Miért szükséges az újratesztelés a penetrációs teszt után

Mi ér­tel­me van egy a­lap­ál­la­pot lét­re­ho­zá­sá­nak, ha nem szán­dé­ko­zol nyo­mon kö­vet­ni a fej­lő­dé­se­det? A­mi­kor a szer­ve­ze­tek csak egy kez­de­ti pe­net­rá­ci­ós tesz­tet vé­gez­nek, csak a kép fe­lét kap­ják meg. A pe­net­rá­ci­ós teszt cél­ja, hogy a­lap­ve­tő ké­pet ad­jon ar­ról, men­nyi­re áll­ja meg a he­lyét a vál­lal­ko­zás a hac­ke­rek­kel szem­ben, a­kik ki a­kar­ják hasz­nál­ni a se­bez­he­tő­sé­ge­ket. Mi­után meg­kap­ják az e­red­mé­nye­ket, a csa­pa­ton mú­lik a vál­toz­ta­tá­sok vég­re­haj­tá­sa. De mi tör­té­nik ez­után? Va­jon biz­ton­sá­go­sab­bak let­tek a dol­gok? Az el­vég­zett ja­ví­tá­sok tény­le­ge­sen mű­köd­nek? Van­nak új se­bez­he­tő­sé­gek, a­me­lye­ket a ja­ví­tá­sok hoz­tak lét­re? Mind­ez­ek a kér­dé­sek (és még sok más) hang­sú­lyoz­zák an­nak fon­tos­sá­gát, hogy a pe­net­rá­ci­ós tesz­tet új­ra kell fut­tat­ni a ja­ví­tá­sok után.

1. Annak el­le­nőr­zé­se, hogy a ja­ví­tá­si erő­fe­szí­té­se­ket va­ló­ban vég­re­haj­tot­ták

A legfontosabb ok az újratesztelésre, hogy megbizonyosodjunk arról, hogy a javítási tervek ténylegesen akcióba léptek.

Philip Clampitt tudós és tanácsadó megjegyezte: „A kommunikáció első elve: az 'üzenet küldve' gyakran nem egyenlő az 'üzenet fogadva' állapottal.” Ez igaz minden két emberi fél közötti kommunikáció esetében, és a kiberbiztonság területe sem kivétel.

A penetrációs tesztelő csapat – akár belső, akár külső – a legjobb tudása szerint közvetíti az eredményeket, jelentéseket készít és prioritásokat jelez. A penetrációs tesztelők általában nem ugyanazok, akik a változtatások végrehajtásáért felelősek. Ezenkívül nem minden penetrációs tesztelő csapat egyenlő, és ugyanígy nem minden SOC sem az. A jelentések nem mindig részletesek, vagy más kommunikációs hibák vezethetnek oda, hogy az ajánlott változtatások figyelmen kívül maradnak.

Emellett az ügyféloldalon az alkalmazottak nem biztos, hogy végrehajtották a szükséges változtatásokat. Ez magában foglalja a jelszavak frissítését, a jogosultságok auditálását és az összes alkalmazás hozzáadásának jelentését az IT-nek (ez rád vonatkozik, Shadow IT).

Az újratesztelés egy második esély a magas prioritású biztonsági gyengeségek kiemelésére és annak biztosítására, hogy a javítási irány helyes.

2. Annak meg­ha­tá­ro­zá­sa, hogy a ja­ví­tá­si erő­fe­szí­té­sek ha­té­ko­nyak vol­tak-e

Most térjünk rá a technikai kérdésekre. Az egyik dolog azt mondani, hogy „alkalmazd ezt a javítást.” Az egy másik, hogy meglegyen a technikai tudás, hogy ezt megfelelően tegyék. Vagy hogy a megfelelő személy kapta meg a feladatot.

A penetrációs teszt után a biztonsági csapat aktivitása intenzív lehet, miközben a csapattagok megpróbálják hatékonyan végrehajtani a szükséges javításokat. Néha valami elhamarkodik, és egy elírás megakasztja a dolgokat. Vagy talán egy feladatot valaki olyan kap, akinek kissé eltérő a szakterülete. Köztudott, hogy a kiberbiztonsági erőforrások folyamatosan korlátozottak. Érthető, hogy történnek dolgok.

Emellett a javítások lehetnek inkompatibilisek. Nem ér semmit, ha nem teszteled újra, hogy biztos legyél benne, hogy a sebezhetőség valóban megfelelően lett orvosolva. A kerülő megoldások sem mindig hatékonyak. Ami elméletben működik, az stresszhelyzetben nem biztos, hogy működni fog, és nincs jobb módja annak, hogy ezt megtudd, mint újra tesztelni. Vagyis, újratesztelni.

