Det var gledelig å se så mange deltakere på ukens SOCO Frokostseminar om sikkerhetstesting. Før pause fikk de fremmøtte høre Anders Lunde fra Defendable fortelle om hvordan de jobber som pentestere og red teamere. Etter pausen fortalte Audun Urke fra SOCO litt om hva programvaretestere kan lære av alle som angriper systemene våre.
Penetrasjonstest
Anders ga en fin innføring i både penetrasjonstesting og Red Team øvelser. Mens hovedfokus i penetrasjonstesting er å avdekke mulige sårbarheter som kan utnyttes i systemene dine, simulerer Red Team mer realistiske angrep.
Når en penetrasjonstester skal vurdere om dine applikasjoner eller infrastruktur kan være sårbare, så kan de ta utgangspunkt i kjente rammeverk som OWASP og MITRE ATT&CK. Disse rammeverkene beskriver det som er de vanligste sårbarhetene og hvilke metoder kjente hackergrupper benytter seg av. Fokuset er med andre ord å luke ut de mer tekniske årsakene til sårbarheter, som da i neste omgang må rettes av utviklingsteam. Her poengterte Anders at hele utviklingsteamet må ha fokus på sikkerhet, og at alle må bidra til at det ikke innføres nye sårbarheter til koden eller infrastrukturen. Siden utviklingen pågår hele tiden, blir også sikkerhetsarbeidet kontinuerlig. Periodevise pentetrasjonstester kan kun gi, om enn veldig nyttige, øyeblikksbilder. Det er viktig at teamene prioriterer å lukke avvik som finnes.
Red Team
Anders viste også hvordan et Red Team angrep kan foregå. Her er fokuset mer å teste hele organisasjonens evne til å oppdage og håndtere trusler. Fokuset er dermed ikke kun på teknologi og eventuelle mottiltak en organisasjon har mot angrep, men også mer generelt hvordan sikkerhet ivaretas. I eksemplet Anders trakk fram fikk de først tak i en gyldig brukerkontor med passord til en skyløsning, unnslapp 2FA (tofaktorautentisering) ved å lure brukeren til å godkjenne angripernes enhet. Fra en OneDrive-mappe i skyen kunne de legge en felle for brukerne, som i neste steg ga dem tilgang til en klientmaskin. Uten å gå i detalj på hele flyten, så klarte de gradvis å få tak i stadig flere bruker- og tjenestekontoer til stadig flere sikkerhetsnivåer og servere. Til slutt satt de igjen med full tilgang til hele domenet, og kunne endre skrivebordsbakgrunner som bevis på at de nå hadde disse rettighetene. Ingen tvil om at slike øvelser gir mye god lærdom i en organisasjon!
Lenke til Anders sin presentasjon «Penetrasjonstesting» (PDF).
Nye hacks i test
Etter pausen fremhevet Audun ulike måter en programvaretester kan lære av en penetrasjonstester, Red Teamer eller en hacker. Ved å la oss inspirere av deres metoder, kan du kanskje få nye tanker til hvordan vi bedre kan håndtere risiko.
Basert på egne erfaringer trakk han frem fire områder: perpektiv, utforskning, vilje/motivasjon og fleksibilitet.
Perspektiv
Når det gjelder perspektiv poengterte Audun at angriperne starter med produksjonsmiljøet vårt og ser helheten i systemene våre. Basert på en black box tilnærmelse starter de å kartlegge systemet og brukere for å finne sårbarheter. Mens vi testere gjerne fokuserer på releasens (og eventuelle andre formelle) krav og behov i et testmiljø, så vil angriperne stå mye friere i sin søken etter den ene, alvorlige sårbarheten de vil utnytte.
Utforskning
Som testere kjenner vi kanskje til utforskende testing, og her viste Audun hvordan de kjente «test charter»-lappene fort blir utilstrekkelige skulle en angriper benyttet denne fremgangsmåten slik den ofte beskrives. En angriper ville her benyttet langt flere angrepsvektorer og ikke minst variert måten å angripe dem på. Mange sikkerhetsforskere deler sine tankekart over måter å samle inn informasjon på, teste for sårbarheter og også utnytte dem.
Motivasjon og fleksibilitet
Når det kommer til vilje og motivasjon, så kan det hende vi programvaretestere tidvis må tvinge oss selv til å si at «i dag SKAL jeg finne den alvorlige feilen», fremfor å slå oss til ro med at vi ikke fant noe med de testene vi opprinnelig hadde tenkt oss?
Til slutt kan vi også misunne angriperne den fleksibiliteten de nyter. Vi testere begrenses ofte av at vi kun kan benytte visse verktøy i visse testmiljøer, og da kun med syntetiske testdata. Det blir da ingen lett jobb å kunne teste for risiko når angriperne tester mot samme risiko med kraftige angrepsverktøy, spesialsydde scripts og har all den tid de ønsker for å oppnå målet sitt.
Takk til Anders og Audun, og ikke minst til alle fremmøtte som bidro til et vellykket frokostseminar!
Lenke til Anders sin presentasjon «Bak kulissene på sikkerhetstesting – hvordan Defendable jakter sårbarheter» (PDF)
Lenk til Audun sin presentasjon «Nye hacks i test» (PDF).
