ペネトレーションテスターに10の質問
http://www.microsoft.com/japan/technet/security/secnews/community/community070523.mspx
やってみた(w
おいらが業務でやってるヤツだとこんな感じかな。
1. 検査には、脆弱性スキャナのみを用いますか?
No. 手動での検査を含む。スキャナの誤報チェックからリスクの影響範囲確認など。あと、WEB アプリとかカスタムアプリとかだと、まだ手動のほうが精度高いみたいだし。ツールはあくまでも自動化できる部分の高速化だねえ。
2. 検査には、手動によるオンラインパスワード検査や情報収集を含みますか?
Yes. ツール使うと負荷が高いとか時間がかかるとかあるんで。典型的なもの、メーカー標準、その他連想しやすいものを試す。
3. 検査には、攻撃コードなどを使用した実際の侵入まで行いますか?
Yes. ただしシステムダウンの可能性が高いものは使わない。カスタムアプリなんかの場合だとテストパターンがそのまま効くことがあってガクブル。基本的には業務運用に乗った後のサーバとかが相手だったりすることが多いので、前提としてシステムダウンや DoS に繋がる可能性の高いものはつかわないのです。
工数も足りないしな('A`)
4. 検査には、侵入後の調査活動を含みますか?
Yes. とりあえずアクセスできる範囲くらいまでは洗う。手が足りないので権限上昇など Local Exploit までやってると間に合わないという事情もある('A`)
分担できりゃいいんだけどねえ。WEB アプリ系で時間食うからどうしても Remote Exploit 系は通じた時点でざっとアクセス可能範囲を洗って終了になっちゃうな。
5. 検査には、最低何名体制であたりますか?
俺 し か い な い 予 感 。・゚・(ノД`)・゚・。
現在、隣の若手を二人目とすべく洗脳中。ぺねとれはたのしいよお。
普通に手が足りない。
6. 検査レポートには、検査全体を通したサマリはありますか?
Yes. 管理職向けのビジネスサマリ、エンジニア向けのテクニカルサマリ、ペネトレ自体の作業ログを含む。
7. 検査レポートには、各検査対象ホスト毎に評価ランク、コメントはありますか?
また、それは何段階でどのようなものですか?
Yes. 五段階。既知の脆弱性が見つからず、外部からの攻撃に晒されても(ゼロデイなどでなければ)耐えきると思われるものを最高評価として、セキュリティリスク事の重み付けをもとに減点法で採点。採点結果をもとにカテゴリ分けをする。認証の迂回に成功した場合はそれだけで最低ランク入りするようになっている。
8. 検査レポートには、検出された脆弱性毎に対策優先度や危険度のような重み付けはありますか?
また、それは何段階でどのようなものですか?
Yes. 三段階で減点範囲を決めている。致命的なものは一撃でログインできたり情報を抜いたりできるもの。PoC が通じた Buffer Overflow 系や Command Injection 、SQL Injection で重要なデータにアクセスできた場合など。複数の条件をクリアする必要があるものはそれより軽く、直接的なリスクではないものは最も軽い。
9. 検査レポートには、検出された脆弱性毎に具体的対策が示されていますか?
Yes. 可能な限り、適用すべきパッチの情報や代替対応策を示すようにしている。
10. 検査後にはどのようなアフターケア、アフターサービスがありますか?
説明会の開催。修正方法や運用の改善などについてのコンサルティングや、レポートに対する Q&A の受け付けなど。
二週間程度は電話で対応できる範囲であれば問い合わせに対応。それ以上はさすがに別途案件として発注してね('A`)
ってな具合か。人手があればもうちょっと精度上げられるんだが。こうやって書いてみると一人でペネトレ作業から報告書作成までやってるわりにはそこそこ頑張ってるな。