Security Professionals - ipfw add deny all from eindgebruikers to any

OWASP Threat Agent Factors

02-07-2019, 21:29 door SecuJohn, 13 reacties
Ik ben aan de slag gegaan met het lezen en verwerken van informatie over OWASP.

Hierbij vraag ik mij af of iemand mij kan uitleggen welke applicaties er zijn en hoe dit praktisch toegepast kan worden voor pentesters.


Hier is de info van de originele documentatie/site:



The first set of factors are related to the threat agent involved. The goal here is to estimate the likelihood of a successful attack by this group of threat agents. Use the worst-case threat agent.

Skill level
How technically skilled is this group of threat agents? No technical skills (1), some technical skills (3), advanced computer user (5), network and programming skills (6), security penetration skills (9),

Motive
How motivated is this group of threat agents to find and exploit this vulnerability? Low or no reward (1), possible reward (4), high reward (9)

Opportunity
What resources and opportunities are required for this group of threat agents to find and exploit this vulnerability? Full access or expensive resources required (0), special access or resources required (4), some access or resources required (7), no access or resources required (9)

Size
How large is this group of threat agents? Developers (2), system administrators (2), intranet users (4), partners (5), authenticated users (6), anonymous Internet users (9)



De vraag is of zulke systemen niet overmatig bureaucratisch zijn voor een pentester of is dit simpel gezegd gewoon een industrie standaard net zoals CVSS (Common Vulnerability Scoring System SIG)?
Reacties (13)
02-07-2019, 23:12 door Anoniem
Hier begon laatst een security analist over die bij ons zou auditen. Ik snapte er niks van. Werk zelf deeltijd in de IT bij een firma dat zich bezig houdt met het incasseren van facturen. Zeg maar een incassobureau. Er is blijkbaar verschil tussen pentesters onderling want die erna kwam ging meteen aan de slag en gaf praktisch goede adviezen. Zo is bijna een serieus groot datalek voorkomen...

Ron
03-07-2019, 01:32 door Anoniem
Ja ik zou me hier toch eens wat meer in moeten verdiepen in deze kost maar verdient het nog wat tegenwoordig dat pentesten? Willen bedrijven eerst een hele reeks certificaten zien? Zo ja welke?
03-07-2019, 12:13 door Anoniem
Voor zover mij bekend komt deze info uit de OWASP Risk Rate Methodology. Een risico beoordeling waarmee op basis van de gevonden kwetsbaarheden de waarschijnlijkheid en impact (= risico) kan worden bepaald.

Wel eens gezien binnen een project en geeft naar mijn idee op een eenvoudige manier een redelijk goed beeld van het risico.

Voor wat betreft je vraag over praktische toepassing. Hoe ik het zie vindt je bij je pentest een aantal kwetsbaarheden en wil je deze sorteren op volgorde van het hoogste risico. Per gevonden kwetsbaarheid beantwoord je de vragen waardoor er een risico score wordt gevormd.

Ik was zelf niet bekend met CVSS (bedankt daarvoor trouwens), maar van wat ik er over lees hebben beide inderdaad hetzelfde doel: Risico in kaart brengen zodat de prioriteit kan worden bepaald.

OWASP en NIST stellen beide dat een risico beoordeling uiteindelijk gebruikt moet worden voor het bepalen van de prioriteit. Daarvoor zou je beide methodes dus kunnen gebruiken.

OWASP: “As a general rule, the most severe risks should be fixed first. It simply doesn't help the overall risk profile to fix less important risks, even if they’re easy or cheap to fix.” 

NIST: “Risk assessments are a key part of effective risk management and facilitate decision making.”
03-07-2019, 12:34 door Anoniem
De threat agents (of de meer voorkomende term: treat actors) kunnen per markt verschillen.

Over het algemeen zijn de bovenstaande vragen een vertrekpunt. Een inventarisatie van de threat actors en hoe groot de kans is dat juist deze organisatie een doelwit kan zijn.

Uiteraard zijn er altijd rode lijnen te zien in dit soort evaluaties: Advanced Persistent Threats (APT's), Hacktivists, Script kiddies

Maar voor een middelbare school bijvoorbeeld is een een groep script kiddies wel een persistent threat maar niet technisch advanced. Toch is hun risico groot.

Voor een utilities sector is dit een heel ander verhaal. daar zijn script kiddies een minste zorg. Hacktivists die het niet eens zijn met het groene stroom beleid of overheden die APT's inzetten om de stroomvoorziening om zeep te helpen bij een ander land (Iran, Stuxnet virus, 2010)

Het klinkt als bureaucratie maar het dient wel een duidelijk doel:

“If you know the enemy and know yourself, you need not fear the result of a hundred battles. If you know yourself but not the enemy, for every victory gained you will also suffer a defeat. If you know neither the enemy nor yourself, you will succumb in every battle.”

