
<div dir="ltr"><a href="http://www.csoonline.com/article/3089325/application-security/a-pen-test-a-day-keeps-hackers-away.html">http://www.csoonline.com/article/3089325/application-security/a-pen-test-a-day-keeps-hackers-away.html</a><br><p>Besides the fact that there is no other way to really test your 

network, The PCI Security Standards Council finally released version 3. 2

 and it now states, “To ensure resilience, service providers are now 

required to perform penetration testing on segmentation controls at 

least every six months," according to a new sub-requirement 11.3.4.1. 

The PCI SSC also added a testing procedure 11.3.4 to ensure that 

penetration testing is performed by a qualified internal or external 

third party.</p><p>So the once a year PEN test is gone and rightly so, 

some PEN testers like ShoreBreak Security offer continuous PEN testing. 

Shore Break CEO Mark Wolfgang says "PEN testing once a year is like 

mowing your lawn once a year, it does not keep up with reality."</p><p>Wolfgang says he developed their continuous penetration testing service <em>Lifeguard </em>to provide his customers with a continuous risk snapshot, rather than a once-a-year view of risk.</p> <p>I

 asked him his definition of a Pen test to which he answered……..A 

penetration test is a security test where a specific threat actors and 

threat actions are emulated to determine the risk to specific assets<strong>, </strong>and the resultant impact to the organization.</p><p>We like to rephrase VERIS’, “<em>who did what to what (or whom) with what result?</em>”, to <em>who </em><em>could do</em><em> what to what (or whom) with what result?. </em></p><p>A good <a href="http://www.csoonline.com/article/2125972/network-security/vulnerability-management-basics--pen-testing-techniques.html" target="new">penetration test</a> emulates a variety of threat actors and threat actions, targeting specific assets, and answers questions like:</p><ul><li>How secure is my network/application/data from…

<ul><li>my partners that have internal network connectivity?</li><li>my remote employees?</li><li>my employees?</li><li>my system and network administrators?</li><li>physical intruders?</li><li>my users or customers?</li></ul>

</li></ul><p>Risk can be evaluated at multiple layers, but here are the most common layers we evaluate.</p> <ul><li>Risk to assets – what is the risk posed to my assets?</li><li>Risk to data – what is the risk posed to my data?</li><li>Risk to organization or business – what is the risk posed to my business or organization?</li></ul><p>A good penetration test team will seek to understand the 

organization or business drivers so they can properly determine and 

convey business risk.</p><p>The result of a penetration test is an 

enlightenment of sorts. The client will know the risk posed to their 

assets, data, and business at the time of testing.</p><p>They will know 

how their networks, computers, and applications withstand and detect 

real-world attacks. It does not necessarily feel good for those on the 

receiving end, but it shines a necessary light on organizational 

weaknesses and results in improved security.</p><p>Let’s use the PCI DSS

 model to explain a few important things about pen testing. Even if you 

are not required to be PCI DSS compliant; it’s a great data security 

standard to base your pen testing on as long as you are not in the US 

DoD or other environment that has mandated other specific frameworks for

 your organization.</p><p>PCI

 DSS is a well-documented data security standard to help secure the 

retail credit card environment, the losses from credit card theft and 

breaches have been huge. Just think about the <a href="http://www.csoonline.com/article/2601021/security0/11-steps-attackers-took-to-crack-target.html" target="new">Target</a>, <a href="http://www.csoonline.com/article/2686192/data-protection/home-depot-confirms-breach-impacted-56-million-customers.html" target="new">Home Depot</a>, <a href="http://www.csoonline.com/article/2954615/cyber-attacks-espionage/neiman-marcus-case-a-reminder-to-check-your-cyber-coverage.html" target="new">Neiman Marcus</a> data breaches to begin to see the scope of losses. PCI DSS understands the importance of a pen test and therefore mandates it.</p><p>You

 might say if it’s a good standard then why all the losses? First No 

Compliance framework will prevent all breaches, it’s the foundation for 

security, it won’t replace dynamic, intelligent and proactive security. 

