Uw pentestrapport ziet er schoon uit. Dat kan het probleem zijn.
Voer geautomatiseerd pentesten lang genoeg uit, en de nieuwe bevindingen beginnen op te drogen. Bij de derde of vierde run verschijnen er minder problemen. Het rapport ziet er stabiel uit. Leiderschap interpreteert ‘stabiel’ als ‘veilig’. Meestal niet. Het werk vertraagt. Het risico niet.
Die kloof wil een webinar van The Hacker News met Picus Security dichten.
Autumn Stambaugh en Can Yüceel laten samen met presentator James Azar zien wat uw tool valideert, waar het stopt en hoe u kunt sluiten wat het openlaat. Meld u aan voor het webinar.
Begin met het kernprobleem. Een plat rapport kan betekenen dat de voor de hand liggende gaten zijn verholpen. Het kan ook betekenen dat het gereedschap de rand heeft bereikt van wat het kan zien. Geautomatiseerde pentesting wordt vaak gezien als volledige beveiligingsvalidatie. Dat is het niet.
Picus frameert de validatie als zes oppervlakken en voert geautomatiseerde pentesting uit op één ervan, het aanvalspad: of een aanvaller zich door een omgeving kan bewegen. Dat laat de andere vijf onbewezen, inclusief detectieregels, cloudconfiguraties, identiteitscontroles en AI-vangrails. Afstemming kan de scan verscherpen, maar kan een aanvalspadtest niet omzetten in detectie of cloudvalidatie.
Dit is het onderdeel dat de meeste teams missen. Wanneer de tool een techniek exploiteert, kan deze u niet vertellen of uw SIEM-regel is geactiveerd of dat uw EDR een waarschuwing heeft gegenereerd. Het kan bewijzen dat credential dumping of laterale verplaatsing mogelijk is.
Dat vertelt je nog steeds niet of de EDR het heeft geblokkeerd, de SIEM het heeft geregistreerd of dat het SOC voldoende signaal had om in actie te komen. Het bewijst dat er een pad bestaat. Het zegt niets over de vraag of je een aanvaller zou hebben betrapt als hij er gebruik van maakte.
Dat is het risico: een bereikbaar pad verwarren met een verdedigd pad. Bewaar uw stoel voor de sessie.
BAS en Automated Pentesting beantwoorden verschillende vragen
Inbreuk- en aanvalssimulatie vraagt of een besturingselement reageert op bekend gedrag: geblokkeerd, gedetecteerd, geregistreerd of gemist. Geautomatiseerde pentesting vraagt hoe ver een aanvaller via een exploiteerbaar pad kan komen. Verwissel de één voor de ander en de kloof verdwijnt uit het rapport, niet uit de omgeving.
Het praktische probleem is het stellen van prioriteiten. Als een tool bewijst dat er een pad bestaat, maar uw besturingselementen dit al blokkeren of detecteren, heeft die bevinding mogelijk niet de urgentie van een pad dat in stilte werkt. Zonder controlevalidatie rangschikken teams de risico’s waarbij de helft van het bewijsmateriaal ontbreekt. Dat is waar de sessie zich op richt: het omzetten van een stapel bevindingen in een gerangschikte wachtrij op basis van de vraag of controles het gedrag daadwerkelijk hebben opgemerkt.
Als geautomatiseerde pentesting als het gehele validatieprogramma wordt beschouwd, is dit het hiaat dat eerst moet worden gecontroleerd. Meld u aan voor het webinar.