? Sun Tzu, The Art of War
03-07-2019, 13:20 door Anoniem
Rekensommen vormen geen vervanging voor gezond verstand en daadwerkelijk kennis en ervaring van aanvallers en aanvallen. De werkelijkheid is veel complexer dan dergelijk overmatige simpele modellen.
03-07-2019, 18:00 door Anoniem
Door Anoniem: Rekensommen vormen geen vervanging voor gezond verstand en daadwerkelijk kennis en ervaring van aanvallers en aanvallen. De werkelijkheid is veel complexer dan dergelijk overmatige simpele modellen.

Ja, dus het is een soort standaard referentie model wat ook goed klinkt bij bedrijven en in mangement processen gebruikt kan worden. Jij kunt het bedrijf dan magische termen uitleggen als APTs en OWASP and Threat Actors, dingen die oppervlakkig te begrijpen zijn en ze niet lastig vallen met tech details zoals attack vectors en de werking van exploits. Als ik het goed begrijp is het een soort '3gl' taaltje om het pentesten heen om het verkoopbaar en vooral uitlegbaar te maken.

Ik ben al heel lang uit deze wereld (20 jaar) en al die termen als APT zeggen mij niets. Ik wil me er wel in verdiepen of er iets mee gaan doen (als ik me ergens op focus dan komt het meestal goed...) maar sta zelf geregistreerd bij enkele grote players (globalistisch ook) in allerhande rekenmodellen... vermoedelijk als scriptkiddie dus ze hebben mij hopelijk teruggeschaald maar ik vertrouw ze voor geen meter... Dus ook mensen worden beoordeeld, een beetje zoals in die andere thread hier gisteren https://www.security.nl/posting/615086/Threat+Matrix+Score+-+Wat+is+jouw+Google+score%3F
04-07-2019, 10:31 door Anoniem
Door Anoniem: Hier begon laatst een security analist over die bij ons zou auditen. Ik snapte er niks van. Werk zelf deeltijd in de IT bij een firma dat zich bezig houdt met het incasseren van facturen. Zeg maar een incassobureau. Er is blijkbaar verschil tussen pentesters onderling want die erna kwam ging meteen aan de slag en gaf praktisch goede adviezen. Zo is bijna een serieus groot datalek voorkomen...

Ron

"Zo is bijna een serieus groot datalek voorkomen..."

Bijna voorkomen. Het grote datalek heeft dus daadwerkelijk plaatsgevonden. Ik heb er niets over gelezen. Kun je wat meer informatie geven over dit lek?
05-07-2019, 10:39 door Anoniem
Bijna voorkomen. Het grote datalek heeft dus daadwerkelijk plaatsgevonden. Ik heb er niets over gelezen. Kun je wat meer informatie geven over dit lek?

Kan je even je geheimhoudingsplicht van je werk schenden ?
05-07-2019, 11:55 door Anoniem
Door Anoniem: Voor zover mij bekend komt deze info uit de OWASP Risk Rate Methodology. Een risico beoordeling waarmee op basis van de gevonden kwetsbaarheden de waarschijnlijkheid en impact (= risico) kan worden bepaald.

Wel eens gezien binnen een project en geeft naar mijn idee op een eenvoudige manier een redelijk goed beeld van het risico.

Voor wat betreft je vraag over praktische toepassing. Hoe ik het zie vindt je bij je pentest een aantal kwetsbaarheden en wil je deze sorteren op volgorde van het hoogste risico. Per gevonden kwetsbaarheid beantwoord je de vragen waardoor er een risico score wordt gevormd.

Ik was zelf niet bekend met CVSS (bedankt daarvoor trouwens), maar van wat ik er over lees hebben beide inderdaad hetzelfde doel: Risico in kaart brengen zodat de prioriteit kan worden bepaald.

OWASP en NIST stellen beide dat een risico beoordeling uiteindelijk gebruikt moet worden voor het bepalen van de prioriteit. Daarvoor zou je beide methodes dus kunnen gebruiken.

OWASP: “As a general rule, the most severe risks should be fixed first. It simply doesn't help the overall risk profile to fix less important risks, even if they’re easy or cheap to fix.” 

NIST: “Risk assessments are a key part of effective risk management and facilitate decision making.”

