09.04.2009

пентесты и Пентесты.. Я в шоке

В рамках пентеста обнаруживаются сотни проблем в безопасности и ошибок в реализации СУИБ, на устранение которых зачастую уходят годы.

Сергей Гордейчик
http://sgordey.blogspot.com/2009/04/blog-post.html

Попался на глаза опус:

http://www.iso27000.ru/blogi/aleksandr-astahov/pentest-stoit-li-ovchinka-vydelki

Я в шоке, мой ноутбук в шоке и даже игрушечная собачка моего сына в шоке.

Понимаю, если бы это было написано в 2000 году, когда зрелость российского рынка консалтинга была близка к нулю. Но сейчас... Все таки не зря на Рускрипто целая секция была практически повещена тестированию на проникновение (понимаю, что я уже делал слишком много анонсов, но подождите, в скором времени опубликуем презентации и даже видео некоторых выступлений).

И так, пройдемся по тезисам:

Польза от пентеста для заказчика заключается в следующем:

# возможность обнаружения и устранения одной или нескольких серьезных уязвимостей

В рамках пентеста обнаруживаются сотни проблем в безопасности и ошибок в реализации СУИБ, на устранение которых зачастую уходят годы. Примеры - недостаточная осведомленность сотрудников или ошибки в процессе защиты Web-приложений. Только сегодня проводили совместно с 1С-Bitrix представление их нового продукта - модуля проактивной защиты. Яркий пример компании, которую пентест подвиг не только на устранение уязвимостей, но и на изменение процессов (аудит исходного кода, создание штата разработчиков), и даже больше - к созданию собственного продукта в области безопасности - web application firewall.

Полезность пентеста для исполнителя состоит в следующем:

  • возможность заработать приличные деньги (пентест - услуга высокорентабельная)

Не хочу никого обижать, но средний пентест делается практически по себестоимости. Это технологическая услуга требующая большой организационной работы (чтобы ничего не завалить :), специалистов с уникальными навыками и специфичного, зачастую недешевого софта.

Конечно можно нанять "крутого хакера", который просканирует систему "взломанной" версией XSpider и попробует пару экплойтов с milw0rm. Тогда, наверное и результат будет подобный описанному в статье и услуга будет "высокорентабельной".

Теперь о том, чего заказчик не получает от пентеста:

* объективной оценки защищенности своей корпоративной сети

Объективной оценки, господа, не дает ничего. Даже, простят меня, сертификация. Есть только уязвимости и вероятность реализации угрозы, полученные в рамках указанной модели угроз и бюджета. То, что уязвимости никто не обнаружил, не говорит о том, что её нет. Иначе бы Microsoft, тратящий миллионы и миллионы на безопасность, аудит кода, построение безопасных процессов разработки и т.д. и т.п., уже давно бы выпускал программы без уязвимостей. И мы бы забыли про вторые вторники...

идентификации и анализа всех существующих уязвимостей корпоративной сети, позволяющих судить об общем уровне защищенности (для успешного проникновения достаточно обнаружить лишь одну или несколько уязвимостей)

Процитирую свою небольшой кусок из тезисов к Рускрипто:

Цель пентеста в том, чтобы взломать

Цель пентеста в том, чтобы оценить эффективность существующей СУИБ и продемонстрировать наиболее яркие проблемные места в рамках выбранной модели злоумышленника, устранить которые требуется в первую очередь. Сам "взлом" только подручный механизм реализации основной задачи и может использоваться с различными целями. Например, для облегчения понимания результатов работ руководством или для развития хода работ, например прыжка их Интернет в ДМЗ, из ДМЗ в технологическую сеть и т.д. Если проводить работы с установкой на "взлом", то максимум к чему может привести тест, это обнаружение нескольких "страшных" уязвимостей, устранение которых может занять несколько минут или часов. И в такой ситуации пентест полностью оправдывает отношение как к фрагментарной, малоэффективной услуги.


