11 de novembro de 2015

Quais perguntas devo fazer para orçar um teste de invasão (pentest)?

Um grande amigo da área de segurança e forense me perguntou sobre quais informações precisaríamos levantar para orçar um pentest para um cliente. Como já respondi a mesma pergunta algumas outras vezes para outros amigos e conhecidos, achei interessante usar a resposta que dei ao mesmo para um post aqui no blog. Até mesmo porque essa é uma questão que sempre surge nos cursos de Pentest que realizo.

Obviamente que só coloquei aqui as principais perguntas, pois muitas outras podem surgir e outras ainda precisarão ser suprimidas dependendo do cenário atendido.

Essas são as perguntas que precisamos que sejam respondidas para criarmos a proposta final para o cliente. Com esses dados poderemos determinar escopo e quantidade de horas (para calcular valores e etc).

----------------------------------------//----------------------------------------//----------------------------------------

Questões gerenciais

Os executivos estão cientes dos testes que serão realizados?
Qual o principal tipo de informação que criaria um grande risco para organização se exposta, comprometida ou apagada?
Há procedimentos de Disaster Recovery onde os testes serão realizados?


Questões para Administradores de Sistemas

Há algum sistema que poderia ser caracterizado como frágil (sistemas que travam normalmente, sistemas operacionais antigos, ou não atualizados)?
Há sistemas na rede que não são de propriedade do cliente que precisam de autorização adicional para realização dos testes?
Qual o tempo padrão de reparo de sistemas?
Há softwares de monitoramento na rede?
Quais os servidores e aplicações mais críticos?
Procedimentos de backups são testados regularmente?


Questões sobre Redes

Por que o cliente precisa do teste de invasão realizado em seu ambiente?
O teste é necessário para algum requerimento específico de compliance?
Quando os testes podem ser realizados (horário comercial, após horário comercial, durante a madrugada, finais de semana)?
Quantos IPs serão testados? Quantos IPs internos? Quantos IPs externos?
Há algum ativo que possa impactar nos resultados dos testes tais como firewall, IDS/IPS, load balancer, web application firewall?
No caso em que um sistema seja comprometido, como a equipe deve proceder:
1 - realizar uma avaliação de vulnerabilidades na máquina comprometida?
2 - tentar ganhar privilégios mais altos (root ou administrator) na máquina comprometida?
3 - não realizar ataques, ou realizar testes mínimos ou de dicionários para descobrir senhas locais?


Questões sobre aplicações WEB

Haverão testes contra aplicações web?
Quantas aplicações web serão avaliadas?
Quantos sistemas de login serão avaliados?
Quantas páginas estáticas serão avaliadas? (aproximadamente)
Quantas páginas dinâmicas serão avaliadas? (aproximadamente)
O código fonte será disponibilizado?
Haverá alguma documentação disponível? Se positivo, qual tipo de documentação?
Será realizada análise estática em alguma aplicação WEB (no código)?
O cliente deseja que seja feito fuzzing contra a aplicação (testes dinâmicos em busca de bugs)?
O cliente deseja que sejam feitos testes de acordo com perfil de usuários na aplicação?
O cliente deseja que seja feita varredura usando credenciais?


Questões sobre wireless

Haverão testes contra redes wireless?
Quantas redes wireless existem no local?
Há redes de visitantes? Se positivo:
1 - requer autenticação?
2 - qual tipo de criptografia é usado?
3 - qual a cobertura em metros quadrados?
4 - há necessidade de realizar testes com rogue devices?
5 - haverão testes contra os clientes da rede visitante?
6 - aproximadamente quantos clientes utilizam a rede?


Questões sobre Engenharia Social

Haverão testes de engenharia social?
O cliente possui uma lista de e-mails sobre a qual os ataques serão realizados?
O cliente possui uma lista de telefones sobre a qual os ataques serão realizados?
Haverá necessidade de tentativa de obtenção de acesso físico às dependências físicas do cliente?

----------------------------------------//----------------------------------------//----------------------------------------

Sei que é muita coisa, mas são informações necessárias para sabermos onde e com o que estamos mexendo!

Créditos à PTES Framework.

Um comentário:

  1. Geralmente as perguntas que faço inicialmente e tento deixar bem claro com o cliente, além destas do framework pés, seriam:

    - o que não pode ser testado em nenhuma situação no cenário/ambiente?
    - que técnica de ataque (ex ddos) não deverá ser usada no cenário/ambiente?

    Estou no mobile e limitado a comentários mais detalhados��

    @firebitsbr

    ResponderExcluir