Antecedentes

Há muitas histórias nas notícias hoje em dia sobre as empresas que foram violadas, os dados do cliente expostos, as multas cobradas - está se tornando uma ocorrência comum. De fato, alguns tipos de crimes cibernéticos, como o Ransomware, tornaram-se um mercado tão lucrativo que agora são oferecidos no Darkweb como Raas (ransomware como serviço), completo com sua própria equipe de suporte e sistemas de pagamento. A natureza desses ataques evoluiu significativamente nos últimos anos; À medida que os recursos de detecção e resposta antivírus e de terminais melhoraram, o malware (como usado historicamente) está se tornando mais difícil de implantar em escala. Os atores de ameaças estão se mudando para um modelo em que a infecção e a criptografia de dados não é o único método para extorquir empresas. Em vez disso, enquanto ainda tentam criptografar os dados da empresa, eles também os roubam para que possam chantagear as empresas para pagá -los e impedir que divulgem os dados publicamente. Agora, é preciso apenas um erro por um usuário e tudo o que um funcionário tem acesso pode ser usado em uma campanha de extorsão. Como toda organização manterá dados confidenciais que não desejam em domínio público - detalhes dos funcionários, detalhes do cliente, pesquisa - toda empresa é uma meta válida. O lançamento de 2024 detalha o aumento de 180% para a exploração de vulnerabilidades sendo o ponto inicial de compromisso, que é quase triplo no ano anterior

Both large and small companies can be a target for cyber criminals. In fact, some types of cyber-crime such as Ransomware have become such a lucrative market that they are now offered on the darkweb as RaaS (Ransomware as a Service), complete with its own support staff and payment systems. The nature of these attacks has evolved significantly over recent years; as the Anti-Virus and Endpoint Detection and Response capabilities have improved, malware (as used historically) is becoming harder to deploy at scale. Threat actors are instead moving to a model where infection and encryption of data is not the only method to extort companies. Instead, while still trying to encrypt company data, they also steal it so that they can blackmail companies into paying them and prevent them from releasing the data publicly.

This change of tactic significantly changes the landscape for every company. Now, it only takes one mistake by one user and everything that an employee has access to can be used in an extortion campaign. Since every organisation will hold confidential data that it doesn’t want in the public domain – employee details, customer details, research – every company is a valid target.

The Verizon Data Breach Investigations Report (DBIR) is released every year and offers an invaluable insight into the current threat landscape and emerging trends. The 2024 release details the 180% increase for exploitation of vulnerabilities being the initial point of compromise, which is almost triple on the previous year [1]. A origem dessas vulnerabilidades sendo exploradas era, talvez surpreendentemente, normalmente por meio de aplicativos da Web. Muitas dessas vulnerabilidades podem ser exploradas automaticamente assim que forem descobertas por um ator de ameaças ou suas ferramentas. Embora um teste de penetração não encontre todos os passados ​​possíveis, vulnerabilidade atual e futura que afetam uma organização, isso ajudará a endurecer uma organização a atacar. Isso tornará um ataque de sucesso muito menos provável, muito mais difícil de alcançar e exigir muito mais tempo e esforço no final do atacante, permitindo que as empresas mais tempo detectem e respondam ao incidente.

Penetration testing can help identify weaknesses in security practices and vulnerabilities before the threat actors do, allowing time to fix them before they are exploited. While a penetration test will not find every possible past, current and future vulnerability affecting an organisation, it will help harden an organisation to attack. This will make a successful attack a lot less likely, a lot harder to achieve and require a lot more time and effort on the attacker’s end, allowing businesses more time to detect and respond to the incident.