# уверенности в том, что удалось устранить имеющиеся уязвимости и повысить защищенность систем (исполнитель продемонстрировал заказчику лишь один или несколько возможных сценариев проникновения, а сколько их еще может быть?)

Странный тезис. Уязвимости были устранены? Были. Защищенность была повышена? Несомненно. Исполнитель продемонстрировал только один сценарий? А что в ТЗ было написано? Поломайте меня как-нибудь?

уверенность в том, что конфиденциальные данные заказчика не утекли насторону (пентест не предполагает, что все действия исполнителя осуществляются под контролем представителей заказчика, как это происходит при обычном аудите безопасности, по крайней мере, вероятность утечки данных при пентесте значительно выше)

Это вообще полный бред. Утечка регулируется соглашением о конфиденциальности. Ни один из вменяемых исполнителей не будет против, если в ходе работ будет присутствовать представитель заказчика. Более того, тесный контакт с заказчиком и согласование "ходов", это залог успешных работ. Я обычно даже люблю в ходе внутреннего теста "почитать лекции" о том, что я сейчас делаю, и как все это ловко у меня получается :) Или не получается :(

Обычный анализ защищенности корпоративной сети при помощи сетевых и хостовых сканеров, требующий куда меньше времени (и квалификации) от исполнителя и денежных затрат от заказчика, позволять получить куда как более полезные результаты, а именно:

* идентифицировать и проранжировать все имеющиеся технические уязвимости (по крайней мере те, о которых известно из доступных исполнителю источников)
* дать объективную оценку уровня защищенности систем заказчика и его адекватность
* разработать подробный план действий по устранению, либо смягчению всех имеющихся уязвимостей, а не только тех, которые использовались в ходе пентеста


Тут я теряюсь совершенно. Опять эта объективная оценка всплыла... Как пентест, в ходе которого используется пяток специализированных сканеров, дополнительных утилит для верфикации и эксплуатации уязвимостей, ручной анализ уязвимостей может дать худший результат, чем просто запуск сканера? Как сканер реализует задачи глубокой оценки защищенности Web или беспроводных сетей, или уровня оценки персонала? Мне не понятно.
Сканеры никто не отменяет, но за ними должен сидеть человек, который "делает пентест в голове", чтобы расставить приоритеты и эффективно устранять обнаруженные проблемы. Сами сканеры этого не могут. Хотя мы работаем над этим :)

Если вам нужен именно анализ защищенности, либо оценка рисков, тогда глупо заказывать пентест, т.к. заплатите вы намного больше, а требуемого результата в виде реального повышения уровня защищенности и уменьшения рисков не получите.


Еще раз - пентесты не стоят дорого. Так сложился рынок. Есть дорогие задачи, когда пентест может стоить на уровне аудита. Но как правило это задачи с большим объемом работ или с узкой специализацией (например пентест специфического приложения). Более того, нормальный аудит, без которого невозможен нормальный анализ рисков, как правило включает в себя пентест. Где логика?

Я понимаю, что многим хочется быть Брюсом (http://www.schneier.com/blog/archives/2007/05/is_penetration.html), на повторять его спорные мнения не стоит.

Пентест, это одна из работ в области ИБ со своими плюсами и минусами, ограничениями, со своей методиками и целями. И зачастую с ожидаемыми результатами. Пугающими?...

