» »

Podjetja ki izvajajo penetration teste

Podjetja ki izvajajo penetration teste

i1164674 ::

Živjo,

V našem podjetju želimo dvigniti nivo varnosti.
Zanima me, kdo vse se v Sloveniji ukvarja s testiranjem varnosti - penetration testi?
Našel sem VIRIS, to je pa tudi vse... Sigurno niso edini, ali pač?

Hvala!

Goran's Blog ::

Eno katero mi pride prvo na pamet: Unistar L.c.

harvey ::

SIQ Ljubljana po novem opravlja tudi varnostne preglede.
Ar scáth a chéile a mhaireann na daoine.
------

Poldi112 ::

NIL
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

jernejl ::

ACROS d.o.o. (acrossecurity.com)

SeMiNeSanja ::

Penetracijski test je bolj tako-tako. Če se že odločate za ta korak, dajte raje izvesti varnostni pregled (v sklopu katerega je lahko tudi penetracijski test).

Penetracijski testi ti samo pokažejo, če imaš kakšno ranljivost direktno izpostavljeno internetu, kar pa je samo eden od številnih možnih vektorjev napadov. Tako ti npr. penetracijski test ne bo pokazal, da ne omejuješ prometa na VPN povezavah (Wannacry, NotPetya,..?), da ne upoštevaš dobrih praks glede segmentiranja omrežja (WiFi AP direktno priključen na trusted network?), da Windows server ni bil posodobljen, da imaš v podjetju tudi šibka gesla,.... itd.

To je nekako tako, kot če greš k zdravniku, pa te ta samo pogleda ter s stetoskopom posluša srce in pljuča. Ne naredi pa krvne slike, ultrazvoka in vseh ostalih preiskav, ki sodijo v resen sistematski pregled.

Seveda je tak pregled dražji, ampak tako, kot mnoge bolezni ne moreš odkriti s stetoskopom, tudi večino varnostnih problemov ne moreš odkriti s penetracijskim testom.

seniorman ::

V Sloveniji je tudi https://www.proteansec.com/, sicer imajo spletno stran v Angleščini, ampak so slovenci.
In pa tudi http://www.hicsalta.si/

Zgodovina sprememb…

poweroff ::

Kar nekaj od navedenih podjetij je zanič... pravzaprav bi jaz priporočil samo dve podjetji. Viris in Acros.

Vprašanja:
- zakaj ste se sploh odločili za varnostni pregled, s čim se ukvarja vaše podjetje, da imate občutek, da rabite pregled?
- kaj naj bi pregled obsegal? Samo ozko usmerjen pregled, ali bolj celovit pristop h varnosti?
- kakšen imate proračun? Določena podjetja vam pregled opravijo že za 2000 - 3000 EUR, ampak v resnici samo poženejo nek skener in interpretirajo rezultate...
- kaj ko bi najeli kakšnega freelancerja, v tem poslu so freelancerji pogosto boljši kot marsikatero podjetje.
sudo poweroff

seniorman ::

Jaz bi priporočal tudi Proteansec, kjer delata dva freelancerja, ki se ukvarjata pretežno z reverse engineeringom in fuzzanjem, ampak
sta res top in imata res veliko znanja!

Določena podjetja pa dejansko poženejo samo skenerje, poznam iz osebnih izkušenj, ampak jih ne bom poimensko našteval. Moje mnenje je,
da mora podjetje, ki se ukvarja z varnostjo tudi kaj vložiti v dejanski research in ne izvajanje samih projektov kot takih. Takorekoč
bi se lahko merilo po naslednjih merili:

- Objava člankov: ali objavljajo relevatne članke s področja varnosti: tu notri se ne štejejo naštevanje njihovih produkot ali propagiranje/hujskanje enega ali drugega izdelka (tega ne potrebujemo in mu lahko rečemo zgolj bullshit).
- Whitepapers: ali imajo kak res dober tehnični paper, kjer prav tako ne vsebuje zgolj bullshita.
- CVEs: pomojem najbolj relevantna metrika - če imajo kakšen CVE, pomeni, da so nekaj truda in znanja vložili v najdbo le-tega, kar tudi ni tako enostavno. Exploitanje določene znanje ranljivosti zna biti dokaj simpl (odvisno od ranljivosti), medtem ko najdba le-te ni tako preprosta (seveda v kakšen dobrem produktu, ne v neki software opremi za katero še noben ni slišal).
- Predstavitve: Tu v sloveniji videvam bolj bullshit predavanja kakor kar koli drugega. Veliko je natolcavanja z ene in druge strani: če si za določenega predavatelja pogledate zgodovino predavanj lahko hitro vidite njehov stil, ki je lahko recimo predavanje o social engineering stvareh - pazite: tu ni potrebno nobenega researcha in dokaj malo znanja, bolj bi temu rekel social skills - in any case, veliko je predavateljev, ki predavanja sestavljajo 1 dan prej (ali še celo isti dan), ker imajo bullshit temo zgolj zato, da se pojavljajo v javnosti in ker bi dejansko imeli kaj pametnega za povedati.

