Chanzo: www.hackerone.com – Mwandishi: Spencer Chin. Tulizungumza na Spencer Chin, Mkurugenzi wa Uhandisi wa Uuzaji wa Amerika Kaskazini huko Hackerone, na Jasmin Landry, mkurugenzi mwandamizi wa NASDAQ na tester ya kupenya ya Hackerone. Kwa pamoja, wamesaidia mamia ya mashirika, kama vile Grammarly, Zebra, na Jedox, wigo na kutekeleza vipimo vya kupenya ili wapate matokeo bora. Vidokezo hivi kutoka kwa Spencer na Jasmin ni msingi wa uzoefu wa ulimwengu wa kweli na vimeundwa kusaidia shirika lako kutekeleza ushiriki mzuri wa penter kutoka mwanzo hadi mwisho. Kabla ya pentest 1. Fanya backups na ujaribu katika hali zingine, pentests hufanywa katika mazingira ya uzalishaji. Wakati hii ndio kesi, hakikisha shirika lako lina nakala za data zake zote na uhakikishe kuwa backups zinafanya kazi kwa kujaribu kurejesha kabla ya pentest kuanza. Ni bora kujiandaa kwa urejesho wa data, kwani ajali zinaweza na zitatokea wakati wa pentests. 2. Kuwa na mpango wa majibu ya tukio na tayari kutekeleza wakati mwingine, wahusika wanapata udhaifu ambao unaweza kusababisha tukio (ambalo ni nadra) au kupata ushahidi muigizaji mbaya tayari ameshatumia udhaifu hapo zamani. Ikiwa hii itatokea, unaweza kuhitaji kuanza mpango wako wa majibu ya tukio (IR). Jaribu kabisa mpango wako wa IR, na hakikisha kila mwanachama wa timu anajua majukumu na majukumu yao. Kwa mfano, ikiwa wahusika hugundua mazingira magumu yalinyanyaswa na kutumiwa kuzidisha habari inayotambulika kibinafsi (PII), mpango wako wa IR lazima uwe tayari kuanzisha mara moja. 3. Ifanye kuwa kijivu kuamua ikiwa pentest yako inapaswa kuwa sanduku nyeusi, sanduku nyeupe, au sanduku la kijivu linategemea malengo yako. Mtihani wa Sanduku Nyeusi hutoa habari ndogo sana au hakuna habari juu ya mali inayojaribiwa mtihani wa sanduku nyeupe hutoa habari kamili juu ya mali inayojaribiwa, pamoja na, lakini sio mdogo, nambari ya chanzo na mtihani wa sanduku la kijivu ni mahali pengine katika mashirika ya kati kawaida hutumia nyeusi nyeusi Tathmini ya sanduku ili kuiga ni nini mpinzani wa mbali anaweza kugundua juu yao na jinsi wanaweza kuongeza akili hiyo kufanya utapeli wa mtandao. Wateja wengi huamua kwenda na njia nyeusi ya sanduku kwa sababu wanahisi kuwa hii itaiga vyema adui halisi na ufahamu mdogo wa shirika lako. Walakini, hii inapunguza ukweli kwamba wapinzani kwa ujumla wana wakati mwingi wa kujitolea kwa shambulio lao kuliko Pentester. Wapeanaji ni mdogo kwa wiki kadhaa za majaribio, wakati wapinzani wana wakati usio na kikomo. Madaraja ya upimaji wa sanduku la kijivu wakati huu kwa kutoa habari inayofaa kwa majaribio ili waweze kuzingatia kupata udhaifu. Ikiwa lengo lako ni kutambua udhaifu kwenye mali yako kwa njia bora zaidi (na kwa hivyo gharama kubwa zaidi), basi mbinu ya sanduku la kijivu itakuwa na ufanisi zaidi. Toa timu yako ya pentest na habari ifuatayo na ufikiaji katika jaribio la sanduku la kijivu: majukumu mengi ya watumiaji na viwango tofauti vya ufikiaji. Kutoa majukumu mengi ya watumiaji huwezesha majaribio ya