image

Microsoft vraagt om meer gedetailleerde pentestrapporten

dinsdag 13 november 2018, 11:16 door Redactie, 8 reacties

Microsoft ontvangt dagelijks pentestrapporten van onderzoekers, klanten en industriepartners waarin staat vermeld dat een bepaald product kwetsbaar voor aanvallen is, maar in veel gevallen ontbreken specifieke details waardoor onduidelijk is of het om een nieuw beveiligingslek gaat, zo meldt de softwaregigant.

Pentesters controleren op verzoek van organisaties en bedrijven de veiligheid van hun systemen en netwerken. Via de rapporten van pentesters kunnen eventueel gevonden problemen worden verholpen. Het is echter belangrijk om deze pentestrapporten in de context van de klant zijn omgeving te zien, zo stelt Christa Anderson van het Microsoft Security Center.

Veel rapporten die Microsoft ontvangt claimen dat een product kwetsbaar voor een aanval is, maar bevatten geen specifieke details over de aanvalsvector of een demonstratie van hoe de kwetsbaarheid kan worden misbruikt. Vaak zijn er daarnaast beschermingsmaatregelen beschikbaar waarmee het gevonden beveiligingsrisico kan worden vermeden, aldus Microsoft. Het gaat dan bijvoorbeeld om maatregelen waarmee bruteforce-aanvallen zijn te voorkomen.

Voordat klanten of onderzoekers een pentestrapport buiten de eigen omgeving delen is het daarom belangrijk om eerst naar de omgeving, gebruikte configuraties en beschikbare beveiligingsmaatregelen te kijken. Als dan alsnog blijkt dat het om een nieuwe kwetsbaarheid gaat waarvoor geen bescherming is vraagt Microsoft om het rapport en de proof-of-concept exploit op te sturen.

Reacties (8)
13-11-2018, 11:34 door Anoniem
Als iedereen zich pentester kan noemen zitten er natuurlijk rotte appels tussen en personen zonder kennis. Zonder poc is een bewering waardeloos omdat het niet snel en makkelijk te reproduceren is. Dat zou toch een minimum vereiste moeten zijn.
13-11-2018, 11:41 door Anoniem
laten we ook niet vergeten dat veel zelf benoemde "pentesters" nog geen fatsoenlijk rapport kunnen maken of ze leveren een lijstje uit een vulnerabilityscanner zonder enige duiding.
13-11-2018, 12:23 door Anoniem
Voordat klanten of onderzoekers een pentestrapport buiten de eigen omgeving delen

Pentest rapporten buiten de eigen omgeving delen ? Met wie, wat bedoelt men hier ? Enige met wie je een pentest rapport deelt, is de klant voor wie het bedoeld is.

laten we ook niet vergeten dat veel zelf benoemde "pentesters" nog geen fatsoenlijk rapport kunnen maken of ze leveren een lijstje uit een vulnerabilityscanner zonder enige duiding.

Velen worden benoemd door hun detacheerder als pentester. En durven niet aan te geven dat ze dat helemaal niet zijn. Dus gaan ze als tool tubby naar een klant, voor een ''pentest''. Vaak omdat ze op de bank zitten, zonder opdracht.
13-11-2018, 12:43 door Anoniem
@12.23 Waarschijnlijk deelt de klant het met MS. Onder het mom van "ik koop jullie dure software, waarom zit dit lek er in?".
13-11-2018, 21:09 door karma4
Door Anoniem: @12.23 Waarschijnlijk deelt de klant het met MS. Onder het mom van "ik koop jullie dure software, waarom zit dit lek er in?".
Als je zelf je eigen beheer niet op orde hebt moet je niet naar anderen wijzen maar eerst daaraan beginnen met verbeteren.
14-11-2018, 08:01 door Anoniem
Dit is niet alleen bij Microsoft zo, Pentest rapporten van grote partijen zoals de Big 5, missen vaak essentiële informatie. Meestal gaat het om wat ze geraakt hebben, maar niet hoe ze er zijn gekomen. Dat maakt het vaak ook lastig om dit soort zaken aan te pakken, en krijg je een symptomatische aanpak.
14-11-2018, 08:38 door -karma4 - Bijgewerkt: 14-11-2018, 08:39
Door karma4:
Door Anoniem: @12.23 Waarschijnlijk deelt de klant het met MS. Onder het mom van "ik koop jullie dure software, waarom zit dit lek er in?".
Als je zelf je eigen beheer niet op orde hebt moet je niet naar anderen wijzen maar eerst daaraan beginnen met verbeteren.

Als je commerciële software maakt dan moet je het testen niet aan klanten overlaten. Zeker niet als je problemen hebt om de kwaliteit te waarborgen, waarvan je klanten de dupe zijn.
17-11-2018, 11:37 door Anoniem
Door Team FOSS:
Door karma4:
Door Anoniem: @12.23 Waarschijnlijk deelt de klant het met MS. Onder het mom van "ik koop jullie dure software, waarom zit dit lek er in?".
Als je zelf je eigen beheer niet op orde hebt moet je niet naar anderen wijzen maar eerst daaraan beginnen met verbeteren.

Als je commerciële software maakt dan moet je het testen niet aan klanten overlaten. Zeker niet als je problemen hebt om de kwaliteit te waarborgen, waarvan je klanten de dupe zijn.
Zoals bij alle software, software bevat fouten. Maar als je die wilt melden, moet je wel de juiste informatie aanleveren om de leverancier het probleem te reproduceren. Alleen zeggen dat er een fout in zit, gaat het issue niet oplossen.

Maar als er een bugje in zit, moet het oplost worden. Maar je moet je huidige infrastructuur natuurlijk wel in orde hebben, dat mitigeert het risico vaak al enorm of lost het directe risico al op.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.