Povzetek: dobite pozorni na bullshit, predvsem s strani že znanih predavateljev/podjetij, ki dejansko v security field ne prinesejo nič. To samo govorijo in delajo izključno samo projekte za katere so plačani. Predavanja so tudi izključno v takih smereh, da so sestavljena hitro, ne povejo ničesar novega, natolcavajo eno in isto temo, predvsem pa ne gre za nikakršen research z njihove strani, ampak zgolj za marketing!

Zgodovina sprememb…

korenje3 ::

i1164674 je izjavil:

Živjo,

V našem podjetju želimo dvigniti nivo varnosti.
Zanima me, kdo vse se v Sloveniji ukvarja s testiranjem varnosti - penetration testi?
Našel sem VIRIS, to je pa tudi vse... Sigurno niso edini, ali pač?

Hvala!


EU ima bazo NANDO za organe, ki so pooblaščeni.

http://ec.europa.eu/growth/tools-databa...
i9-12900k; 32GB DDR5-6000 CL36; Nvidia RTX 3080 ti;
Gigabyte Aorus z690 master; Be Quiet Dark Power 12 1000W

SeMiNeSanja ::

OMG, kam se spuščate.

Predvidevam, da imajo pri OP-u tipično slovensko poslovno omrežje z 20-50 računalniki, enega rač. tehnika, ki špila admina in je rahlo preobremenjen z vsemi nalogami in znanji, ki bi jih moral pokrivati, pa iščejo nekoga, ki bi malo preveril njihovo situacijo na omrežju glede varnosti.

Tukaj ne rabiš nekega high-end raziskovalca, ki okdriva ranljivosti v nevem katerih protokolih ali aplikacijah. Ti so ponavadi tako ozko usmerjeni, da sploh ne bodo videli 'the big picture'. Tak človek se ukvarja z debuggerjem in analizira strojno kodo, dokle nekje nekaj ne najde, kar bi se dalo zlorabiti. Koliko pa dejansko ve o najbolj preprostih 'dobrih praksah' upravljanja omrežij, je pa lahko zelo pod vprašajem.

Res je, da je kar nekaj takih, ki znajo na veliko in zelo zanimivo nakladat o social engineeringu (Milana je vedno zanimivo poslušat). Ampak to je spet druga kategorija, katera spada pod cybersecurity awareness training. Izredno koristna zadeva, ki bi jo moralo prirejati vsako podjetje za svoje zaposlene. Sploh pa za vodstvene kadre, da začno razumeti, da še kako hitro lahko nasedejo kakšni prevari in se tudi sami začno malo bolj resno zanimati za to, kako so zadeve v podjetju pošlihtane.

Ampak to spet ni to, kar OP ta hip išče - bo pa to tem moral razmišljati v nadaljevanju. Štos današnjih standardov pri varnostnih pregledih je namreč v tem, da je 'security awareness training' ena od točk, ki je mandatornih za pozitivno oceno. Če se tega ne izvaja, bo vsako poročilo med prvimi stvarmi, ki jih je treba urediti, navedlo tovrstna izobraževanja.

poweroff ::

Saj zato sem pa vprašal s čim se podjetje ukvarja oz. zakaj so prišli na idejo, da rabijo penetration test.
sudo poweroff

SeMiNeSanja ::

poweroff je izjavil:

Saj zato sem pa vprašal s čim se podjetje ukvarja oz. zakaj so prišli na idejo, da rabijo penetration test.

Se bojim, da se je OP ob vsem pametnjačenju prestrašil in temi sploh ne sledi več.

Drugače pa je tvoje vprašanje čisto na mestu.
Velika razlika je, če imaš 'tipično malo poslovno omrežje' ali pa če nudiš neke spletne storitve, poganjaš B2B portal, 'extranet' in podobne fore.

Invictus ::

V bistvu ga ne rabijo, ker s tem ne moreš ukiniti butastih uporabnikov.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

SeMiNeSanja ::

Invictus je izjavil:

V bistvu ga ne rabijo, ker s tem ne moreš ukiniti butastih uporabnikov.

Butaste uporabnike imaš povsod. Zato jih moraš vsaj poskusiti izobraževati, da bodo malenkost manj butasti.

