Avsnittet heter #72 – Nio vanliga fel vid penetrationstester.
Det spelades in 2020-04-18 och lades ut 2020-04-19.
Deltagare: Mattias Jadesköld och Erik Zalitis.
Show notes skrivna av Erik Zalitis.
Några tankar
Avsnittet är i någon form en fristående fortsättning på våra avsnitt om Etisk hackning och Cyber Kill chain. En del av ämnena togs upp redan där, men i detta avsnitt fördjupar vi diskussionen om svårigheterna man möte när man testar system.
Denna gång försöker vi också fundera på vad som bör ingå i en bra rapport:
- Ska ha en sammanfattning (Executive summary) med övergripande risk.
- Lista alla mål som man kommit överens om.
- Lista alla sätt det gick att ta sig in.
- Ranka sårbarheter enligt något system som är enkelt att överblicka.
- Föreslå förbättringar och lösningar.
- Rapporten anpassas i omfång och detaljnivå efter uppdragets storlek och karaktär.
Allmänt om pentester, SDLC och när man gör tester
Pentester sker normalt i samband utrullningen av ett nytt system eller i samband med utrullningen av en ny version av ett system.
Testerna simulerar attacker och dokumenterar allting som upptäckts “på vägen”.
Pentester utföres alltid av en oberoende granskare.
Vår lista på de nio vanligaste felen som görs vid pentester:
1 – Att inte förstå avgränsningarna I uppdraget
2 – Att inte prioritera riskerna
3 – Att använda fel verktyg
4 – Att göra en dålig rapport
5 – Att bara ”kryssa för boxar” istället för att ge kreativiteten en chans.
6 – Att skada produktionssytem
7 – Att använda gammal teknik och ha gammal kunskap
8 – Att inte göra återkommande tester
9 – Att kunden inte genomför förbättringarna som föreslås.