Наверняка кому-то вопрос покажется банальным или даже риторическим. Ответов можно сгенерировать массу: потому что как иначе проверить устойчивость к реальным угрозам, потому что быстро и дешево, потому что все так делают, потому что PCI DSS в конце концов... Список можно продолжать, но подумайте еще раз: дает ли хоть один из известных вам ответов внятное обоснование того, что для оценки защищенности нужно провести именно пентест?
Вот такая ловушка банальности: с одной стороны, интуитивно понятно, что делать надо, а с другой, логики за этим решением особой нет, просто рынок диктует свои подходы исходя из имеющихся возможностей. А как этот рынок пришел к текущей конъюнктуре – не очевидно. В общем, давайте разбираться.
Наверняка многие в курсе, что ноги у пентестов растут из концепции "Red Team Exerсise", издревле практикуемой в армии, а частности американской. Генерал Стенли МакКристал (тот, который ест раз в день и бегает марафоны каждую неделю) дает такое определение оно же объяснение редтимингу.
Когда вы готовите операцию, вы, как правило, строите план. Строите вы его на основании полученных разведданных, имеющихся ресурсов и их дислокации, а также, на основании личного опыта – вашего и ваших коллег. Ресурсы и разведданные вещи сравнительно объективные, их мы не трогаем. А вот опыт является основным источником уязвимостей вашего плана.
В момент просчета определенного шага операции, вы рано или поздно столкнетесь с ситуацией, когда нужно будет принять решение о достаточности. Например, о достаточности провизии на марше или средств защиты полевого лагеря. И в этот момент, после просчета всех объективных аргументов, к вам голову грозит закрасться мысль, что "это сработает!" Потому что вроде бы должно. Потому что раньше срабатывало. В общем, кажется достаточно, можно идти спать.
Вот против таких ситуаций в планировании и работает редтиминг. Он выявляет слабые решения, сделанные под впечатлением, что "это сработает!", без достаточных объективных аргументов. Решения, которые можно смело считать человеческим фактором, которым нам маркетологи уже все уши прожужжали. Что же мы можем противопоставить этому человеческому фактору? Другой, диаметрально противоположный способ мышления.
На борьбу с "это сработает!" мы призываем "как это сломать?" За анализ плана усаживается команда, которая входит в роль воображаемого противника его составителя, и главная задача которой, опять же, опираясь на объективные и субъективные аргументы, найти в этом плане уязвимости. Практика редтиминга варьируется от настольных ревю до тактических упражнений, но смысл везде тот же: вы строили, чтобы оно работало, а мы пришли, чтобы это сломать. Все как в жизни.
Та же и с пентестами. Мы приходим не для того, чтобы проверить, последовали ли вы указаниям стандартов и вендоров, а за тем, чтобы найти в хитром переплетении систем и процедур ваши решения, сделанные под влиянием "это сработает!" Именно поэтому самоуверенные клиенты нравятся нам больше всего. Вы много жили и немало видели, вы строите и строите, так что комар носу не подточит. Но где-то, на стыке технологий и человеческой психики, неизменно есть точка, в которой кроме вашего "это сработает!" нет больше никаких оснований считать, что все, дело сделано и здесь больше ничего не улучшить.
Здесь, кстати, есть еще один любопытный нюанс. Я нередко наблюдал ситуации, когда опытные пентестеры не очень хорошо показывали себя в ходе CTF. А опытные игроки часто не справляются с задачами в ходе пентестов. Долго ломал себе голову – почему? По теперь все сходится. Игрок и пентестер имеют дело с кардинально разными целями: пентестер ломает систему, которая создавалась чтобы быть защищенной, а игрок – систему, которая создавалась чтобы быть взломанной. Так, образ мышления строителя системы делает подходы и методы атакующих совсем разными, при том, что инструменты и технологии у них почти одинаковые.
На сегодня все. Если на вашей памяти есть решения, принятые на волне "это сработает!", я предлагаю их переосмыслить. Но только завтра, утро вечера мудренее.
Почему пентесты?