Istočasno pa imaš lahko stvari postavljene tako, da lahko butasti uporabnik naredi več ali manj škode. Tu pa mislim, da se strinjaš, da je dobro preveriti, če si naredil vse, kar se spodobi, da nebi butastemu uporabniku uspelo spraviti celega podjetja na kolena z enim ali dvema napačnima klikoma.

korenje3 ::

Invictus je izjavil:

V bistvu ga ne rabijo, ker s tem ne moreš ukiniti butastih uporabnikov.


to je res. če butast uporabnik požene priponko na e-mailu ki je okužena, ti noben antivirusni program ne bo pomagal, sploh če je 0-day exploit.
i9-12900k; 32GB DDR5-6000 CL36; Nvidia RTX 3080 ti;
Gigabyte Aorus z690 master; Be Quiet Dark Power 12 1000W

SeMiNeSanja ::

korenje3 je izjavil:

Invictus je izjavil:

V bistvu ga ne rabijo, ker s tem ne moreš ukiniti butastih uporabnikov.


to je res. če butast uporabnik požene priponko na e-mailu ki je okužena, ti noben antivirusni program ne bo pomagal, sploh če je 0-day exploit.

Bullshit.

Pišemo leto 2017. Uporabljaj tehnologijo od 2017 in ne od 2005 ali še stareše, pa boš spoznal, da taka priponka sploh do uporabnika ne bo prišla, če pa že, pa da tudi to še ni nujno konec sveta.

Razen če ni butast samo uporabnik, temveč tudi admin, ki današnje rešitve administrira kot da bi imel PIX iz leta 1994.

Invictus ::

SeMiNeSanja je izjavil:


Razen če ni butast samo uporabnik, temveč tudi admin, ki današnje rešitve administrira kot da bi imel PIX iz leta 1994.

To je še večji problem.

Bi pričakoval, da ima folk, ki upravlja z infrastrukturo, vsaj dandanašnji že recepte kako nastaviti mrežo, Windowse, Linux, in ostalo sranje na mreži, da je varno.

Pač narediš enkrat in potem samo preverjaš.

Ampak zgleda sem preoptimističen.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

mojster_joni ::

sj ne da je social engineering še najlažji način kako prit okrog še ne vem kake varnosti... je pa seveda kup ljudi ki ga kao obvladajo kup nakladačev, ki nimajo pojma, ampak nekdo, ki dejansko obvlada, ti pride praktično kamor koli....

nimam pa pojma če je kako podjetje/posameznik v slo tak in če je kdo bi to bil

jernejl ::

Bi pričakoval, da ima folk, ki upravlja z infrastrukturo, vsaj dandanašnji že recepte kako nastaviti mrežo, Windowse, Linux, in ostalo sranje na mreži, da je varno.

Pač narediš enkrat in potem samo preverjaš.

A to si mislil tako:
1. narediš, da je varno;
2. preveriš, ali si res naredil tako, da je varno => potem je varno

Ampak zgleda sem preoptimističen.

Ali si prepričan, da je pa tvoje delo narejeno brez napak in tako, da npr. na Pwn2Own ne bi imeli možnosti najti kakršnekoli ranljivosti?

Občasno je super, če tvoje delo pogleda nekdo "od zunaj", preverjanje samega sebe je najslabša možnost.
V konkretnem primeru recimo tudi zato, ker imajo podjetja specializiran software za avtomatizirane teste ranljivosti, česar vsak administrator ali razvijalec v vsakem podjetju nima. Ranljivosti so tudi na nivoju aplikacij, ne samo na nivoju infrastrukture.

jype ::

V resnici moraš delat dve reči: Skrbeti za varnost (z ustaljenimi dobrimi praksami) in drillati procedure za primer katastrofe, ki se bo na dolgi rok neizogibno zgodila (če se ne bo, pa toliko bolje).

Tehnologija obstaja in je prosto dostopna, samo še uporabiti jo mora nekdo - praviloma sistemci, včasih pa tudi kakšna deklica za vse.

Invictus ::

jernejl je izjavil:

Bi pričakoval, da ima folk, ki upravlja z infrastrukturo, vsaj dandanašnji že recepte kako nastaviti mrežo, Windowse, Linux, in ostalo sranje na mreži, da je varno.

Pač narediš enkrat in potem samo preverjaš.

A to si mislil tako:
1. narediš, da je varno;
2. preveriš, ali si res naredil tako, da je varno => potem je varno

Ampak zgleda sem preoptimističen.

Ali si prepričan, da je pa tvoje delo narejeno brez napak in tako, da npr. na Pwn2Own ne bi imeli možnosti najti kakršnekoli ranljivosti?