Raadt u de NIST aan boven de andere 2 opties? Ik wil misschien nog eens een keer een rapportje schrijven zonder me eerst dagen of weken in alle indexeringssystemen te verdiepen vandaar dat ik het iemand met ervaring vraag. Zeg maar ZZP met een enkele pentest en een ratingsindex met referentie aan een industriestandaard.
06-07-2019, 13:25 door Anoniem
Door Anoniem:
Door Anoniem: Voor zover mij bekend komt deze info uit de OWASP Risk Rate Methodology. Een risico beoordeling waarmee op basis van de gevonden kwetsbaarheden de waarschijnlijkheid en impact (= risico) kan worden bepaald.

Wel eens gezien binnen een project en geeft naar mijn idee op een eenvoudige manier een redelijk goed beeld van het risico.

Voor wat betreft je vraag over praktische toepassing. Hoe ik het zie vindt je bij je pentest een aantal kwetsbaarheden en wil je deze sorteren op volgorde van het hoogste risico. Per gevonden kwetsbaarheid beantwoord je de vragen waardoor er een risico score wordt gevormd.

Ik was zelf niet bekend met CVSS (bedankt daarvoor trouwens), maar van wat ik er over lees hebben beide inderdaad hetzelfde doel: Risico in kaart brengen zodat de prioriteit kan worden bepaald.

OWASP en NIST stellen beide dat een risico beoordeling uiteindelijk gebruikt moet worden voor het bepalen van de prioriteit. Daarvoor zou je beide methodes dus kunnen gebruiken.

OWASP: “As a general rule, the most severe risks should be fixed first. It simply doesn't help the overall risk profile to fix less important risks, even if they’re easy or cheap to fix.” 

NIST: “Risk assessments are a key part of effective risk management and facilitate decision making.”

Raadt u de NIST aan boven de andere 2 opties? Ik wil misschien nog eens een keer een rapportje schrijven zonder me eerst dagen of weken in alle indexeringssystemen te verdiepen vandaar dat ik het iemand met ervaring vraag. Zeg maar ZZP met een enkele pentest en een ratingsindex met referentie aan een industriestandaard.

Helaas te weinig ervaring mee om je daar echt op te kunnen adviseren. Maar wat je evt. zou kunnen doen is een kwetsbaarheid bedenken en de verschillende risicobeoordelingen daar op uitvoeren. Je merkt dan zelf wat je prettig vindt werken en welke methode je het best begrijpt. Op basis daarvan een keuze maken. Voor mij was dat de OWASP Risk Rate Methodology omdat de documentatie kort en bondig is maar voldoende informatie geeft om duidelijk te krijgen hoe het risico wordt bepaald.

Uiteindelijk zullen alle methoden je waarschijnlijk een redelijke indicatie geven van het risico dus ik denk niet dat je daar een fout in kunt maken. Wanneer je dan wat meer ervaring hebt opgedaan zal je de daadwerkelijke verschillen waarschijnlijk gaan inzien.
06-07-2019, 13:51 door Anoniem
Effectief maakt het niet veel uit, NIST is uitgebreider. OWASP houdt zich met de top 10 grootste bedreigingen bezig. Je kunt ook eens kijken naar https://www.sans.org/top25-software-errors.

Beperk je tot 1 platform.
06-07-2019, 16:17 door Anoniem
Door Anoniem:
Bijna voorkomen. Het grote datalek heeft dus daadwerkelijk plaatsgevonden. Ik heb er niets over gelezen. Kun je wat meer informatie geven over dit lek?

Kan je even je geheimhoudingsplicht van je werk schenden ?

Ik werk niet meer en het was voor een appel en ei en ze hebben me in de rug gestoken. Dus die WIV uit 2002 geldt niet zeker niet als het komt met intimidaties en dreigementen (niet hier maar dan weet je wat er speelt). Ik claim alle verzamelde data bij deze terug onder mijn eigen copyright. Alles is bij deze "gederubriceerd."

Want als je ***5050 belt dan reageren ze nogal geirriteerd. Zeker de zonnige dagen. Misschien zijn er nog betere partijen en markten in Nederland? Niet de stalkerige robotmensen aub.
06-07-2019, 16:18 door Anoniem
Door Anoniem:
Bijna voorkomen. Het grote datalek heeft dus daadwerkelijk plaatsgevonden. Ik heb er niets over gelezen. Kun je wat meer informatie geven over dit lek?

Kan je even je geheimhoudingsplicht van je werk schenden ?

Nooit wat getekend trouwens.

Maar waarom geheimen schenden als ik er verder geen baat bij heb dan iets "bewijzen" in een online discussie?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.