Documentazione<Precedenti | Contenuti | Succ.>
11.3. Formalizzazione dell'Assessment
Con il tuo ambiente Kali pronto e il tipo di valutazione definito, sei quasi pronto per iniziare a lavorare. Il tuo ultimo passo è formalizzare il lavoro da fare. Questo è di fondamentale importanza, poiché definisce quali saranno le aspettative per il lavoro e ti concede il permesso di condurre attività che altrimenti potrebbero essere illegali. Ci occuperemo di questo ad alto livello, ma questo è un passaggio molto complesso e importante, quindi probabilmente vorrai verificare con il rappresentante legale della tua organizzazione per assistenza.
Come parte del processo di formalizzazione, dovrai definire le regole di ingaggio per il lavoro. Questo copre elementi come:
• Con quali sistemi puoi interagire? È importante assicurarsi di non interferire accidentalmente con tutto ciò che è fondamentale per le operazioni aziendali.
• A che ora del giorno e in quale finestra di attacco è consentita la verifica? Ad alcune organizzazioni piace limitare i tempi in cui è possibile svolgere il lavoro di valutazione.
• Quando scopri una potenziale vulnerabilità, puoi sfruttarla? In caso negativo, qual è il processo di approvazione? Ci sono alcune organizzazioni che adottano un approccio molto controllato a ogni tentativo di sfruttamento, mentre altre vorrebbero un approccio più realistico. È meglio definire chiaramente queste aspettative prima dell'inizio del lavoro.
• Se viene scoperto un problema significativo, come dovrebbe essere gestito? A volte, le organizzazioni vogliono essere informate subito, altrimenti di solito viene affrontato alla fine della valutazione.
• In caso di emergenza, chi dovresti contattare? È sempre importante sapere a chi rivolgersi quando si verifica un problema di qualsiasi tipo.
• Chi saprà dell'attività? Come verrà loro comunicato? In alcuni casi, le organizzazioni vorranno testare la loro risposta agli incidenti e le prestazioni di rilevamento come parte della valutazione. È sempre una buona idea saperlo in anticipo, in modo da sapere se dovresti adottare un certo grado di furtività nell'approccio alla valutazione.
26http://tools.kali.org/category/web-applications 27http://tools.kali.org/category/reverse-engineering 28http://tools.kali.org
• Quali sono le aspettative alla fine della valutazione? Come verranno comunicati i risultati? Sapere cosa si aspettano tutte le parti alla fine della valutazione. Definire il deliverable è il modo migliore per accontentare tutti dopo che il lavoro è stato completato.
Sebbene non sia completo, questo elenco ti dà un'idea dei dettagli che dovrebbero essere coperti. Tuttavia, dovresti renderti conto che non c'è sostituto per una buona rappresentanza legale. Una volta definiti questi elementi, è necessario acquisire l'autorizzazione adeguata per eseguire la valutazione, poiché gran parte dell'attività che svolgerai nel corso di una valutazione potrebbe non essere legale senza l'apposita autorizzazione da parte di qualcuno con l'autorità di concedere tale autorizzazione.
Con tutto ciò a posto, c'è ancora un ultimo passaggio che vorrai compiere prima di iniziare il lavoro: la convalida. Non fidarti mai dell'ambito che ti viene fornito, convalidalo sempre. Utilizzare più fonti di informazioni per confermare che i sistemi nell'ambito siano effettivamente di proprietà del cliente e che siano gestiti anche dal cliente. Con la prevalenza dei servizi cloud, un'organizzazione può dimenticare di non possedere effettivamente i sistemi che forniscono loro il servizio. Potresti scoprire che devi ottenere un'autorizzazione speciale da un fornitore di servizi cloud prima di iniziare a lavorare. Inoltre, convalidare sempre i blocchi di indirizzi IP. Non contare sul presupposto di un'organizzazione di possedere interi blocchi IP, anche se li approva come obiettivi praticabili. Ad esempio, abbiamo visto esempi di organizzazioni che richiedono una valutazione di un'intera gamma di reti di classe C quando, in realtà, possedevano solo un sottoinsieme di quegli indirizzi. Attaccando l'intero spazio di indirizzi di classe C, avremmo finito per attaccare i vicini di rete dell'organizzazione. Il Analisi OSINT sottocategoria del Raccolta di informazioni Il menu contiene una serie di strumenti che possono assistervi in questo processo di convalida.