Občasno je super, če tvoje delo pogleda nekdo "od zunaj", preverjanje samega sebe je najslabša možnost.
V konkretnem primeru recimo tudi zato, ker imajo podjetja specializiran software za avtomatizirane teste ranljivosti, česar vsak administrator ali razvijalec v vsakem podjetju nima. Ranljivosti so tudi na nivoju aplikacij, ne samo na nivoju infrastrukture.

Problem je, ker večina naših "adminov" niti osnovnih receptov za varnost ne prebere. Ker jih ne razumejo. Prebustasti ali preleni, ponavadi pa kaj oboji. To so večinoma taki, ki jamrajo tukaj da dobijo samo 700-800 EUR plače. Izgovor je, saj dela. Zakaj bi se mučil.

Kaj pa imam od tega, če namesto SNMP v1, v2c uporaljam v3.

Ali namesto telneta ssh.

Ali https namesto http.

Kaj šele da bi kdo vedel, kaj je to NAC oz. NAP.

Nič nimam, zato ne spreminjam. Lahko so veseli da pridem v službo, miselnost... In da tam eni tajnici pomagam pri Wordu.

Sam na srečo ne delam več v infrastrukturi. Preslabo plačano. Integratorstvo je precej boljše.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

SeMiNeSanja ::

Ceno na infrastrukturi zbijajo 'šalabajzerji', ki ti privlečejo čudežno škatlo za veliko $$$, ki bo kao rešila vse probleme - potem pa jo skonfigurirajo na način, da bi vsaka malo boljša rešitev za domačo rabo za promil te cene stvari opravila bolje.

Krivi pa so tu ravno kupci, ki ničesar ne postavijo pod vprašaj. Če je dvorni dobavitelj rekel da je zadeva dobra, potem bo že držalo. Zatakne se edino, če kaj 'ne dela'. To postane osnovni kriterij - ali stvari 'delajo' ali ne. Ne vpraša se pa nihče, če je res dobro, da vse 'dela'. Bognedaj, da se 'zatika' kakšen telnet nekam ali da nekomu njegov privatni Dropbox ne deluje. Potem se že ugotavlja, da je rešitev slaba.

Potem te tudi ne čudi, če ti vodja IT v eni večjih 'kulturnih' ustanov reče, da so zamenjali WatchGuard požarno pregrado za ASA, ker so baje 'odprti' in akademikom ne velja ničesar blokirat. Samo ne vem, zakaj so potem ASA škatlo postavili - navaden router bi zadoščal (da ne omenim, da se da vsako požarno pregrado degradirat do te mere, da nič ne blokira). Mogoče pa je bil problem, ker je uspešno blokirala torrente?
No, takšni potem staknejo izsiljevalske viruse in ne da bi trenil plačajo odkupnino, vso zgodbo pa pometejo pod preprogo.

Če si iz foha, že takoj na prvi pogled vidiš, ali je neka konfiguracija šalabajzerska, ali pa jo je dela nekdo, ki se mu vsaj malo sanja, kaj dela.
Veliko rešitev ima danes možnost nekakšnega čarovnika za hitro namestitev. To šalabajzerjem še dodatno olajša delo. Zaženejo tisti čarovnik in nekaj klikov kasneje zadeva 'dela'. Naivna stranka pa to potem vsa zadovoljna prevzame.

Invictus ::

He he, how true ;).
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

PrimoZ_ ::

In je OP že ugotovil kaj sploh rabi ?

SeMiNeSanja ::

Mislim, da smo OP-a prestrašili :|

MTm2H37rqt7B ::

Vprašanje,

katero podjetje, bi bilo pripravljeno narediti bandwidth-stress test (ddos) na določene strežnike, pripraviti report, ipd.

Želja je po testiranju infrastrukture in anti-ddos zaščit. Ne zanima me pen-testing vendar zaenkrat samo antiddos-testing.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Lekarne Ljubljana žrtev izsiljevalskega virusa (strani: 1 2 3 )

Oddelek: Novice / Varnost
12627164 (13764) acookook
»

AJPES kot najbolj transparentni državni organ javno objavil vse svoje registre (strani: 1 2 3 4 5 6 7 8 )

Oddelek: Novice / Varnost
369120013 (85246) AndrejO
»

Čeferinu skušali vdreti v elektronsko pošto?

Oddelek: Informacijska varnost
144202 (3003) SeMiNeSanja
»

Juniper odkril podtaknjena stranska vrata v svojih napravah (strani: 1 2 )

Oddelek: Novice / NWO
6728460 (24004) AC_DC
»

EU pripravlja hujše kazni za hekerje

Oddelek: Novice / Varnost
249702 (8095) poweroff

Več podobnih tem