Second according to the Verizon PCI DSS report in 2015, 80 percent of 

companies required to be PCI DSS compliant fail their interim 

assessment. Verizon further states: Of all the companies investigated by

 our forensics team over the last 10 years following a breach, not one 

was found to have been fully PCI DSS compliant at the time of the 

breach.</p><p>PCI DSS is well documented and could apply to a non card 

holder environment, just replace card holder environment with your 

company’s most confidential data. If your company is required to be 

FISMA, or HIPAA compliant you use that framework, but to do some short 

and sweet risk analysis you could start with PCI DSS as an initial 

assessment. A PCI DSS rule for all to live by is:</p><p><strong>Three simple rules about confidential data:</strong></p><ul><li>If you don’t need it, don’t store it.</li><li>If you really need it, protect it when stored.</li><li>If you do store it, securely delete it when you’re done with it.</li></ul><p>The following are the basics of PCI DSS and good data security framework.</p><h3><span style="line-height:1.75em">Penetration Test vs a Vulnerability Scan</span></h3><p>There

 is a huge difference in running a vulnerability scanner and actually 

having the hacking skills to pen test and break applications and 

networks, all without disrupting the business or its operations.</p><p>We

 see too many clients that either don’t pen test due to cost or they 

think internal or external scanning alone is the same. As mentioned 

above pen testing requires lots of skill and experience and each network

 and application is different. Let’s now look more closely at a pen 

test. Pen testing is organization and system specific. Ask yourself what

 is my company trying to protect? How is it all connected? How could a 

potential cyber-criminal get to our data? A good pen tester can answer 

these questions better than anyone else in the world. Some areas a pen 

tester looks at are:</p><ul><li>web application penetration testing</li><li>network penetration testing</li><li>application penetration testing</li><li>hardware penetration testing</li><li>modem “war dial” penetration testing</li><li>social engineering</li><li>physical penetration testing</li></ul><p>What are the core competencies of a professional pen tester?</p><p>My colleague and CEO of Shore Break security states it like this:</p><p><strong>Expertise in at least one operating system</strong></p><p>A

 pen tester must be knowledgeable in as many operating systems as 

possible, but must be an expert in at least one. What good would it be 

for the tester to compromise a Solaris server and not know what to do 

with it? Or if he doesn’t understand where the passwords are located, 

how services are managed, where the log files are, etc. Expertise in one

 operating system will provide a solid foundation for others.</p><p>A competent penetration tester is the master of at least one operating system but can find his way around all of them.</p><p><strong>Expertise in networking and protocols</strong></p><p>It

 seems obvious that a pen tester must be experts in networking and 

protocols, as those are the mediums on which he conducts his attacks.</p><p>A

 competent penetration tester should know the service that operates on 

pretty much any port, on every protocol. They should be intimately 

familiar with all layers of the stack. They should be equally 

comfortable analyzing layer 2 and layer 7 traffic, and everything in 

between.</p><p>They should have a solid understanding of Intrusion Detection/Prevention Systems, routing, and firewalls.</p><p>A competent penetration tester is an expert in networking and protocols.</p><p><strong>Expertise in information security</strong></p><p>Operating

 systems and networking are the foundational elements for information 

security. Without this solid foundation, a penetration tester could not 

be competent.</p><p>A pen tester must be an expert in Information 

Security. Not from an attacker’s perspective, but from a defender’s 

perspective. After all, how could a pen tester make a recommendation if 

he can’t relate to the defender’s job? From specific technologies to 

best practices, a proficient pen tester must be a master of his field.</p><p><strong>Expertise in information security testing tools</strong></p><p>Perhaps

 the easiest skill to develop these days is competency in penetration 

testing tools. Long ago, before exploit frameworks and GUI tools for <em>everything</em>,

 one had to know how to find reliable, trustworthy exploit code. Then 

read it, compile it, test it, and run it from the command line.</p><p>Not so, any more. Just about anyone can download and run <a href="http://www.kali.org/">Kali linux</a>, <a href="http://www.metasploit.com/" target="new">metasploit</a>, and fire away.</p><p>Compromising vulnerable systems is easy – it’s what comes after that’s the hard part.</p><p>Compromising

 systems without wreaking havoc on the target systems/network requires 

the foundational knowledge and specific tool expertise.</p><br>

</div>