Re: Inutilita' Penetration Test

On Fri, 27 Jul 2001 03:06:43 +0200
"Fabio Pietrosanti (naif)" <naif@sikurezza.org> wrote:

> Raistlinmage nn scrivere tutto su una linea che senno e' un casino threaddare
> le risposte :PpP

Ops :) skusame :) è che ho appena cambiato client, e l'altro lo faceva in automatico.


> -- Penetration Test come verifica della qualita' dell'Outsourcing della security ?

> Non ho mai sentito di societa' che fanno curare in outsourcing gli aspetti di
> sicurezza alla societa' X, e che chiamano la societa' Y per verificare che X
> abbia lavorato bene.
> Magari ci sono, ma saranno l'0.1% dei casi o sfiga vuole che io nn ne abbia
> mai incontrati, perche' di solito chi affida la sicurezza in outsourcing e'
> discretamente ignorante in materia e si dedica in tutto e per tutto a questa .


E' vero che la possibilità che ho esposto è remota, ma intendevo sopratutto l'altro
caso, in cui i vertici della società vogliano testare se il loro settore della
sicurezza lavori in modo corretto, e questo secondo me non è possibile facendo
arrivare del personale dall'esterno nella società, si creerebbero non pochi porblemi.


> -- Penetration Test + veloce di una analisi interna?

> Fare un Penetration Test richiede numerose frasi dall'information gathering
> all'attacco vero e proprio, tutto con il requisito di nascondersi per non
> fare sgamare gli attacchi e gia' se si ha una rete con 10/20 macchine il
> lavoro inizia a richiedere 5/6 giorni ( o saro' io tanto lento da impiegarci
> tot? ) + 1 giorno x la stesura del report. 

> Una analisi interna in 3/4 giorni e' fatta e la si puo' articolare proprio
> approsimativamente in questi punti per una rete di 10/20 macchine:

> - Esecuzione Tool di Vulnerability Scanning dalla rete interna ( lasciato in
> background, e ci pensiamo il pomeriggio ) .
> - Revisione Policy del Firewall ( 2 ore? )
> - Revisione  configurazioni dei sistemi  ( 2 giorni ? )

> Naturalmente ho parlato della mera analisi e non dell'assestment, che spesso
> viene fatto "in casa" .

> Cosi' in meno "tempo uomo" si ha una analisi molto + approfondita del famoso
> penetration test, i cui risultati sono spesso incerti e incompleti data la
> natura alla "cieca" degli attacchi.

> Unico svantaggio e' che si deve muovere "fisicamente" 1 persona, che quindi
> non puo' dedicarsi contemporaneamente ad altri lavori.

> Io continuo a vedere il pen-test inutile( dato il costo rispetto a una analisi
> approfondita ), sopratutto per come viene percepito dai clienti, che lo
> considerano una vera e propria "analisi della vulnerabilita'", una sorta di
> esame che se viene passato c'e' da considerarsi sicuri...
> Niente di + sbagliato dato che il risultato del "penetration test' e' ben
> altro.

Su questo hai ragione, avevo preso altri tempi... Cmq non penso che lo spostamento
di una persona anche se per una settimana intera sia un grosso problema... A questo
punto non so più cosa pensare...

Raistlinmage

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List