Yorum
Birkaç yıl önce otomatik kalem test araçları ortaya çıktığında ilginç bir soru sordular: İnsan kalem test cihazlarını değiştirmeye ne kadar yakınlar? Kısa cevap “o kadar yakın değil” olsa da, kesinlikle potansiyeli vardı ve göz kulak olmaya değer.
Bu araçların en son yinelemesini gözden geçirme şansım olduğu için, nasıl geliştiklerini ve şimdi ne kadar yakın olduklarını görmek ilginç. insan kalem test cihazı Saldırgan güvenlik çalışmaları için.
Otomatik bir kalem test cihazını test ettiğimde, bunu hız, yetenek ve kapasite ve çıktı açısından bir insan ile karşılaştırıyorum (yani, ortaya çıkan rapor). Daha önceki otomatik kalem testçilerinden muzdarip olan büyük sorunlar dahil:
-
İnsan kalem test cihazları için açık olan bazı şeyleri sömürmek veya görme zorluğu, kamuya açık olan güvenlik açıklarından yararlanmak da dahil olmak üzere,
-
Web uygulamalarını hiç anlamadı
-
Ağın sadece “içten” kullanılabilir; Dışarıdan kalem testi yapamadılar (esas olarak web uygulamalarının yukarıda belirtilen cehaletinden dolayı)
O zamandan beri otomatik kalem test cihazları nasıl değişti?
Yeni kalem testçileri nihayet web uygulamalarını anlıyor – Yaşasın! Hem çevrenin içinde ve dışından onlara saldırabilirler. Bu hoş bir gelişmedir, ancak yine de diş çıkarma sorunları var. Web uygulama tarayıcılarında çok olgun bir pazar nedeniyle, hem güvenlik açıklarını düşük yanlış pozitif oranla tespit edebilmeleri hem de diğer varlıklara dönecek şekilde kullanabilmeleri gerekir.
Ne yazık ki, bunu kendi başlarına ayırt edici olacak kadar iyi yapmıyorlar – yeterince açık olan güvenlik açıkları bulacaklar, ancak savunmasız bir kutuda, açık SQLI’yi bile tespit edemedi veya potansiyeli doğrulayamadı XSS Güvenlik Açıkları Yanlış pozitifleri ayıklamak. Ancak parlaklık flaşları var. Dahili bir web uç noktasının, daha önce başka bir araç tarafından tespit edilmeyen bir dosya yükleme güvenlik açığı vardı (bu, insan kalem test cihazları tarafından bile bulunmadı), ancak genel olarak, ezici. Web uygulama tarayıcılarındaki bugünün teklifleri bundan daha iyisini yapacak.
İkinci büyük gelişme bulut ortamlarıdır. Çoğu kalem testçisinin size söyleyeceği gibi, şirket içi bir Active Directory tabanlı ortamda gezinmek, kullanacağınız varlıklar ve istismarlar tamamen farklı olduğundan, yerel bir Amazon Web Hizmetleri (AWS) ortamında döndürmekten belirgin şekilde farklıdır. Ayrıcalık artışı artık bir kimlik ve erişim yönetimi (IAM) rolünü kötüye kullanmak için kötü yapılandırılmış bulut varlıklarından yararlanmaya veya daha ileri gitmek için bazı AWS anahtarlarını almaya dayanıyor. Doğal olarak, eşleştirilmemiş makineler ve yanlış yapılandırılmış bağlantı noktaları ve hizmetleri içeren geleneksel güvenlik açıklarını da bulacaksınız. Burada yine, otomatik kalem test araçları gelişti ve bu ortamlarda gezinebilir ve anlayabilir. Bu, geleneksel VM veya IP’ye bağlı varlığa bağlı olmadıkları için onları CNAPP tipi tekliflerle eşit hale getirir.
Gibi bulut bu araçlar için nispeten yeni bir alandır, mücadele edebilirler. Onlara varsayılan bir rol verilmedikçe, çok fazla bulamazlar. Daha da kötüsü, bir IAM rolünü bir kırılganlığın kendisi olarak kabul ettikleri gerçeğini işaretleyecekler – bu, kalem testçilerine yerel yönetici yetenekleri vermek gibi olurdu, böylece bir kalem testine başlayabilirler ve güvenliğinizi işaret etmek kötü çünkü sadece Onlara yerel yönetici verildiğinde.
Otomatik kalem test cihazları da erişim verildiğinde kendi ağlarını numaralandırmak için mücadele ediyor – açıkça aynı sanal özel bulutta (VPC) veya sanal LAN (VLAN) üzerinde bulunan makineler göz ardı edilecek veya gelişigüzel olarak taranacak. Bu, bir Active Directory makinesine ulaşamadıkça, bulut ortamlarında bile çalışmayan bazı otomatik kalem test araçlarından daha iyidir.
Otomatik Kalem Test Edicilerinin Avantajları
Bununla birlikte, bu araçlardan beklediğiniz diğer tüm avantajlar devam etmektedir. Bir kalem testi yinelemesinden hızlı bir şekilde geçebilirler – isterseniz birkaç saat içinde (bu yapılandırılabilir). Ürettikleri raporlar birinci sınıftır ve bir insan kalem test cihazının üreteceği herhangi bir raporla karşılaştırılabilir. Bunu nitelikli bir güvenlik değerlendiricisine (QSA) teslim edecek olsaydınız, farkı ayırt etmekte zorlanırlardı.
Doğal olarak, otomatik doğaları nedeniyle, bunları büyük ortamlarda yayabilir ve isterseniz günlük olarak tekrarlayabilirsiniz. Bu, otomatik kalem testçilerinin insanları toz içinde bıraktığı yerdir – hiçbir şirket, önemli bütçelerle bile büyük ortamlarda günlük kalem testlerini tekrarlayamaz ve insan ekibi bu zamanda tamamlayamaz ve doğrulanabilir eylemlerle bir rapor yazamaz. Yeterince anlamlı hale getirin. (Bir şeyi aklınızda bulundurun: Bu araçlar ucuz değil.)
Genel olarak, bu araçların geliştiğini görmek güzel. Değişim oranı buzuldur, ancak şimdi bulut ortamlarını anlarlar ve hala mizaç, pahalı ve birkaç şeyi kaçırsa da web uygulamalarını hedefleyebilirler. İnsanların aynı olduğunu iddia edebilir. Ancak şimdilik insanlar avantajı koruyor – ama Karşılıklı olarak münhasır değiller. Tıpkı kitle kaynaklı güvenlik ve geleneksel kalem testiotomatik kalem testi artık saldırgan güvenlik testinize katmanlanabilen başka bir araçtır ve burada kuruluşunuz için önemli olan istismarları bulmanıza yardımcı olabilir.