quem é para

qualquer organização pode se beneficiar de um teste de penetração; Se mantiver ou processar dados confidenciais, é potencialmente um alvo para um ator de ameaças. No entanto, há o custo a ser considerado - os testes de penetração não são baratos e reduzindo o custo, reduzindo arbitrariamente a contagem de dias para o engajamento normalmente não é uma abordagem aconselhável, pois pode resultar em partes do escopo que estão sendo puladas, o que pode deixar áreas importantes, mas sem controle da propriedade, vulneráveis. Portanto, é recomendável deixar de lado o orçamento a cada ano para segurança cibernética, da qual os testes de penetração devem ser um componente e que o escopo é realizado em colaboração com um parceiro de teste de penetração. Isso ajudará a garantir que a organização obtenha o melhor valor possível do engajamento. O parceiro de teste de penetração deve fornecer orientações sobre como fazer a preparação, mas existem algumas ações gerais que devem ser consideradas:

Preparation

Once scoping has been agreed, there will be some steps that the business needs to take. The penetration testing partner should provide guidance on how to go about preparation, but there are some general actions that should be considered:

• Access - O escopo do trabalho determinará como o acesso será executado, mas se o escopo não estiver acessível publicamente, algum tipo de acesso remoto pode ser realizado no local, ou no local, ou o escopo não for acordado. Como muitas organizações tiveram que implementar tecnologias para permitir o trabalho remoto durante a Covid, isso geralmente é relativamente direto para alcançar, e as soluções atuais de VPN / Citrix usadas pelos funcionários geralmente fornecem uma solução facilmente. Por fim, eles tentarão localizar credenciais separadamente, mas ter um conjunto válido de credenciais permitirá uma boa visibilidade e os ajudará a fornecer o máximo de valor possível no caso de não conseguirem localizar qualquer um deles. Bons consultores entendem como é importante não prejudicar as operações comerciais. No entanto, é sempre possível que as coisas dêem errado durante um teste de penetração, apesar dos melhores esforços. Por esse motivo, ter planos de redundância e identificar os principais sistemas a serem lidar com cautela é uma atividade de pré-envolvimento muito importante para qualquer organização. Se a organização tem um SOC, é uma boa idéia notificá -los que está ocorrendo um teste de penetração para evitar o pânico desnecessário e o desvio da atenção. Da mesma forma, todos os terceiros (a menos que tenham exceções explícitos, por exemplo, AWS) que podem cair no escopo do trabalho devem ser informados e fornecer contrato por escrito para a penetração que ocorre para evitar implicações legais da Lei de Uso de Computador. No entanto, em alto nível, as varreduras serão executadas para reunir uma linha de base de hosts na rede, serviços em execução nesses anfitriões e vulnerabilidades conhecidas que afetam os serviços descobertos. Após a realização das varreduras da linha de base, a abordagem muda para uma manual, onde o consultor estará analisando cada host e atendimento individualmente para identificar equívocas e vulnerabilidades que podem estar presentes. Para aplicativos da Web, isso entra em uma revisão muito mais profunda em uma camada de aplicativos para os Serviços da Web, procurando vulnerabilidades comuns e extremamente perigosas em aplicativos da Web prontos para uso e personalizados, independentemente da pilha de tecnologia. As tentativas de usar fraquezas nas permissões de conta, grupo e anúncios para se mover lateralmente para outras máquinas e escalar privilégios também podem aparecer como parte da atividade de teste. Isso inclui a revisão de todos os aspectos do teste de penetração e identificação de tendências e ações urgentes como resultado do resultado. Normalmente, isso será dado por um sistema de classificação no relatório, mas é uma prática recomendada revisar e discutir as próximas etapas. Uma abordagem típica é trabalhar com a mais alta severidade ao considerar a prioridade da correção, mas o acesso também deve ser considerado - se uma vulnerabilidade for enfrentada pela Internet e alta gravidade, pode ser mais premente do que uma vulnerabilidade crítica interna, apenas devido ao acesso restrito. Um forte entendimento técnico é fundamental para apreciar a natureza de uma vulnerabilidade, e o parceiro de teste de penetração deve ser capaz de ajudar uma organização a processar as descobertas e sua urgência.
• Accounts – penetration testers will benefit from having accounts created for them for whichever domain or application is in scope. Ultimately, they will be trying to locate credentials separately, but having a valid set of credentials will allow them good visibility and help them to provide as much value as possible in the event they are unable to locate any themselves.
• Planning for Disruption – disrupting business activities will never be purposefully performed. Good consultants understand how important it is not to impair business operations. However, it is always possible for things to go wrong during a penetration test, despite best efforts. For this reason, having redundancy plans and identifying key systems to handle with caution is a very important pre-engagement activity for any organisation.
• Notifying SOC and Third Parties – penetration tests by their nature can cause a lot of ‘alarm bells’ to be triggered in defensive technologies. If the organisation has a SOC, it is a good idea to notify them that a penetration test is taking place to avoid unnecessary panic and diversion of attention. Equally, all third parties (unless they have explicit exceptions e.g. AWS) who may fall into the scope of the work must be informed and provide written agreement for the penetration taking place to avoid legal implications from the Computer Misuse Act.

