我正在一家有偏执狂客户的小型IT公司工作,所以安全一直是我们重要的考虑因素。 过去,我们已经要求两个独立的公司( Dionach和GSS )进行渗透testing。 我们也使用Nessus进行了一些自动化的渗透testing。
这两名审计师获得了很多内幕消息,几乎没有发现任何内容*
虽然觉得我们的系统是完全安全的(我们当然很愿意在向我们的客户进行尽职调查时向他们展示这些报告),但是我很难相信我们已经实现了一个完全安全的系统特别是考虑到我们公司没有安全专家(安全一直是个问题,而且我们完全是偏执狂,这有所帮助,但事实远非如此!)
如果黑客可以入侵可能雇用至less几个人,他们的唯一任务是确保他们的数据保密,那么他们肯定可以入侵我们的小企业,对吗?
有人有聘请“道德黑客”的经验吗? 如何find一个? 需要多less费用?
*他们给我们的唯一build议是在两台windows服务器上升级我们的远程桌面协议,他们只能访问正确的非标准端口并将其IP地址列入白名单。
这是好事,你正在考虑安全,但没有一个“确定的系统”的东西。 现代安全实践涉及隔离服务器,因此违规被包含而不是被阻止。 所有的networking服务器和其他可远程访问的服务器都应该放置在一个隔离的DMZ中,该DMZ只有一个有限的数据子集(即尽可能less地执行手头的任务)。
最好的安全build议是,如果服务器具有可远程访问的服务已经受到威胁,则采取行动和计划。 对于内部数据,保护您最重要的资产,只有那些有工作angular色需要访问他们的人才能访问他们,他们无法在现场访问数据或将其全部下载到USB密钥上。
安全性是一个成本效益等式,build立安全系统的成本非常高昂,只有在需要的时候才应该添加额外的安全措施。 设置视网膜扫描仪,人工陷阱,键盘等进入你的办公室将是一个浪费金钱,除非有内在的东西,你真的需要偏执。 在安全上花钱试图减less你对偏执狂的“感觉”,并不是很好的支出。 把它花在你将被黑客攻击的风险和影响,如果你是。
用尽可能less的服务尽可能less地开放尽可能多的服务。 让他们保持最新。 按照您正在运行的软件的安全邮件列表和错误报告。 阅读webservers的“强化”指南。
重点关注预防的隔离和检测通常更具成本效益。 IDS产品或日志分析器在这里真的很有用。
我的大部分工作都是为了一个需要高度安全性的公司,并且有足够的资源来实现这一目标。 因此,他们有“白帽子”和“黑帽子”,前者是在安全系统的限制范围内devise,实施和testing的员工。 后者是经过改革的外部家伙,有些是犯罪logging,几乎所有人都以安全angular度参与了开源代码项目。 两队绝对不会互相沟通,很less有人知道“黑帽”的身份。 每个人的任务是随时随地以他们喜欢的方式做任何事情,并对公司拥有的任何站点进行干预,他们唯一的责任是在发现问题时立即通知公司,理想情况下通过解决scheme解决scheme。
我知道这听起来很极端,但是这是全球范围内由具有一定规模/责任的组织所采用的策略/策略,如果你能负担得起,而且如果你能find它们,我build议你强烈地考虑这种方法。
我想你会惊讶于一些“安全”专家有多糟糕。 算你自己幸运,你还没有被gem带入歧途
“你的networking端口没有打开,所以我们不能扫描你,所以需要你打开服务器,所以我们可以扫描”
要么
安全向导:“你不能使用sslv2其不安全”的IT:“但唯一的select是SSL和明文”安全:“至less明文没有漏洞”
如果你有两个不同的公司审计你,都认为你没事,我不会雇用三分之一。 我唯一要做的就是考虑你的操作系统供应商是否有安全审计服务。
而我个人最喜欢的
安全性:“我们只能扫描UNIX盒,你告诉我们的任何窗口框都不会响应任何端口”IT:是的,我们使用域隔离来拒绝对非域join系统的访问安全性:这不在NIST指南中,你将不得不禁用,它不安全的“
作为为“财富”和“富时100”以及非常小的本地公司进行过数百次渗透testing的人员,我为您提供以下服务:
从广义上来说,在使用公认的外部公司进行笔testing方面,你做的是正确的事情,看看他们可以访问什么,但是最合适的方法是:
你应该计划使用各种公司或旋转它们。 我倾向于鼓励人们使用4个或更多的小组,因为每个小组都有他们的空间化和具体的经验。
你永远不会安全,但是根据你公司希望接受的风险状况,你可以“足够安全”。 不要认为,因为你小,你不是目标 – 当前有组织的犯罪结构出售剥削方法从成功的大型组织黑客向下,如果你是在互联网上,你是一个目标,无论你喜欢与否。
在security.stackexchange.com上的各种问题已经涵盖了这个问题,所以值得在那里看看。
就我个人而言,我会提出像你提到的Nessus使用软件,也许Tripwire和必要的审计系统,并有人定期检查日志,或有一个程序parsing并根据上述日志警报。 我认为你很可能会碰到满足合规性标准的需要,这并不一定意味着良好的安全性。 我会保持专注于检测和审计对系统的访问。 但是我想指出,你没有提到你在做什么入侵预防或检测系统?
嗯…已经说过,你可能已经做了所有必要的事情了。 再一次,你需要多么偏执 – 重复,需要 – 是?
冒着太基本的风险,只有在发现适当的密码后才能达到最大的渗透率。 冷酷的事实是:
a)许多密码太简单,只是因为老板说他们必须使用。 典型的例子是使用密码“test”的IT疑难解答者。
b)大多数(但不是全部)的渗透现在绕过了受到贿赂和讹诈,并且使用电子方式获取密码 – 但是直到密码出现后才能被侵入。
我假设你的硬件是防渗透的? 一台我知道的电脑,也许其他人,有一个方便放置的拨动开关机架,可用于禁用login密码和BIOS密码…
就我个人而言,我认为迟早我会被侵入,所以我确定我能检测到任何入侵,并继续进行渗透。 你有备份吗?
你需要雇用黑客吗? 我不这么认为。 此外,你如何确定哪个黑客值得雇用? 让我们面对现实,这不是那种你可以信赖的可敬的人,所以只是因为他们告诉你他们有多伟大并不意味着他们实际上是好的。
我们从一个基本的前提开始吧:没有一个面向公众的系统是无法渗透的。 但是,除了最硬核和最专门的攻击者外,还有很多系统能够胜任。
这绝对不是绝对的安全问题,更多的是关于风险以及从攻击中检测和恢复的能力。 备份显然是绝对必要的。 那么定期testing恢复来validation这些备份。
一个IDS应该提醒你黑客攻击的企图,尽pipe你需要注意的是任何面对互联网的系统都可能会被攻击,这会导致有太多的警报,你需要能够忽略绝大多数,并专注于那些与众不同的是,这些都是最有可能指向比典型的半angular剧本kiddy更好的人。
绊线型系统可以采取任何forms的select,在检测到攻击方面有很长的路要走,在这一点上系统应该被取下并分析,以确定攻击是如何发生的,备份,而不是试图修复受损系统,因为这是徒劳的教训。
以上所有的答案都是非常好的,而且有很多事情没有真正确定的方法来回答是或否。
我和小型企业一起工作来帮助保护他们的环境,并且通常做一个“漏洞评估”,或者直接进行渗透testing通常不会提供一大堆你不能或者可能已经得到的信息。 扫描仪是一个伟大的起点。 但是,如果一切都只是基于扫描的结果比我会说你绝对没有得到你的钱的价值。
如果你正在雇佣一家外部公司来做你的pentest / audit / assessment或者你想要的任何东西,那么你应该雇用一些不仅仅是$ scanner的人。 他们不是傻瓜certificate,从我的经验来看,有很多误报需要人来正确解释。
在我看来,许多企业想要使用的黑盒子式的pentest不会公开很多你想要的信息。 例如,让我们只是说一个攻击者可以通过任何方式进入你的networking。 他们可以绕过控制转向其他地方吗? 如果攻击者可以访问客户服务计算机或承包商的计算机,该怎么办? 他们能转向公司的其他领域吗? 如果是的话,他们能看到什么? 他们可以得到备份吗? 生产数据? 会计信息?
