Documentazione<Precedenti | Contenuti | Succ.>
11.2.3. Test di penetrazione tradizionale
Un test di penetrazione tradizionale è diventato un elemento difficile da definire, con molti che lavorano da definizioni diverse, a seconda dello spazio in cui operano. Parte di questa confusione di mercato è guidata dal fatto che il termine "Test di penetrazione" è diventato più comunemente utilizzato per il test di penetrazione basato sulla conformità precedentemente menzionato (o anche una valutazione della vulnerabilità) in cui, per progettazione, non si sta approfondendo troppo la valutazione perché andrebbe oltre i requisiti minimi.
Ai fini di questa sezione, eviteremo tale dibattito e utilizzeremo questa categoria per coprire le valutazioni che vanno oltre i requisiti minimi; valutazioni che sono progettate per migliorare effettivamente la sicurezza complessiva dell'organizzazione.
A differenza dei tipi di valutazione discussi in precedenza, i test di penetrazione spesso non iniziano con una definizione di ambito, ma invece con un obiettivo come "simulare cosa accadrebbe se un utente interno fosse compromesso" o "identificare cosa accadrebbe se il l'organizzazione è stata oggetto di un attacco mirato da parte di una parte malintenzionata esterna". Un elemento chiave di differenziazione di questo tipo di valutazioni è che non solo trovano e convalidano le vulnerabilità, ma sfruttano invece i problemi identificati per scoprire lo scenario peggiore. Invece di fare affidamento esclusivamente su set di strumenti di scansione delle vulnerabilità pesanti, è necessario proseguire con la convalida dei risultati attraverso l'uso di exploit o test per eliminare i falsi positivi e fare del proprio meglio per rilevare vulnerabilità nascoste o falsi negativi. Questo spesso comporta lo sfruttamento
20https: //www.pcisecuritystandards.org/documents/pcidss_qrgv3_2.pdf
vulnerabilità scoperte inizialmente, esplorando il livello di accesso fornito dall'exploit e utilizzando questo accesso aumentato come leva per ulteriori attacchi contro il bersaglio.
Ciò richiede una revisione critica dell'ambiente di destinazione insieme a ricerca manuale, creatività e pensiero fuori dagli schemi per scoprire altre vie di potenziale vulnerabilità e, infine, utilizzare altri strumenti e test al di fuori di quelli trovati dagli scanner di vulnerabilità più pesanti. Una volta completato, è spesso necessario ricominciare l'intero processo più volte per svolgere un lavoro completo e completo.
Anche con questo approccio, troverai spesso che molte valutazioni sono composte da diverse fasi. Kali rende facile trovare i programmi per ogni fase tramite il menu Kali:
• Raccolta di informazioni: in questa fase, ti concentri sull'apprendimento il più possibile sull'ambiente di destinazione. In genere, questa attività non è invasiva e apparirà simile all'attività standard dell'utente. Queste azioni costituiranno la base del resto della valutazione e pertanto devono essere il più complete possibile. Kali's Raccolta di informazioni La categoria ha dozzine di strumenti per scoprire quante più informazioni possibili sull'ambiente da valutare.
• Individuazione delle vulnerabilità: questa operazione verrà spesso chiamata "raccolta attiva di informazioni", in cui non si attacca ma si adotta un comportamento dell'utente non standard nel tentativo di identificare potenziali vulnerabilità nell'ambiente di destinazione. È qui che la scansione delle vulnerabilità discussa in precedenza avrà luogo più spesso. I programmi elencati nel Analisi delle vulnerabilità, Analisi delle applicazioni Web, Valutazione del databasee Reverse Engineering le categorie saranno utili per questa fase.
• Sfruttamento: con le potenziali vulnerabilità scoperte, in questa fase si cerca di sfruttarle per prendere piede nel bersaglio. Gli strumenti per assistervi in questa fase sono disponibili nel Analisi delle applicazioni Web, Valutazione del database, Attacchi con passworde Strumenti di sfruttamento Categorie.
• Perno ed Esfiltrazione: Una volta stabilito il punto d'appoggio iniziale, devono essere completati ulteriori passaggi. Questi sono spesso l'escalation dei privilegi a un livello adeguato per raggiungere i tuoi obiettivi come attaccante, il perno in altri sistemi che potrebbero non essere stati precedentemente accessibili a te e l'esfiltrazione di informazioni sensibili dai sistemi presi di mira. Fare riferimento al Attacchi con password, Strumenti di sfruttamento, Sniffing e spoofinge Post sfruttamento categorie per aiutare in questa fase.
• Reporting: una volta completata la parte attiva della valutazione, è necessario documentare e riferire sulle attività che sono state condotte. Questa fase spesso non è tecnica come le fasi precedenti, tuttavia è estremamente importante garantire che il cliente tragga pieno valore dal lavoro completato. Il strumenti di reporting La categoria contiene una serie di strumenti che si sono rivelati utili in fase di rendicontazione.
Nella maggior parte dei casi, queste valutazioni saranno molto uniche nella loro progettazione poiché ogni organizzazione opererà con minacce e risorse diverse da proteggere. Kali Linux è una base molto versatile per
questo tipo di valutazioni ed è qui che puoi davvero sfruttare le numerose funzionalità di personalizzazione di Kali Linux. Molte organizzazioni che conducono questo tipo di valutazioni manterranno versioni altamente personalizzate di Kali Linux per uso interno per accelerare l'implementazione dei sistemi prima di una nuova valutazione.
Le personalizzazioni che le organizzazioni apportano alle loro installazioni Kali Linux includeranno spesso:
• Preinstallazione di pacchetti commerciali con informazioni sulla licenza. Ad esempio, potresti avere un pacchetto come uno scanner di vulnerabilità commerciale che vorresti usare. Per evitare di dover installare questo pacchetto con ogni build, puoi farlo una volta21 e fallo apparire in ogni distribuzione di Kali che fai.
• Reti private virtuali (VPN) di connessione preconfigurata. Questi sono molto utili nei dispositivi leave- behind che consentono di condurre valutazioni "interne a distanza". Nella maggior parte dei casi, questi sistemi si riconnetteranno a un sistema controllato dal valutatore, creando un tunnel che il valutatore può utilizzare per accedere ai sistemi interni. L'ISO di Kali Linux di Doom22 è un esempio di questo esatto tipo di personalizzazione.
• Software e strumenti sviluppati internamente preinstallati. Molte organizzazioni avranno set di strumenti privati, quindi configurali una volta in un'installazione Kali personalizzata23 risparmia tempo.
• Configurazioni del sistema operativo preconfigurate come mappature host, sfondo del desktop, impostazioni proxy, ecc. Molti utenti Kali hanno impostazioni specifiche24 a loro piace aver ottimizzato proprio così. Se hai intenzione di ridistribuire Kali su base regolare, acquisire questi cambiamenti ha molto senso.