3. Az új prob­lé­mák fel­tá­rá­sa, a­me­lye­ket a ja­ví­tá­si erő­fe­szí­té­sek okoz­tak

Emlékszel a történetre, ahol a fiú ujját a falba dugja, és megmenti a városát az árvíztől? Nos, a valóságban a javítás inkább olyan, mint a Whack-a-Mole játék vagy egy ötéves agyműtét. Ha nem csinálod jól elsőre, egy sor más probléma is felbukkanhat.

Néha a javítás hibái egy teljesen új (kizsákmányolható) sebezhetőséget jelenthetnek. Vagy a javítás helytelen alkalmazása egy jó javítást rosszá tehet (vagy máshol nyithat problémás pontokat). Alternatív megoldásként egy új biztonsági intézkedés, amely az ügy megoldására irányul, helytelen konfigurálás esetén problémát okozhat. Sajnos bármilyen változás, még a gyengeségek megszüntetésére irányuló is, önmagában problémává válhat.

A probléma megoldása közben nemcsak a "piszkos munkát" kell elvégezni, hanem biztosítani kell, hogy minden körülötte tökéletesen tiszta maradjon. Ez egy nehéz feladat, és nem mindenki csinálja jól elsőre. A perfekcionizmus helyett ésszerűbb, ha ugyanaz a csapat újra ellenőrzi a munkádat. Vagy akár egy másik.

Az új­ra­tesz­te­lé­si erő­fe­szí­té­sek egy­sze­rű­sí­té­se

Az újratesztelés előnye, hogy nem igényel annyi erőfeszítést, mint az eredeti tesztelési kezdeményezés. Amikor a hálózatot először tesztelték, a gyakorlók szélesebb körű vizsgálatot végeztek – feltérképezve a kizsákmányolás eredményeit a kockázat prioritásának jobb meghatározása érdekében. Második alkalommal már nincs szükség feltérképezésre. Ismerik a talált sebezhetőségeket és a legkritikusabbakat. A támadási útvonaluk már ki van jelölve – emlékeznek, hogyan jutottak oda, és hol voltak a gyenge pontok első alkalommal. Gyorsabban és könnyebben vissza tudnak navigálni ezekre a pontokra, és gyorsan ellenőrizhetik, hogy a problémák megoldódtak-e.

Új­ra­tesz­te­lés pe­ne­trá­ciós tesz­te­lé­si meg­ol­dá­sok­kal vagy szol­gál­ta­tá­sok­kal

A penetrációs tesztelés folyamat, nem esemény. És soha, de soha nem ér véget. Az a nap, amikor egy szervezet abbahagyja a biztonságának felmérését, az a nap, amikor el kell kezdenie a helyreállítási terv kidolgozását számos sikeres támadás esetére.

Azok a cégek, amelyek éberen maradnak és a penetrációs tesztelést a teljes biztonsági stratégiájuk szokásos részévé teszik, nemcsak azt az előnyt élvezik, hogy megtudják, mi ment rosszul egyszer, hanem folyamatosan tisztában vannak biztonsági helyzetükkel. Ez olyan, mint mindig tudni a jegyét, és nem csak akkor megtudni a középértékelését, amikor már megbukott a tárgyból.

Sosem késő: Amikor az offenzív biztonságra gondolunk, a szervezetek most kezdhetnek el kapcsolatokat építeni külső penetrációs tesztelőkkel, akik segíthetnek nekik a helyes úton elindulni. A Fortra módokat kínál a csapatoknak házon belüli penetrációs tesztelésre vagy szolgáltatásokat, hogy ezt megtegyék helyettük.

A Core Impact segítségével még a kevésbé tapasztalt csapatok is könnyen végezhetnek magas szintű, automatizált penetrációs teszteket a tanúsított exploit könyvtár segítségével, és könnyen újratesztelhetik a korábban sebezhetőnek ítélt hálózati és webes eszközöket. Az előzőleg futtatott tesztek tárolásával a Remediation Validator hatékonyan végrehajthat egy újratesztelést, és összehasonlító jelentést készít az új és az eredeti teszt eredményei között.

Vagy támaszkodj a Fortra specializált offenzív biztonsági szakértői csapatára, hogy megkönnyítsék a feladatot. Amikor kihasználod a menedzselt penetrációs tesztelési szolgáltatásainkat, tapasztalt tesztelőket kapsz, akik kereskedelmi szintű eszközöket használnak a rendszered felmérésére, és egyetlen követ sem hagynak megfordítatlanul.

Tehát, amikor sebezhetőségek feltárásáról van szó, ne feledd: Tesztelj korán, tesztelj gyakran, és mindig (mindig) újratesztelj.

Forrás Fortra