документація<Попередній | зміст | Наступна>
11.3. Формалізація оцінки
Коли ваше середовище Kali готове та визначено тип оцінки, ви майже готові розпочати роботу. Ваш останній крок – формалізувати роботу, яку потрібно виконати. Це надзвичайно важливо, оскільки це визначає очікування від роботи та дає вам дозвіл на здійснення незаконної діяльності. Ми розглянемо це на високому рівні, але це дуже складний і важливий крок, тому ви, ймовірно, захочете звернутися за допомогою до юридичного представника вашої організації.
У рамках процесу формалізації вам потрібно буде визначити правила залучення до роботи. Це охоплює такі елементи, як:
• З якими системами ви можете взаємодіяти? Важливо переконатися, що ви випадково не втрутилися в те, що є критичним для ведення бізнесу.
• У який час доби та протягом якого вікна атаки дозволяється проводити оцінку? Деякі організації люблять обмежувати час, протягом якого може бути проведена робота з оцінки.
• Коли ви виявляєте потенційну вразливість, чи дозволяєте вам її використовувати? Якщо ні, то який процес затвердження? Деякі організації використовують дуже контрольований підхід до кожної спроби експлуатації, тоді як інші хотіли б більш реалістичного підходу. Найкраще чітко визначити ці очікування до початку роботи.
• Якщо виявлено суттєву проблему, як її вирішити? Іноді організації хочуть, щоб їх поінформували негайно, інакше це зазвичай розглядається в кінці оцінки.
• До кого звертатися в екстрених випадках? Завжди важливо знати, до кого звертатися, коли виникає якась проблема.
• Хто буде знати про діяльність? Як це буде донесено до них? У деяких випадках організації захочуть перевірити свою ефективність реагування і виявлення інцидентів у рамках оцінки. Завжди добре знати про це заздалегідь, щоб знати, чи варто приховуватися під час оцінювання.
26http://tools.kali.org/category/web-applications 27http://tools.kali.org/category/reverse-engineering 28http://tools.kali.org
• Які очікування наприкінці оцінювання? Як будуть повідомлені результати? Дізнайтеся, чого очікують усі сторони в кінці оцінки. Визначення результату — це найкращий спосіб зробити всіх задоволеними після завершення роботи.
Хоча цей список не повний, він дає вам уявлення про деталі, які слід розглянути. Однак ви повинні розуміти, що не існує заміни хорошого юридичного представництва. Після визначення цих пунктів вам потрібно отримати відповідний дозвіл на проведення оцінки, оскільки велика частина діяльності, яку ви будете виконувати під час оцінки, може бути нелегальною без належних повноважень від особи, яка має повноваження надати такий дозвіл.
З усім цим є ще один останній крок, який ви захочете зробити перед початком роботи: перевірка. Ніколи не довіряйте обсягу, який вам надають — завжди перевіряйте його. Використовуйте кілька джерел інформації, щоб підтвердити, що системи в межах області фактично належать клієнту і що ними також керує клієнт. З поширенням хмарних сервісів організація може забути, що вона насправді не володіє системами, які надають їм послуги. Ви можете виявити, що перед початком роботи потрібно отримати спеціальний дозвіл від постачальника хмарних послуг. Крім того, завжди перевіряйте блоки IP-адрес. Не розраховуйте на припущення організації, що вони володіють цілими IP-блоками, навіть якщо вони підписали їх як життєздатні цілі. Наприклад, ми бачили приклади організацій, які запитують оцінку всього діапазону мережі класу C, хоча насправді вони володіли лише підмножиною цих адрес. Атакуючи весь адресний простір класу C, ми могли б атакувати сусідніх мереж організації. The OSINT-аналіз підкатегорія Збір інформації меню містить ряд інструментів, які можуть допомогти вам у цьому процесі перевірки.