Lars Møller <larsmo@post3.tele.dk> wrote:
> Scanningservices eller penetreringstest, er at en kompetent og uddannet
> person (Det skulle gerne være mere positivt ladet end "en dyr
> netværkskonsulent")
En stor del af "sikkerhedsmarkedet" bestaar af inkompetente konsulenter som
koerer Nessus eller en tilsvarende scanner.
> Naturligvis er en portscanning en del af dette, men det er , hvis man
> benytter seriøse partnere, meget mere omfattende, f.eks. skal denne
> konsulent gerne vide hvilke sårbarheder der findes på de komponenter man
> benytter.
Og saa kan konsulenten vende tilbage om 2 maaneder og udpege 25 nye fejl.
Det er naturligvis en god forretning for konsulenten, men det er ikke vejen
frem for kunden. I de fleste tilfaelde aner kunden intet og vil jo blot have
bedre sikkerhed saa de betaler gerne.
Vejen frem er at bestemme sig for hvilke services man skal tilbyde til
verdenen (og evt. internt). Saa saetter man sine servere og firewalls op til
at haandhaeve dette billede. Man opretter en process saa kan kan opdatere
services skulle der blive fundet sikkerhedsfejl, og man opretter en process
til at sikre sig at de rette patches er installeret. Hvis man ikke har
ekspertisen til at oprette disse, kan man hive en konsulent ind for at
hjaelpe.
Tiden gaar og processerne bliver fulgt.
Ind imellem hiver man saa en konsulent ind som man _ved_ er dygtig. Man
viser ham sin dokumentation og stiller ham 2 spoergsmaal. Det foerste er:
"Vi tror vores netvaerk ser _saadan ud_. Er vores opfattelse korrekt?" og
det andet spoergsmaal er: "Er der noget vi kan goere bedre?"
Hvis kundens opfattelse af deres netvaerk er forskellig fra hvordan
netvaerket ser ud, er der enten huller i processerne eller de er ikke blevet
fulgt korrekt.
I mine oejne boer man som konsulent kun benytte penetration tests i 2
situationer:
1) hvis kunden skal evaluere en partner (eller lignende) som ikke
vil udlevere deres dokumentation. Maaske fordi der ikke er nogen
dokumentation. Aldrig et godt tegn.
2) hvis kunden oensker at se om deres personale og teknik fungerer
korrekt. Ofte siger konsulenten: "Vi gjorde X og Y ved jeres
netvaerk. Opdagede I det, og er det tydeligt hvad vi gjorde?"
Risikoen for at man som pen-tester overser noget er ganske stor.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow.
http://a.area51.dk/