Pentesting: Kanpoko Ikuskaritza eta Web Aplikazioen Ikuskaritza Zerbitzua (Hacking etikoa)

Sakon ulertzen ditugu ETEen beharrak, eta horiek asetzen saiatzen gara NISTeko sei funtzioetan oinarritutako segurtasun-plan integralak diseinatu, ezarri, mantendu eta operatzen (Gobernantza, Identifikazioa, Babesa, Detekzioa, Erantzuna eta Berreskuratzea). Horien barruan, gure Kanpo Ikuskaritza zerbitzuak k zure esposizio-perimetroa ezagutzeko aukera emango dizu, agerian dauden ahultasunen argazki argia eskuratuz eta horiek konpontzeko modua.

1. fasea: Aztarna (OSINT)

Zerbitzuaren lehen fasean, Zerolynx taldeak Interneten jasandako eraso-azalera mapatuko du. Lan honetarako, iturri irekiak eta pribatuak kontsultatuko dira, gaur egun dagoen edo iraganean Interneten argitaratuta egon daitezkeen informazio sentikorren bila Oinatz-prozesuak egiteko helburuarekin. Lan honetarako, OSINT metodologietan oinarritutako teknika desberdinak erabiliko dira, bereziki nabarmenduz:

• Hackeatzea bilatzaileekin (Google, Bing, Yandex, Exalead, Duckduckgo eta Baidu).
• Aktiboak bilatzeko zerbitzuak (Shodan, Censys, Greynoise, Zoomeye, Fofa, Onyphe, Binayedge, Wigle eta Oshadan).
• Threat Intelligence Search Zerbitzuak (RiskIQ, Cisco Talos Intelligence, ThreatExchange, VirusTotal).
• Itsatsi webguneetan aktiboak zerrendatzea (Pastebin, Pasteguru, TextSnip, Snip.Net, Hastebin, Anonpaste, etab.).
• Arakatzeko tresnak eta Interneten edukien azterketa masiboa.
• Whois erregistroak kontsultatzea.
• Aplikazio mugikorren denda (AppStore, PlayStore, etab.).
• IP helbide eta domeinuen analisia (Robtex, Ipv4info, ThreatCrowd, MxToolBox, IPStack, DB-IP, Ultratools).
• Kode publikoen biltegiak (github, gitlab, bitbucket, etab.).
• Interneten eta Dark Web-en argitaratutako pasahitzen filtrazioak.
• Ikusmen antzeko domeinu posibleen azterketa (Typosquatting), gure gidoi propioak eta online teknologiak erabiliz.
• Archive.org-en argitaratutako webgune zaharren azterketa.
• Sare sozialetako aplikazioen jarraipena (Twitter, Facebook, Instagram eta LinkedIn, besteak beste).
• Legezkoak izan daitezkeen gune posibleen analisiak phishing gisa sailkatu dira OpenPhish, PhisTank edo PhisStats bezalako plataformetan.
• Internet lurpeko merkatuetan negoziatzen diren datuen kokapena.

2. maila: Hatz-marka

Aplikazio/zerbitzu bakoitzaren hasierako informazioa bildu ondoren, Fingermarking prozesuari ekingo zaio, aktiboen azterketa sakona egiteari ekingo diona gero ustiatzeko. Eraso azaleraren mapa osoa egiteko, agerian dauden portu eta zerbitzu guztiak zerrendatuko dira, batez ere elementu hauek identifikatzean:

• Internetetik eskura daitezkeen portuak eta zerbitzuak.
• Zerbitzu bakoitzean erabilitako softwarea eta bertsioa.
• Erabilitako teknologiak, batez ere zaharkituta daudenak edo ahultasun ezagunak dituztenak.
• Erabilitako kanpoko liburutegiak eta ondasun ezberdinen arteko bestelako harremanak.

Aldi berean, prozesuaren ondorengo faseetarako balizko ustiapen-bektore posibleen bilaketa aktiboa egingo da. Horretarako, arreta berezia jarriko da normalean perimetroa arriskuan jartzeko ustiatzeko arrisku handiagoa duten funtzionalitateak hautematean, bai ahultasunen bidez, kode-injekzioen bidez, bai fitxategi maltzurren kargatzearen bidez, baita indar gordinaren probak edo filtratutako kredentzialak ere. . Arreta berezia jasoko duten ezaugarrietako batzuk hauek dira:

• Web autentifikazio panelak.
• Fitxategiak kargatzeko inprimakiak.
• Fitxategiak partekatzeko zerbitzuak.
• Administraziorako urrutiko sarbiderako teknologiak.
• Urruneko mahaigaineko teknologiak.
• VPN konexioak.

Beraz, MITRE ATT&CK eraso-matrizearen ondorioetarako, sarbidea errazten duten elementuen bilaketa hasierako Sarbide-tekniken bidez planteatzen da:

• Ustiatu Aplikazio Publikoari (T1190).
• Kanpoko Urruneko Zerbitzuak (T1133).
• Baliozko kontuak (T1078.001, T1078.002, T1078.003, T1078.003).

Hirugarrenen konpromisoa edo sarbide fisikoa barne hartzen duten gainerako eraso-bektoreak hasiera batean proiektuaren esparrutik kanpo egongo lirateke.