而如果社会工程不是参与的一部分,那么比在公司威胁面上留下一个巨大的漏洞。
为一家小型IT公司工作,外部审计的预算可能很难实现,特别是如果没有行业合规性的要求进行年度审计。
想想下面的事情
这些只是我头顶的几件事情,但坦率地看这些项目,如果你不能回答这些,而不是花时间弄清楚如何处理它们。 这将花费更好。
你应该从攻击者能够进入你的networking的angular度来看待这个问题。 那你做什么? 你如何缓解这种威胁,减less影响? 你怎么知道?
一些考虑:
首先,你要达到的目标是什么? 渗透testing,漏洞评估和“道德黑客”等各种安全服务不仅仅是“购买更多的安全”。 你必须记住一个目标; 这类支出的基本目标是发现软件,networking,stream程和程序中的漏洞。 这很重要:为了进行审计,评估或testing来提高安全性,您需要对结果进行一些处理 。 这几乎总是意味着花更多的钱,无论是软件,人员还是保险。 你的员工应该有一个负责任的人, 他们应该有技术性的窍门,根据需要对安全供应商进行胡扯,以及追踪漏洞的完整性,并倡导在企业的所有领域提高安全性。
其次,密切相关,不要支付你已经拥有的信息。 如果你知道你有一个特定的安全问题,不要付“道德黑客”来重新发现它。 花这笔钱来解决这个问题。 如果无论如何都要强制testing,那么要坦率地对待已知的漏洞。 一个好的testing人员将能够根据未知领域的需求量身定制评估,以最大化您的投资。 考虑在评估types之间进行轮换以最大化覆盖范 做一个黑盒子的外部渗透testing,然后进行模拟一个心怀不满的员工的内部testing,然后对最关键的系统进行有针对性的白盒/灰盒testing等等。
第三,在testing发生之前 ,将大部分时间和精力投入到testing中。 研究安全服务提供者,包括检查引用,而不仅仅是authentication。 那里有很多欺诈和劣质工人。 要求看他们的报告的例子。 如果这不是可操作的信息,为什么要付钱? 要求看他们的testing方法。 如果他们拒绝,保释。 如果他们没有一个可重复的过程,你不能保证彻底的testing。 用Nessus或Retina进行漏洞扫描不是一种渗透testing, 不要为便宜的服务支付溢价。 大量参与testing范围的谈判。 你越能释放testing团队的手,你就会得到更好更实际的结果。
第四,对于渗透testing,确保你支付一个模拟现实威胁的testing。 比特之道的 Dan Guido在情报驱动的防御方面做了一些很好的研究 – 了解你的组织所面临的威胁,并优化你对他们的防御,而不是盲目地把钱花在别人正在做的事上。 在Exploit Intelligence Project和Attacker Math上查看他们的论文。 这很简单,您可以自己进行初步分析,然后用它来实际检查试图向您推销其服务的团队的声明。 比特之路甚至在这个和其他领域提供咨询。 (我不以任何方式附属于比特path)
最后,不要大肆宣传“黑客”这个词,尤其是“道德”部分。 有些证书表明了一些基本的技能水平,但业界的意见差异很大; 让“道德”由一个人的行为和参照来certificate,而不是certificate。 一个人不需要被“改造”就有技巧; 不要免除任何背景检查,无论是犯罪或其他方面的人,你会让你的正式员工。 安全testing不是“魔术”,不良的工作习惯不是一个“领土怪异”。 您有权作为任何其他职位期望您的安全testing人员的最高道德责任和诚信,如果不是更多的话。