или введите имя

CAPTCHA
Страницы: 1  2  3  
Eugene
09-04-2009 15:02:38
Автор уязвим: впадает в шок от статей из Интренетов. Тривиальная ДОС атака на автора. Уязвимы также: ноутбук автора, игрушечная собачка сына автора. Неуязвим, кажется, только сын автора. Похожую уязвимость описывал кажется Эмиль Золя. Он читал Майн Кампф своей собачке и та плохо себя чувствовала. Множество посетителей выставок-междусобойчиков не пересекается с множеством админов решающих конкретные задачи. А реальные пентестеры -- увы шаманы и никто, включая IT персонал не понимает смысла их деятельности. Ибо они реально нужны не для обнаружения уязвимостей, а для соответсвия анализируемого нормативной базе. Реальный пример: я служащий компании ХХХ приезжаю к заказчику рассказывать про сетевую безопасность. Заказчик у меня спрашивает что такое пен-тест. Я рассказываю. Мне говорят: а вот тут из вашей компании приезжали (из другого отдела) аудиторы, посмотрели на пен-тест проведённый сторонней конторой (лицензированной на проведение пен-тестов) и сказали что это не пен-тест. Мы их спрашиваем, а что такое пен-тест. Аудиторы отвечают: мы не скажем. Мы, аудиторы, отвечаем на вопрос о том, пен тест у вас проведён или не пен тест. А на вопрос что такое пентест мы не отвечаем. Сергей, ведь это вымогательство. С ним сталкивается народ и пишет статьи. А вы нам про собачку. Аналогия: ГИБДД нужно для повышения безопасности. Народ, когда сталкивается с инспектором, понимает, что этот конкретный инспектор нужен не для повышения безопасности, а для чего-то другого. И это инспектор и тот и другой, и все инспекторы с которыми столкнулся индивид нужны не для повышения безопасности. И вот индивид делает обобщение, обидное для ГИБДД. И тут появляется Сергей Гордейчик и говорит, что он, его ноутбук и собачка его сына находятся в одном месте (в шоке) от такого обобщения. Что ГИБДД предназначено не для этого: вот доказательства:... Так ведь индивид говорит не про то для чего она предназначена, а о том, что она на самом деле делает. А занимается она вымогательством. И пентестеры занимаются вымогательством. Реально информационная безопасность интересна только энтузиастам. Банковские служащие в гробу её видели. Им по*** на финансовые показатели банка, они зарплату получают не за это, а за соответсвие требованиям PCIDSS а это значит, что ничто, даже нормативные акты, которые они постараются формально соблюсти, не способно повысить безопасность их предприятий. И хлеб у нас с вами будет всегда.
0 |
09-04-2009 15:05:03
лицензированной на проведение пен-тестов А это как?
0 |
09-04-2009 15:33:22
Автор уязвим: впадает в шок от статей из Интренетов Отнюдь. Я получил немало позитива печатая свой опус Аудиторы отвечают: мы не скажем. Пожалуй, я даже знаю, что за компания. Ну это уж извините - внутренние проблемы управления. Какой обычный ответ на вопрос аудитора? Мы не скажем Сергей, ведь это вымогательство. С ним сталкивается народ и пишет статьи Что-то я сомневаюсь что автор статьи часто заказывал себе пентест. Он тоже их проводит (судя по концовке статьи). А что такое пентест "общего назначения" я легко могу расказать. Рассказывал кстати на той же рускрипте. И пентестеры занимаются вымогательством. Отнюдь. Пентестеры занимаются пентестами. Вымогательством занимаются сейлы. В отличии от... Кстати, ГИБДД то на ровном месте не тормозит. Помню был в Тбилиси до того как, там как-раз "отменили" ГАИ. Говорят пока снова не собрали, в городе было жутко. В москве, я думаю - не лучше. И аналогия плохая - пентестер не наказывает. И не приходит сам. а за соответсвие требованиям PCIDSS Ага. Compliance это основной драйвер "шаманства" Ибо они реально нужны не для обнаружения уязвимостей, а для соответсвия анализируемого нормативной базе. Да ладно вы с этим PCI DSS. Цена вопроса в районе <censored> килобаксов, на уровне штрафов. И говорить, что мол "в банка все сидят на окладе, а безопасностью занимаются энтузиасты" просто странно. И там и там есть разные люди. Очень разные. Например - cybervlad из Северной Казны. Чем не гуру?