3. fasea: Ahultasunen analisia

Hurrengo faseak aurretik bildutako informazio guztia erabiltzen du eraso-bide posibleak detektatzeko oinarri gisa. Hauek ustiatzeko aukeraren eta balizko eraginaren arabera lehenetsiko dira, ahultasun kritikoenak aurkitzeko dedikazioa maximizatzeko helburuarekin, hala nola, datuen filtrazioa edo urruneko kodearen exekuzioa.

Fase honek, nolanahi ere, segurtasun-ikuskaritzaren zatirik handiena hartzen du, eta identitate-kudeaketa, autentifikazio, baimen edo saioaren kudeaketarekin lotutako ahulguneak identifikatzea ahalbidetzen du. Injekzioei ere garrantzi berezia ematen zaie sarrera baliozkotzeko proben bidez. Azkenik, erroreak kudeatzeko akatsak aurkitzeko, gaizki inplementatutako metodo kriptografikoak eta negozio-logikan ahuleziak detektatzeko aukera ematen du. Oro har, berrikuspena egiteko garaian OWASP metodologian indarrean zeuden proba-kategoriak ere landuko dira.

• Informazio bilketa
• Konfigurazioa eta inplementazioa kudeatzea
• Identitatearen kudeaketa eta saioen kudeaketa
• Autentifikazioa eta Baimena
• Sarrerak baliozkotzea eta erroreen kudeaketa
• Kriptografia ahula
• Negozioaren Logika eta Bezeroaren Aldea

Aurkitutako ahulguneek eszenatoki bereziki kaltegarriak ahalbidetzen badituzte, hala nola, urruneko kodearen exekuzioa edo pribilegioak handitzea, aldez aurretik komunikazioa egingo da segurtasun-auditoria kudeatzeko arduradunekin, segurtasun-probak egiten jarraitu erabakitzeko, edo gelditu probak ustiatzen jarraitu gabe. Nolanahi ere, inpaktu kritikoko ahuleziak berehala jakinaraziko zaizkio bezeroari, balizko haustura hori aktibo dagoen denbora minimizatzeko.

4. fasea: Emaitzen analisia

Zerbitzuan zehar jakinarazten diren eragin handiko ahuleziak hautemateko kasuan, bezeroak galderak sor ditzake, edo proba osagarriak eska diezazkioke ahultasun horiek argitzeko, adibidez, proiektuaren denboran zehar kontraneurri edo irtenbideren bat ezartzen bada. . Dena den, garrantzitsua da ulertzea proba osagarriak egiteak ezin duela inola ere eragin proiektuaren plangintzan, azken txostena prestatzeko egunak kontsumituz, baldin eta aldez aurretik bai Zerolynx eta bai bezeroa egoera hori ados jartzen ez badira. Nolanahi ere, Zerolynx-ek bezeroari egun gehigarriak kontratatzeko aukera eskaintzen dio, beharrezkoa izanez gero, ahultasunak aztertzeko eta berriro probatzeko.

5. fasea: amaierako txostena

Lortutako froga guztiak bateratuz, txosten tekniko eta exekutibo osoa egingo da Zerolynx ereduaren arabera, eta, gutxienez, honako puntu hauek jasoko ditu:

• Auditoretzaren xedea eta irismena
• Ikuskaturiko sistemak
• Auditore taldea
• Ikuskaritzan parte hartu duten solaskideak
• Probak garatzeko datak
• Erreferentziazko dokumentazioa
• Konfidentzialtasun klausula
• Detektatu diren ahultasunak, garrantziaren arabera sailkatuta
• Ahultasunen aurrean gomendatutako irtenbideak
• Ikuskaritzan zuzendutako ahuleziak
• Behaketak
• Indarguneak eta hobetzeko aukerak
• Lortutako ondorioak

Txostenak Laburpen Exekutiboa izango du, antzemandako arrisku nagusiak eta horiek konpon daitezkeen lehentasunak emateko gomendioak nabarmenduz. Jarraian, Zerolynx-ek erabilitako laburpen exekutibo eta ahultasun-orrien adibideak daude. Hala ere, txosteneko informazioa eta ahuleziak bezeroaren beharretara eta eskakizunetara egokitu daitezke behar izanez gero.

Gainera, Zerolynx-ek bezeroari goi-mailako aurkezpena eskaintzen dio proiektuaren amaieran, aurkikuntza eta konponketa nagusiak dokumentatuko dituena.

Zerbitzu hau gehienez 250 langile dituzten ETEentzat diseinatuta dago. Zerbitzu hau enpresa handiagoentzat kontratatu nahi baduzu, ez izan zalantzarik eta jarri harremanetan gure merkataritza-taldearekin harremanetarako formulariotik. gure webgunea.

Gure Kanpo Ikuskaritza Pentesting eta Web Auditoria zerbitzuei buruzko informazio gehiago

Erosi zerbitzua gure denda birtualetik eta 48 (laneko) ordu baino gutxiagotan gure Proiektu-zuzendarietako bat zurekin harremanetan jarriko da lanen hasiera antolatzeko, eta horrek astebete beharko gaitu gutxi gorabehera.