kuhakikisha kuwa udhibiti wa idhini unafanya kazi kama ilivyokusudiwa na kwa ujumla huwapa ufikiaji wa mtihani wa mali zaidi. Habari juu ya stack ya teknolojia. Teknolojia tofauti zinahusika zaidi na aina fulani za udhaifu. Ambapo maombi yanakaribishwa. Njia za shambulio hubadilika kulingana na ikiwa programu iko kwenye wingu au majengo. Ongeza timu ya pentest kwenye orodha yako ya moto (au WAF) ruhusu orodha. Epuka timu ya pentest kupata kiwango kidogo au imefungwa na uzingatia wakati wao kupima maombi. Hackerone ina fomu ya kuingiliana kwa jukwaa la kuwezesha ukusanyaji wa habari hii muhimu na ambayo mali inapaswa kupimwa. Fomu ya kupiga alama hufanya iwe rahisi kushiriki salama maelezo na timu ya pentest ili waweze kufanya wakati mwingi kugawanywa. 4 kuwa na hesabu ya kisasa ya mali yako na wamiliki wa mali ambayo pentest inaweza kujumuisha kikoa cha kadi ya mwitu, anuwai ya IP, au hata mali zote zinazomilikiwa na kampuni. Tafuta mmiliki wa mali zote katika wigo. Kurekebisha udhaifu wowote muhimu haraka iwezekanavyo. Agiza na ushiriki habari ya mawasiliano ya shirika ili majaribio yaweze kuuliza maswali kama inahitajika. Hesabu ya Mali ya Hackerone hutoa eneo la kati kusimamia mali zako zote na upimaji wa usalama wa programu kwa kiwango. Jifunze zaidi juu ya suluhisho letu la usimamizi wa uso. 5. Kitanzi katika timu yako ya dev wakati wa kupanga ushiriki, onya timu yako ya maendeleo kwa ukweli kwamba unaendesha pentest. Katika hali nyingi, urekebishaji wa mazingira magumu utaanguka kwenye timu yako ya maendeleo, na hakuna mtu anayependa kazi zisizotarajiwa, za kipaumbele zinazoonekana kwenye mlango wao. Hackerone Pentest ina vifaa anuwai na zana za maisha ya maendeleo ya maisha (SDLC) kama vile JIRA, ServiceNow, GitHub, na GitLab ili kuboresha juhudi zako za kurekebisha. Ujumuishaji huu hukuruhusu kushinikiza ripoti za hatari kutoka kwa Hackerone kuwa zana za asili ambazo watengenezaji wako hutumia ili wasibadilishe kazi zao. Tazama orodha kamili ya ujumuishaji wa jukwaa la Hackerone. 6. Jitayarisha mazingira na orodha mara tu umezingatia vidokezo vyote hapo juu, hatua ya mwisho ni kuandaa mazingira ya upimaji ili kuanza vizuri zaidi na kwa wakati. Orodha ya haraka: Thibitisha mazingira yanapatikana. Kwa programu za rununu, hakikisha majaribio wanaelewa jinsi wanavyopata programu (je! Unatoa faili ya APK/IPA, ukitumia Google Play Console/TestFlight, nk). Ikiwa unahitaji kuongeza timu ya pentest kwenye orodha ya kuruhusu kwa milango yako au mifumo mingine, thibitisha mabadiliko hayo yanatumika na yanafanya kazi. Toa sifa zote zinazohitajika kwa majaribio na ujaribu sifa ili kuhakikisha kuwa zinafanya kazi. Tazama orodha ya kina zaidi na maswali 12 muhimu ya kuuliza kabla ya kuanza pentest. Baada ya pentest ikiwa umefuata hatua zilizo hapo juu kuandaa pentest yako vizuri, unapaswa kuwa na matokeo yenye athari kusaidia kuboresha mkao wako wa usalama. 