Unieke features van NodeZero by NetBoss

In deze blog gaan we wat dieper in op een aantal unieke features van NodeZero by NetBoss.

Autonoom

Het autonome karakter van NodeZero is één van de meest krachtige features die het platform bezit. NodeZero is het eerste autonome platform voor pentesting en kan zonder voorkennis en zonder het maken van aanpassingen binnen het bedrijfsnetwerk worden geplaatst. NodeZero zal zonder menselijke tussenkomst zelf beslissingen nemen en op basis van de resultaten ook vervolgstappen bepalen. NodeZero onderscheidt zich op dit gebied dan ook echt van andere producten

In een vorige blog hebben we dit autonome karakter uitgebreid beschreven.
Link naar blog: De rol van autonome agents binnen pentesting

Chaining

Chaining van kwetsbaarheden en chaining and reusing van credentials is een unieke feature die wordt toegepast tijdens de autonome pentest. Aanvallers hacken zich niet naar binnen – ze loggen in. Dit wil uiteraard niet zeggen dat een aanvaller helemaal niets doet maar dit zegt wel dat bij veel aanvallers de focus op het verzamelen van credentials en op het misbruik daarvan ligt.

Er zijn verschillende redenen waarom de focus zo sterk ligt op de credentials:

1. Met geldige credentials lijkt de aanvaller rechtmatig te werkt te gaan waardoor de aanval minder opvalt. Er zullen minder (of helemaal geen) waarschuwingen afgaan waardoor de aanvaller veel minder snel gepakt zal worden. De aanvaller is langer actief en zal meer schade aanrichten.
2. De meeste hackers of hackgroepen houden er tegenwoordig een ‘ondernemersgeest’ op na. Zo wordt er bij ransomwarunieke-features-node-zero-1.jpge aanvallen nadrukkelijk naar de omzet van een organisatie gekeken voordat er losgeld wordt vastgesteld. Het gebruiken van bestaande credentials is vaak makkelijker en goedkoper dan het misbruik maken van N-day kwetsbaarheden of het bouwen en uitvoeren van een Zero-day Remote Code Execution (RCE).

In een volgende blog zullen we dieper ingaan op deze functionaliteit.

Inzetbaarheid

Vaak is een product toegespitst op een bepaald type organisatie, organisatiegrootte of gebruikersgroep. Hier is bij NodeZero geen sprake van, iets wat ook uit de diverse gesprekken en projecten is gebleken die het laatste jaar hebben plaatsgevonden. Ik zal een aantal voorbeelden noemen:

1. Met NodeZero kunnen er interne en externe pentesten uitgevoerd worden. Naast servers en werkstations worden alle actieve hosts die tijdens een pentest gevonden worden geïnventariseerd en onderworpen aan een test. Vaak worden kwetsbaarheden gevonden op ‘vergeten’ apparaten zoals routers, switches, printers, camera’s en zelfs UPS-systemen. Apparaten die op vrijwel alle bedrijfsnetwerken te vinden zijn.
2. In eerste instantie horen we wel eens van organisaties dat zij (bijvoorbeeld) vulnerability scanning hebben uitbesteed en die verantwoordelijkheid daarom niet bij de interne ICT-organisatie ligt. Als we dan verder over dat onderwerp doorpraten, blijkt vaak dat men zich niet realiseert dat de eindverantwoordelijkheid voor interne beveiliging van systemen en data nog steeds bij de organisatie zelf ligt en niet bij de leveranciers. Bij een goede relatie met de leverancier is er uiteraard sprake van vertrouwen maar het is nog steeds uitermate belangrijk om dat zelf ook te kunnen verifiëren.
3. Ook als de organisatie zelf pentesten uitvoert en misschien zelfs dedicated (Red & Blue) teams inzet, biedt NodeZero uitkomst. NodeZero acteert als het purple team en creëert het gemeenschappelijke doel tot het identificeren van blinde vlekken en andere hiaten binnen het bedrijfsnetwerk.
4. Door de schaalbaarheid, pricing en verschillende modellen is NodeZero binnen elke organisatie in te zetten, van klein tot groot.