Re: Inutilita' Penetration Test

"Fabio Pietrosanti (naif)" wrote:
> Il focus che volevo fare, e su cui mi piacerebbe sentire altri pareri, e'
> sull'utilita' dei Penetration Test.
> 
> Questo servizio oramai lo offrono tutti, chi professionalmente e chi no ( parlo di
> chi usa semplici strumenti automatizzati e personalizzano giusto il report
> banfando di vendere attacchi fatti da super hacker), ma quanto il penetration
> test e' utile?
> 
> Certo e' vero che puo' essere fatto in remoto senza muovere le risorse interne
> della societa' che prende il lavoro, certo puo' essere divertente e stimolare la
> fantasia di chi lo effettua che puo' trovare nuove vulnerabilita' in vari
> software, nonche' affinare le proprie tecniche di attacco, ma dati gli
> elevatissimi costi ( diciamo da 5 a 70mln ? ), mi chiedo:
> 
> Che senso ha fare un penetration test alla cieca, quando con quella cifra e'
> possibile mandare una persona nell'azienda che fa' una "analisi delle vulnerabilita'"
> lavorando a contatto con i system/network manager, valutando in modo "COMPLETO"
> lo stato di sicurezza dell'infrastruttura avendo a disposizione TUTTE le
> informazioni necessarie sulla rete da analizzare?
> 
> Non c'e' da discutere sul fatto che una analisi effettuata dall'interno,
> avendo a disposizione configurazioni, accesso ai sistemi e supporto dei
> responsabili dia risultati migliori di un Pen-test, che puo' spesso mancare
> alcuni dettagli, e che puo' non verificare alcune vulnerabilita', magari solo
> perche' sono nascoste o mascherate ( security trought obscurity ) .
> 
> Allora, perche' si continuano a vendere i penetration test visti i suoi costi?
> Solo per il fascino che ha la "sfida" di chi considera la propria rete sicura e vuole
> vedere se qualcuno da fuori riesce a violarla?
> Solo per il consiglio di amministrazione che vuole vedere se i responsabili
> dei sistemi informativi hanno lavorato bene sul fronte della security?
> 

Ciao Fabio,
A mio avviso il discorso e' di piu' ampia lettura, provo a dire la mia,
cercando di essere il meno "di parte" possibile:

1) Innanzitutto un penetration testing e' neccessario ai fini del D.P.R.
318/99. Quindi per tutte le realta' che rientrano in tali adempimenti
previsti per legge, in un modo o nell'altro "dovrebbero" farlo.

2) Offre un punto di vista esterno su quello che il ced, il responsabile
della sicurezza o chi per lui pensa che sia lo stato dei fatti.
Molte volte putroppo l'azienda pensa di avere X macchine o X
configurazioni, e invece dai report emergono delle Y (esperienza
personale).

3) Concordo con te, sul discorso che per la stessa cifra puoi avere
un'analisi dei rischi, o security assessment o chiamalo come vuoi, a mio
avviso pero' stiamo parlando di due servizi diversi ma intergrabili:
Il penetration testing, o netprobing, o security scan che dir si voglia
da una visione dall'esterno sullo stato di O.S., configurazioni, etc.
Un Security Assessment da una visione d'insieme su reti, collegamenti,
scelta sw, scelta hw, policy, permessi, politiche sui server, eventuali
colli di bottiglia sulla rete, ed infine sulla tipologia di dato che
passa sul cavo (transazione, mail, autentificazioni, etc)

Quindi personalmente ripeto, sono due servizi diversi e complementari.
Fatti entrambi, danno a una societa' di consulenza l'opportunita' di
offrire al cliente una visione a 360gradi sul suo stato di fatto.
Sara' scontato, ma tengo a precisare, che per proporre soluzioni valide
al cliente, di qualsiasi natura esse siano, e' NECCESSARIO e quasi
OBBLIGATORIO, che la societa' di consulenza conosca nel piu' dettaglio
possibile la realta' (con pregi e difetti) del cliente.

Ci si potrebbe fidare di quello che il cliente racconta o cerca di
spiegare.. la mia esperienza insegna che a volte non e' sufficente: vuoi
perche' ci si "dimentica" di dire tutto, vuoi perche' i responsabili nel
corso degli anni cambiano, e non avviene mai un passaggio di consegne su
tutto lo stato di fatto con problematiche annesse aziendali.

4) Quanti di voi admin o altro, dopo che hanno configurato una rete,
fanno o chiedono a un'amico di fare un veloce nmap o altro da fuori per
vedere se e' tutto ok come si pensa?
Il ragionamento di un penetration testing e' il medesimo, ma piu'
accurato!

5) Come gia' detto da Zen mi pare, non sempre il cliente che ha bisogno
di mettere in sicurezza il tutto, ha tempo per affiancare il proprio
staff alla societa' di consulenza.
Ovviamente questo sarebbe il massimo, e offrirebbe sicuramente un
risultato di un certo tipo, ma nella norma il ced nel corso della
giornata "deve" correre dietro ai problemi quotidiani aziendali, ed in
alcuni casi, e' gia' tanto che sia riuscito a chiamare e a concordare
un'intervento di questo tipo.

6) Infine, bello o brutto che sia il concetto a seconda dei punti di
vista, rimane sempre il problema ricorsivo di "chi controlla il
controllore?"
Per un'amministratore delegato, tale dubbio solitamente esiste, ed e'
anche spinto da una responsabilita' penale che cade sulla sua testa
nell'80% dei casi

Saluti a tutta la lista, e buone vacanze!
--
Stefano Venturoli
General Manager
Infosec srl - http://www.infosec.it
Network Security and Data Defense
Tel. +39 051 386 460
Fax. +39 051 385 140

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List