web-dev-qa-db-ja.com

物理的なペンテストに巻き込まれたらどうしますか?

エンゲージメント中に引っ掛かる方法と引っ掛からない方法について多くの人が話しているのを見てきましたが、「レッドチームのエンゲージメント中に引っ掛かったときの振る舞い」を見つけるのに苦労しました。

レッドチームは敵を攻撃するシステムをシミュレートすることです。一部のコンピューターだけでは多くのアクションを実行できません(または少なくとも非常に困難です)。RedTeamsは現場に出て(合法的に)侵入しなければなりません。これまで見たのは、人を捕まえないことに成功している人たちです。しかし、捕まったときに何をすべきかについて誰かが話すのを見たことがありません。それは単に疑いがあるかもしれませんし、セキュリティによって追跡されているかもしれません(おそらく武装しています)。

エンゲージメント中にレッドチーマーが捕まった場合、彼/彼女は何をすべきですか?

  • 「私はセキュリティテスターです。あなたは私を捕まえたので、そのまま出発します」と言います。
  • 盗まれたデータを持っている犯罪者のように逃げる(これは面白そうですが危険です)実際の犯罪者の攻撃者のように
  • 雇用主に連絡してそれを報告し、「継続」パスを取得してください
  • 取り調べのために静かに来ます(これが最も安全だと思います)

更新:私は別の質問をしました ここ この質問で議論されていないサードパーティをカバーします。

penetration-testphysical
129
John Zhau

常にあなたとあなたのスリップを持っています!

これがRed Teamingの黄金律です!あなたがあなたと一緒に攻撃する許可を持っていない場合、それは運転免許証なしで運転するようなものです。とはいえ、エンゲージメント中に捕まった場合は、以下をお勧めします。

  1. aforgedPermission to Attack。このようにして、犯罪者が警備員をだまして許可するかどうかを確認できます攻撃するための偽の許可を持つ彼らのもの。
  2. real攻撃の許可を提示します。警備員が偽の伝票を購入していない場合は、実際に提出する時間ですスリップ。警備員があなたを信じているなら、それは周囲を拾って去る時です。本当の攻撃者はこの時点で阻止されていたでしょう。警備員があなたを信じなかった場合、親切に監督者と話をするように頼んでください。彼らがあなたを信じないで警察を呼ぶことに固執するなら、そうしてください。あなたは犯罪者ではないので、心配しないでください。

  3. 警察の指示に従ってください。彼らはあなたを連れて駅まで連れて行きます。そこで、あなたは赤いチームエンゲージメントの一員であり、あなたが侵入する許可を持っていることを警察に説明できます。会社。彼らはそれを再確認し、攻撃の許可に署名した人物としてリストされている人に電話をかけます。幸せな場合、彼らは電話を取って、あなたが本当にそうするために雇われていることを説明し、あなたは自由に行くことができます。

    それほど幸せではないケースでは、午前4時であり、携帯電話にバッテリーがないため、彼らは受け取りません。これが起こった場合、あなたはおそらく警察署で夜を過ごすでしょう。悪いことが起こった。朝にあなたの雇用主に電話してください、そうすれば彼らはあなたのために顧客の会社の連絡先に連絡します。

他のオプションはどうですか?

「私はセキュリティ研究者です。あなたは私を捕まえたので、そのまま出発します」と言って

あまり役に立ちません。あなたは警備員の目には犯罪者であり、犯罪の真っ只中に捕まっています。 「そのままにしておく」という選択肢はありません。

犯罪者のように逃げる。

非常に悪い考えです。おそらくあなたができる最悪の事態。警備員が警察に電話をかけると(おそらく彼らはそうするでしょう)、費用はかなり高くなる可能性があり、それがしない顧客が今持っていることを喜んで知るようになります不必要な男狩りのために警察に支払うことも。ただし、捕まった後に周囲から離れることが簡単な作業であるかどうかは、レポートに絶対に含める必要があります。

「Just continue pass」を取得するには雇用主に連絡してください。

これは、レッドチームエンゲージメントの要点を逃してしまいます。 「Just continue」パスを取得すると、実際の攻撃者がどのように行動するかをシミュレーションすることはできません。あなたは彼らの許可を得て会社のものを通過するだけです。

188
MechMK1

裏返しがあります。あなたがdiscoverをしている場合の対処法は、物理的な五輪生活です。私が銀行で働いていたとき、偶然にも象徴的なmetasploit cliウェルカムバナーがキューブファームの真ん中にあるデスクトップで一瞬点滅していることに気付きました。

物理的な侵入者は銀行での生活の一部であり、関与のルールは事前に非常に明確です。誰かがペンテスターに​​気づいた場合、両方の当事者のためのルールと手順があります。これは皆を安全に保ちます。

状況を想像してください。メタスプロイトが実行されている場合、攻撃者が事前に作成したスクリプトを実行するだけで、銀行にとって「ゲームオーバー」になる可能性があります。バナーが表示されている場合は、もう手遅れです。つまり、その人の指がそのキーボードから離れている必要があり、ネットワークコードを抜いたり、WiFiをできるだけ早くオフにしたりする必要があります。すぐに。それは大まかな物理的相互作用を意味します。セキュリティが到着するのを待っていません。そして、それは安全上の問題です。

この場合、ペンテスターはそのように露出することでめちゃくちゃになり、婚約は時期尚早に終了したはずですが、プロトコルに従うことで、婚約は定義された範囲内で継続され、全員が安全でした。テストは侵入することではなく、悪意のある内部関係者をシミュレートすることでした。

50
schroeder