien. Mereka yang melangkah lebih jauh, menguasai Panduan Pengujian OWASP, belajar cara mendeteksi perangkat root dan menerapkan pin ssl. Dan semua dampak dari kekurangan yang tersisa diabaikan.



Wi-Fi (hacker dengan adaptor Wi-Fi)



Tidak ada gunanya membahasnya terlalu banyak. Entah wpa2-enterprise digunakan dengan sertifikat klien atau tidak. Sekarang wpa3 sedang dalam perjalanan, bahkan lalu lintas layanan dienkripsi di sana, dan kunci sesi dilindungi dengan andal. Pada awalnya, tentu saja, akan ada kesalahan dalam implementasi, tetapi ini bukan lagi kekurangan seluruh protokol.



Bonus



Satu lagi, faktor tambahan: semua GIS sekarang mulai bersatu menjadi satu ekosistem, dan segera setelah Anda menyentuh satu sisi, seluruh web mulai bergetar. Hanya dengan melihat solusi dari Cisco dan Microsoft, sebagai pentester, saya sudah ketakutan dengan semua kesusahan upaya untuk melakukan pekerjaan rahasia di tahun-tahun berikutnya. Selain itu, "penguji otomatis" muncul di pasar, misalnya, solusi PenTera atau Cymulate, yang akan segera mulai mengambil sebagian roti dari pentester. Dan masih ada startup keamanan informasi dengan Machine Learning, jaringan saraf, pseudo-AI di depan. Sejauh ini, semuanya terlihat lembab, tetapi beberapa tahun lagi ...



Seseorang akan mengatakan bahwa ini adalah situasi yang ideal, dan akan selalu ada lubang, dan saya akan menjawab itu, melihat bagaimana keamanan informasi matang di perusahaan, saya sampai pada kesimpulan bahwa dalam dua tahun "biaya" peretasan akan cukup tinggi bahkan untuk spesialis berpengalaman . Saya pikir dalam waktu dekat, meretas bank dari jarak jauh akan sama jarangnya dengan merampoknya secara fisik pada tahun 2020 (Anda tahu banyak kasus sukses baru-baru ini?).



Apa yang akhirnya saya lakukan? Keamanan menjadi lebih kompleks, dan, mungkin, di masa depan, masalah di bidang ini akan menjadi lebih terkendali. Tetapi haruskah kita menutup mata saja dan menunggu masa depan datang? Tidak, kita harus mengambil langkah untuk membangun masa depan ini.



5 tips untuk perusahaan



  • ยซ ยป .



    nmap Nessus, , . , . , , , , . , , .



    : 10 , . , , , , .
  • .



    , ( ) - , - . . .
  • Red Teaming continuous pentest.



    , , ? ? , , -- ? Red Teaming , ยซยป , , (3-9 ).
  • .



    , : , .
  • .



    . 100500 - . , , .




  • .



    . Bug Bounty GitHub CTF, . , โ€” .
  • .



    . , , . , . telegram- twitter. - , ยซยป , .
  • Bersama komunitas.



    Bentuk lingkaran sosial profesional: jauh lebih efisien untuk melakukan sesuatu bersama daripada duduk sendirian di lemari. Dalam film-film itulah seorang hacker yang sendirian menerobos ke dunia, tetapi dalam kenyataannya ada APT dengan peran dan tugas yang jelas untuk semua orang: satu pemindaian, eksploitasi lain, analisis ketiga, keempat menarik uang. Bersikap terbuka dan berbagi pengetahuan, karena orang lain telah melakukan 100 kali apa yang Anda rencanakan, dan, sebaliknya, Anda dapat membantu mereka mengurangi waktu untuk rutinitas dan membebaskannya untuk kreativitas.


Apa yang harus dilakukan untuk pengguna biasa



Tidak mungkin Anda membaca artikel ini, tetapi tetap saja. Keamanan terkendali: jangan menunggu cuaca di laut, dapatkan kata sandi normal untuk Anda sendiri, ikuti kursus peningkatan kesadaran dalam keamanan informasi dan ikuti saja saran mereka. Percayalah, itu tidak sulit.



kesimpulan



Saya menulis artikel ini bukan untuk menunjukkan seberapa baik semuanya dalam keamanan informasi, tetapi agar Anda dapat memastikan bahwa semuanya tidak seburuk yang biasa dipikirkan banyak orang. Berita negatif memungkinkan kita untuk berkembang dan menjadi lebih baik, tetapi jawab: kita lebih aman daripada 10 tahun yang lalu? Nah, jika tidak, siapa di antara Anda yang bisa meretas, misalnya, VK: bukan pengguna, bukan membuang XSS, tetapi seluruh infrastruktur?



All Articles