7. Kujitolea na timu yako ya usalama kukagua ripoti za hatari na kuzitumia kama zana ya kuboresha juhudi zako za kurekebisha na kumaliza uwezo wako wa kugundua kwa mashambulio ya baadaye. Pentest ni fursa nzuri ya kuelewa udhaifu wa mali zako na jinsi utetezi wako, kugundua, na juhudi za majibu zilikuwa. Tafuta: Je! Arifa yoyote zilisababishwa? Je! Jibu la tukio lilianguka vizuri? Au uliachwa kabisa gizani? Pentests zote za Hackerone zinaweka kituo cha pamoja cha Slack kwako na timu yako ya pentest. Wasiliana kwa wakati halisi na timu yako ya pentest-uliza na ujibu maswali juu ya mtihani, pata sasisho wakati mtihani unavyoendelea, na mwishowe upate thamani zaidi kutoka kwa pentest yako. Njia moja ya kuchukua fursa hii ni kuwasiliana na wajaribu wakati wanafanya kazi ya pentest ili uweze kuona shughuli zao za upimaji zinaonekanaje kwenye magogo ya mtandao na trafiki yako. Hii itasaidia kudhibitisha kuwa unaweza kutambua na kugundua mashambulio kwa usahihi katika siku zijazo. 8. Tumia matokeo ya kugeuza zana zako za skanning kwa kweli, kampuni yako inatumia upimaji wa usalama wa matumizi ya tuli (SAST) na zana za Upimaji wa Usalama wa Maombi (DAST) kupata udhaifu unaojulikana katika awamu ya maendeleo ya maisha kabla ya kutolewa mpya. Kulingana na matokeo yako ya pentest na nini skana za SAST na DAST zilizokosa, unaweza kuhitaji kuongeza au kusasisha sheria katika zana hizi. Hii inatumika pia kwa zana ambazo zinachambua miundombinu yako kama nambari (IAC). Mara nyingi, pentest atapata udhaifu unaotokana na upotovu, na utataka kurekebisha sheria zako ili kukamata hizi ipasavyo. Mbele ya kugundua, pia utataka kukagua sheria katika zana yako ya Usimamizi wa Habari ya Usalama (SIEM) ili kuhakikisha kuwa Kituo chako cha Uendeshaji wa Usalama (SOC) kinaweza kubaini trafiki mbaya iliyokosa wakati wa pentest. 9. Wezesha watengenezaji wako Benjamin Franklin alisema, “Ounce ya kuzuia inafaa pound ya tiba.” Kuwezesha watengenezaji wako kuweka kanuni salama na epuka kuanzisha udhaifu ni njia bora zaidi kuliko kujaribu kupata maswala katika uzalishaji. Tumia matokeo ya hatari kama zana ya kujifunza kwa mafunzo salama ya kuweka alama. Hizi ni udhaifu wa ulimwengu wa kweli unaopatikana kwenye mali zako, sio hali za kiakili ambazo zinaweza kuwa hazifai kwa shirika lako. 10. Hakikisha udhaifu unarekebishwa vizuri mara tu watengenezaji wako watakaposafisha udhaifu huo na kupima kurekebisha ndani, pia inasaidia kupata uthibitisho wa nje unaothibitisha urekebishaji huo ulifanikiwa. Pentests zote za hackerone huruhusu timu hiyo hiyo ya pentest kurudisha udhaifu kwa hadi siku 60 ili kuhakikisha kuwa udhaifu hauwezekani tena. Kurudisha nyuma pia kunaweza kufanywa baada ya kipindi cha siku 60 kwa ada ya kawaida ya $ 50 kwa kila kitu. Hackerone: Mshirika anayeshikilia vidokezo hivi na hila zitakusaidia kupata thamani zaidi kutoka kwa shughuli za pentest za shirika lako. Jifunze zaidi juu ya faida za kufanya shughuli za pentest na Hackerone, au wasiliana na wataalam huko Hackerone leo. URL ya chapisho la asili: https://www.hackerone.com/blog/ten-practical-tips-high-value-pentest-engagements