Re: Inutilita' Penetration Test

Raistlinmage nn scrivere tutto su una linea che senno e' un casino threaddare
le risposte :PpP

On Fri, Jul 27, 2001 at 12:14:04AM +0200, Raistlinmage wrote:
> Premessi queste motivazioni posso esporre il mio parere sui penetration test. L'utilità dei penetration test in se non è molta una verifica interna è sicuramente più utile; ma penso che sia più la voglia da parte dei vertici della società di vedere e sapere se il lavoro svolto sul lato della sicurezza sia efficace. Spesso le società non hanno un settore interno dedicato alla sicurezza, e si basano su ditte esterne, proprio su quelle ditte di cui parlavo prima. Si potrebbe dire una supervisione svolta sull'operato della ditta o del settore dell'azienda che si occupa del fronte della sicurezza. Oltre a questo vedo un'utilità nell'immediato, richiede meno tempo un penetration test che una analisi completa dall'interno, e questo a volte può essere utile. Oltre e queste due argomentazioni non ne ho altre da dire riguardo ai penetration test. 

-- Penetration Test come verifica della qualita' dell'Outsourcing della security ?

Non ho mai sentito di societa' che fanno curare in outsourcing gli aspetti di
sicurezza alla societa' X, e che chiamano la societa' Y per verificare che X
abbia lavorato bene.
Magari ci sono, ma saranno l'0.1% dei casi o sfiga vuole che io nn ne abbia
mai incontrati, perche' di solito chi affida la sicurezza in outsourcing e'
discretamente ignorante in materia e si dedica in tutto e per tutto a questa .

-- Penetration Test + veloce di una analisi interna?

Fare un Penetration Test richiede numerose frasi dall'information gathering
all'attacco vero e proprio, tutto con il requisito di nascondersi per non
fare sgamare gli attacchi e gia' se si ha una rete con 10/20 macchine il
lavoro inizia a richiedere 5/6 giorni ( o saro' io tanto lento da impiegarci
tot? ) + 1 giorno x la stesura del report. 

Una analisi interna in 3/4 giorni e' fatta e la si puo' articolare proprio
approsimativamente in questi punti per una rete di 10/20 macchine:

- Esecuzione Tool di Vulnerability Scanning dalla rete interna ( lasciato in
  background, e ci pensiamo il pomeriggio ) .
- Revisione Policy del Firewall ( 2 ore? )
- Revisione  configurazioni dei sistemi  ( 2 giorni ? )

Naturalmente ho parlato della mera analisi e non dell'assestment, che spesso
viene fatto "in casa" .

Cosi' in meno "tempo uomo" si ha una analisi molto + approfondita del famoso
penetration test, i cui risultati sono spesso incerti e incompleti data la
natura alla "cieca" degli attacchi.

Unico svantaggio e' che si deve muovere "fisicamente" 1 persona, che quindi
non puo' dedicarsi contemporaneamente ad altri lavori.

Io continuo a vedere il pen-test inutile( dato il costo rispetto a una analisi
approfondita ), sopratutto per come viene percepito dai clienti, che lo
considerano una vera e propria "analisi della vulnerabilita'", una sorta di
esame che se viene passato c'e' da considerarsi sicuri...
Niente di + sbagliato dato che il risultato del "penetration test' e' ben
altro.

> 
> Raistlinmage
> 

-- 

Fabio Pietrosanti ( naif )
E-mail: naif@sikurezza.org - naif@blackhats.it
PGP Key (DSS) http://naif.itapac.net/naif.asc
--
Free advertising: www.openbsd.org Multiplatform Ultra-secure OS
Free Flame: IPFilter sucks ! 

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List