Ну раз нынче стало модно обсуждать пентесты, вставлю и я свои 5 копеек.
Только я о них расскажу со стороны аудитора, который с пентестерами работал бок о бок на проектах по комплексному аудиту ИБ и ИТ-инфраструктуры.
Проектов было много и среди них были даже очень интересные, но вот топ 5 наших общих задолбашек.
Второй момент - из-за недостатка времени отчет по пентесту нередко становится просто приложением к отчету об аудите. Его детальный анализ и сопоставление уязвимостей бизнес-рискам не выполняется. Из-за этого у заказчика напрочь отсутствует желание читать низкоуровневое описание векторов атаки, а скриншоты, снятые со специализированного ПО, для них - филькина грамота. Согласитесь, "уязвимость MS08-067 позволяет выполнить произвольный код" и "наличие уязвимости позволяет получить административные права на компьютере главного администратора и совершать противоправные действия от его имени вплоть до..." звучит по-разному, не так ли?
Все те, с кем я работала, ни разу не дали повода усомниться в нормальности своей психики. Была пара довольно увлеченных индивидуумов, которые до поздней ночи могли сидеть и работать, им это было в кайф, они были в неком азарте.
Многие боятся, что пентестер уведет данные. Да, такие случаи бывают, особенно если на пентестах экономить и привлекать "левые" компании. В крупных и известных компаниях складывается "междусобойчик", обычно имя каждого вновь прибывшего члена команды заведомо у всех на слуху. Казусы случаются, но крупная компания имеет ресурсы, чтобы их нейтрализовать, ибо на кону репутация. в случае прецедента принимаются все меры по его нейтрализации вплоть до вылета человека с треском с работы.
Этичный хакинг - довольно экзотические компетенции, этому ниге не учат. А потому хакерский круг узкий, сарафанное радио там работает неплохо. Потому странноватых личностей с сомнительным послужным списком туда не берут. Есть компании, организованные известными "одиночками", там тот же принцип.
Для кого-то пентесты - коммодити услуга, для кого-то смысл жизни. Вторые с пеной у рта будут чморить первых. так было и будет всегда. А на деле разница между ними в том, что первые используют свой навык и готовый инструментарий для взлома, а вторые делают то же самое, но считают ниже своего достоинства пользоваться готовым и возможно найдут в вашем сервере 0-day. И те, и другие, выполняют довольно творческую работу (если мы говорим о качественных пентестах с достатком времени), так же как и порой вынуждены заниматься рутинным комплаенсом. На выходе у обоих будет красивый отчет с выявленными уязвимостями. У вторых даже 0-day. Как будет звучать рекомендация по его устранению? "Ну никак пока это не закроем, мы свяжемся с вендором, через 3 месяца заявку они рассмотрят, через полгода дай б-г выпустят патч".
Кто-то ведет блог, а кто-то интроверт. Кто-то ночами сидит в CTF, а кто-то едет домой к семье или кататься на байках/на скалодром/любое другое место по интересам.
Потому что фундаментальная цель пентеста (за исключением web-приложений) не найти 0-day в системах заказчика, а убедиться в том, что механизмы ИБ есть и они работают правильно. Что аномальная активность в сети будет замечена и нейтрализована, что системы регулярно обновляются и на них нет известных уязвимостей, что компенсирующие меры по их нейтрализации выполняют свою задачу, что персонал компании аккуратен и бдителен.
Брюс Шнайер на прошлом phdays начал свой доклад с фразы: "Хотите бесплатный пентест? Вы уязвимы".
Только я о них расскажу со стороны аудитора, который с пентестерами работал бок о бок на проектах по комплексному аудиту ИБ и ИТ-инфраструктуры.
Что представляет собой такой аудит?
Это симбиоз методов белого и черного ящиков. Когда одновременно аудиторская команда проверяет все, что что пожно прочитать и увидеть от конфигов систем и оборудования до внутренних процедур и политик компании по ИТ и ИБ, а тем временем пентестеры делают свою работу. Тот самый комплексный подход, который чаще всего рекомендуют сейлы.Кто такие пентестеры?
Абсолютно адекватные люди, которые так же как и аудиторы, делают свою работу. Есть и исключения, но об этом чуть позже.Что чаще происходит на самом деле?
Прежде разберемся, зачем компания заказывает себе такой аудит. Причины довольно неплохо описал Антон Карпов, я его слова повторять не буду. Есть еще одна причина, когда компания заказывает заведомо простую услугу (ну, например, протестировать сегмент телефонии), платит деньги за то, что могли бы реализовать сотрудники своими силами. Это принцип "CYA (cover your ass)", чтобы на руках было документальное подтверждение того, что служба ИБ не разгильдяи и делают свою работу. Ну и частичное спихивание своей вины на компанию-исполнителя.Проектов было много и среди них были даже очень интересные, но вот топ 5 наших общих задолбашек.
