Inspired by Insecure

November 30, 2011 at 3:22 pm

Записки аудитора: аудит в условиях непрерывного пентеста

Метод проведения аудита в условиях непрерывного пентеста

Проведение технического аудита в подавляющем большинстве случаев сопровождается анализом защищенности сетевого периметра. Практика показывает, что этап проведения внешнего теста на проникновение является для аудитора задачей, которая требует ожидания. За время, пока пентестеры врезаются в инфраструктуру, пытаясь перевести свою деятельность на внутрекорпоративный уровень, аудитор проводит ряд организационных мероприятий, связанных с получением дополнительных данных для последующей оценки защищенности методом «белого ящика». Иногда встречаются ситуации, когда он вынужден выносить вердикт исключительно по результатам теста на проникновение или в значительной степени опираться на эти результаты. Встает вопрос оптимизации в реальном времени получаемой от пентестера информации.

Информационный поток, содержащий результаты деятельности персонала, ответственного за проведение тестов на проникновение, состоит из данных, которые несут «полезную нагрузку» разной степени важности:

  • особенности сетевой инфраструктуры, выявленные на этапе инвентаризации;
  • обнаруженные уязвимости, имеющие разную степень критичности и «среду обитания»;
  • недостатки конфигурации;
  • скомпрометированные учетные записи;
  • вектора проникновения и закрепления во внутренней сети;
  • подозрительные узлы и сервисы, которые показались пентестеру уместными в итоговом отчете.

Каждый из вышеперечисленных пунктов можно отнести к различным моделям OSI, присвоить определенный уровень критичности (причем, сразу по нескольким «шкалам уязвимостей») – в общем, тем или иным образом классифицировать. Причем, процедура классификации может осуществляться по мере поступления новой информации и тем самым позволяет аудитору действовать синхронно с пентестерами.

Все множество уязвимостей и недостатков конфигурации можно отнести к «Внешнему периметру» или «Внутренней сети». В каждом из этих подмножеств можно ввести классификацию, которая проиллюстрирована на рисунке.

Информация об уязвимости проходит путь от общих категорий к более точным, попадая в «корзинки»: «Уязвимости или недостатки конфигурации», «Сетевое оборудование» и «Скомпрометированные учетные записи». Данная обработка поступающей от пентестеров информации позволит в реальном времени распределять уязвимости по типам, тем самым сэкономив время при формировании итоговых результатов. Если по каким-либо причинам эта схема не учитывает тот или иной факт, то прошу читателя не стесняться и приводить примеры исключительных ситуаций для обсуждения и совместного дополнения.

0 likes Blog # , , ,
Share: / / /

Leave a Reply

Your email address will not be published. Required fields are marked *

Be aware of the first

Материалы, опубликованные в этом блоге, отражают исключительно точку зрения автора и могут не совпадать с мнением и позицией его текущего работодателя.