Tema: Penetrationstests
Cheat Sheet Penetrationstest
- Beslut dig for hvad du ønsker at simulere, baseret på dit trusselsbillede (ransomware, APT, etc.)
- Timebox din penetrationstest ud fra dit trusselsbillede
- Overvej at springe nogle led over for at maksimere værdien af din penetrationstest
- Stil krav til din leverandør så du får bedre indsigt i hvad der er testet, og hvad der ikke er testet
- Bed din leverandør om at levere en timeline over deres aktivitet (recon, exploitation, etc.)
- Brug den timeline til at lede efter spor i logs, servere osv.
- Sørg for at du også arbejder med årsagen til dine sårbarheder (f.eks. at alle servere får en ensartet TLS opsætning)
Pentest standard:
https://www.crest-approved.org/
Reddit Hack:
Er 2 faktor via SMS godt nok?
https://www.wired.com/story/reddit-hacked-thanks-to-woefully-insecure-two-factor-setup/
Maersk – NotPetya:
Historien om Maersk og NotPetya – Bonusmål
https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/
Defcon Kids Hack Voting Machines:
Fokuserer vi på det rigtige?
https://www.theregister.co.uk/2018/08/02/defcon_election_hacking/
130 millioner hotelgæsters persondata sat til salg:
https://www.cert.dk/da/news/2018-08-31/kina
Denne episodes Gin & Tonic:
Gin: Scapegrace Dry Gin
Tonic: Fentimans Tonic Water