What’s Involved

The nature of the work will depend heavily on the scope agreed and the type of testing being performed. However, at a high level, scans will be run to gather a baseline of hosts on the network, services running on those hosts and known vulnerabilities affecting the discovered services. After the baseline scans have taken place, the approach switches to a manual one, where the consultant will be looking at each host and service individually to identify misconfigurations and vulnerabilities that may be present. For web applications this goes into a much deeper review on an application layer for the web services, looking for common and extremely dangerous vulnerabilities in both off-the-shelf and custom-built web applications, no matter what the technology stack is.

Should the internal network be in scope, this would also include a review of the Active Directory (AD). Attempts to use weaknesses in account, group and AD permissions to move laterally onto other machines and escalate privilege can also feature as part of the testing activity.

Reflection

Once the penetration test has completed and the report has been presented, this is the natural time for the company Head of Cyber Security to assess the holistic picture. This includes reviewing all aspects of the penetration test and identifying trends and urgent actions as a result of the outcome.

The urgent actions are generally a lot easier to identify than trends, and the penetration testing partner can suggest the best way to prioritise issues. Typically, this will be given by a rating system in the report, but it’s best practice to review and discuss the next steps. A typical approach is to work from the highest severity down when considering priority for remediation, but access should also be considered – if a vulnerability is internet facing and high severity it may be more pressing than an internal critical vulnerability, just due to the restricted access. A strong technical understanding is key in appreciating the nature of a vulnerability, and the penetration testing partner should be able to help an organisation process the findings and their urgency.

Vulnerabilidades menos urgentes, mas importantes, também podem ser estabelecidas no relatório. Por exemplo, um patch ausente pode não constituir uma tendência problemática. No entanto, se houver vários sistemas de fim de vida descobertos e vários patches ausentes em muitos hosts da propriedade, isso pode indicar que a política de patches da organização pode precisar de atenção. Às vezes, isso pode ser difícil de identificar, mas a revisão com o consultor que realizou o teste pode fornecer informações especializadas sobre conselhos gerais para melhorar as práticas avançadas. Ele deve identificar vulnerabilidades, bem como fraquezas nas práticas e lacunas nas políticas para ajudar a organização a permanecer resiliente por muito tempo após o término do compromisso e as correções urgentes aplicadas. Descubra como podemos ajudar a apoiar os esforços de segurança cibernética de sua organização

In conclusion, penetration testing is relevant for all business types and sizes, and it will deliver significantly more value than an automated scan could alone. It should identify vulnerabilities, as well as weaknesses in practices and gaps in policies to help the organisation remain resilient long after the engagement has ended and the urgent fixes applied. Discover how we can help support your organisation’s cybersecurity endeavours aqui.

Fontes:

[1]= https://www.verizon.com/business/en-gb/resources/reports/dbir/2024/summary-offindings/||128