1) Быстро, много, сразу
Заказчику надо все в лучшем виде, быстро и качественно. Потому что они до последнего тянули с тендером, их нагнул регулятор и еще 100 причин, из которых выбирайте сами. За предложенные две-три недели и скоупе в 10 000 адресов качественно не получится при любом раскладе. Все, что можно успеть за это время, это запустить сканер. При брошенной на этот проект группе (если бюджет позволяет), удастся расковырять несколько точек входа с явными уязвимостями. При должном везении и разгильдяйстве администраторов со стороны заказчика получен администратор домена и...профит. Остальное ложится на плечи аудитора, который может систематизировать типовые косяки. Практика показывает, что за повторным аудитом из таких лиц не обращается никто.2) Мы не понимаем ваш птичий язык
Был один постоянный клиент, который заказывал каждый год одну и ту же работу. Работа делалась, но отчет по ней было писать гораздо сложнее - чтобы рука не дрогнула скопировать прошлогодний. Его никто не читал. Просто клали на полочку и он там год пылился.Второй момент - из-за недостатка времени отчет по пентесту нередко становится просто приложением к отчету об аудите. Его детальный анализ и сопоставление уязвимостей бизнес-рискам не выполняется. Из-за этого у заказчика напрочь отсутствует желание читать низкоуровневое описание векторов атаки, а скриншоты, снятые со специализированного ПО, для них - филькина грамота. Согласитесь, "уязвимость MS08-067 позволяет выполнить произвольный код" и "наличие уязвимости позволяет получить административные права на компьютере главного администратора и совершать противоправные действия от его имени вплоть до..." звучит по-разному, не так ли?
3) PCI-DSS
Заведомо скучная и рутинная работа с жестко ограниченным скоупом и отсутствием возможности за него выйти. Часто приходишь, день сидишь, уходишь ни с чем. А полет фантазии воспрещается - повалишь процессинг, банк понесет убытки.4) Мифы о пентестерах в массах
На какой-то конференции услышала, как докладчик сказал, что все пентестеры "не всегда адекватны". Ну это из разряда, что простой пользователь считает чудаковатым сисадмина, а ИБ-шник вроде как с ИТ связан, поэтому для него пентестер еще более чудаковат.Все те, с кем я работала, ни разу не дали повода усомниться в нормальности своей психики. Была пара довольно увлеченных индивидуумов, которые до поздней ночи могли сидеть и работать, им это было в кайф, они были в неком азарте.
Многие боятся, что пентестер уведет данные. Да, такие случаи бывают, особенно если на пентестах экономить и привлекать "левые" компании. В крупных и известных компаниях складывается "междусобойчик", обычно имя каждого вновь прибывшего члена команды заведомо у всех на слуху. Казусы случаются, но крупная компания имеет ресурсы, чтобы их нейтрализовать, ибо на кону репутация. в случае прецедента принимаются все меры по его нейтрализации вплоть до вылета человека с треском с работы.
Этичный хакинг - довольно экзотические компетенции, этому ниге не учат. А потому хакерский круг узкий, сарафанное радио там работает неплохо. Потому странноватых личностей с сомнительным послужным списком туда не берут. Есть компании, организованные известными "одиночками", там тот же принцип.
5) Другие пентестеры
Чемпионы CTF, скрипт-кидди и сосед, случайно хакнувший твой роутер и решивший хаком зарабатывать на жизнь могут называть себя пентестерами. Они постоянно соревнуются, спорят, кто круче. О некомпетентных говорить не будем, с ними и так все ясно.Для кого-то пентесты - коммодити услуга, для кого-то смысл жизни. Вторые с пеной у рта будут чморить первых. так было и будет всегда. А на деле разница между ними в том, что первые используют свой навык и готовый инструментарий для взлома, а вторые делают то же самое, но считают ниже своего достоинства пользоваться готовым и возможно найдут в вашем сервере 0-day. И те, и другие, выполняют довольно творческую работу (если мы говорим о качественных пентестах с достатком времени), так же как и порой вынуждены заниматься рутинным комплаенсом. На выходе у обоих будет красивый отчет с выявленными уязвимостями. У вторых даже 0-day. Как будет звучать рекомендация по его устранению? "Ну никак пока это не закроем, мы свяжемся с вендором, через 3 месяца заявку они рассмотрят, через полгода дай б-г выпустят патч".
Кто-то ведет блог, а кто-то интроверт. Кто-то ночами сидит в CTF, а кто-то едет домой к семье или кататься на байках/на скалодром/любое другое место по интересам.
Потому что фундаментальная цель пентеста (за исключением web-приложений) не найти 0-day в системах заказчика, а убедиться в том, что механизмы ИБ есть и они работают правильно. Что аномальная активность в сети будет замечена и нейтрализована, что системы регулярно обновляются и на них нет известных уязвимостей, что компенсирующие меры по их нейтрализации выполняют свою задачу, что персонал компании аккуратен и бдителен.
Брюс Шнайер на прошлом phdays начал свой доклад с фразы: "Хотите бесплатный пентест? Вы уязвимы".
Комментариев нет:
Отправить комментарий