0 |
Eugene
09-04-2009 16:20:17
Нет, я конечно приветствую, когда энтузиасты ещё и на окладе сидят. Это прекрасно! Но всерьёз расчитывать, что безопасностью кто-то будет занимать не за энтузиазм, а за зарплату, ИМХО наивно. И аналогия плохая - пентестер не наказывает. И не приходит сам.Аналогия не идеальная, но и не так уж далека от жизни, пен-тестер не приходит сам, но и к нему сами не приходят. Регулятор гонит, не так ли? Что-то я сомневаюсь что автор статьи часто заказывал себе пентест. Он тоже их проводит (судя по концовке статьи). Да-да и он занимается вымогательством. Проверить качество его пен-тнста может аудитор, но аудитор ничего заказчику не скажет (см. выше). И будет заказчик как в дурном сне между этими "специалистами" бегать и штрафами от контры отмазываться. А самое поганое, что ценовую планку автору опуса, про который вы пишите задаёте вы. Вы проводите Пен-тест, как вам кажется дёшево, вынуждены брать много из-за накладных расходов, а он проводит пен-тест за те же бабки. А разницу увидит только аудитор ... и поехало. А что такое пентест "общего назначения" я легко могу расказать. Рассказывал кстати на той же рускрипте. Вот и расскажите, я во время рускрипты чего-то преподавал.
0 |
09-04-2009 17:41:26
Тема PCI появилась недавно и только для банков. А банки - далеко не все. По рускрипте скоро будут кины, презенташки, текста. Торможу, текучка.
0 |
5555
13-04-2009 10:15:48
подскажите пожалуйста куда будете выкладывать материалы с рускрипто ? _____________________________________________________________________
0 |
15-04-2009 08:02:43
Постепенно публикуются: http://www.ruscrypto.ru/conference/download/ Будет отдельный анонс по видео.
0 |
09-04-2009 15:03:16
Привет, Сергей. Полностью с тобой согласен. По всей видимости, статью http://www.iso27000.ru/blogi/aleksandr-astahov/pentest-stoit-li-ovchinka-vydelki писал человек ничего не понимающий в пентестах. Почитал бы он хотя бы issaf0.2.1A перед тем как делать умозрительные заявления в области в которой ничего не понимает!
0 |
Андрей
10-04-2009 04:33:56
Вся "безопасность" современная имеет две эпостаси: 1) Написать кучу документации, политик регламентов и прочей биллитристики и... ничего не сделать практически. 2) Делать практически и к практике "подтягивать" доку, политики и прочее по факту. Первый путь это стезя тех, кто любит слова СУИБ, CISO, IPO, ISO и прочую муть. Давайте посмотрим правде в глаза, внедрение документации нужно только чтобы пустить пыль к глаза инвесторам и аудиторам, но к безопасности практической имеет отношение косвенное. Сергей правильно пишет, но политкорректно. Это понятно - ему нужно двигать свой продукт не только тем, кто необходимость практики понимает - но и всяким CISO, CIO и прочим дармоедам-управленцам озабоченным только удержанием своего места. Предвосхищяя вопросы - сразу оговорюсь что работаю в области информационной безопасности в самой крупной алюминиевой компании мира, у нас принято делать ставку на практическую безопасность, а не на СУИБ-ы, хотя и они имеются.
0 |
А ?
10-04-2009 07:41:27
Что такое СУИБ? -_- и с чем его едят. Из статьи мало что понял. Нет, не школьник ) И не детсад. ----------------------- Хочу стать спецом по ИБ -----------------------
0 |
Андрей
10-04-2009 07:52:07
СУИБ = система по управлению информационной безопасностью. А по русски это способ поставить начальство на бабки и "попилить" бюджет с фирмой-разработчиком регламентов и политик. Правда не всегда. Но я знаю пару компаний которые несколько лет внедряют этот самый СУИБ, их начальники ИТ пиарятся на конференциях и получают нехилые дивдиденды, при этом у них безопасность образно представляет собой огромную бронированную дверь, с кучей замков одиноко стоящую в поле. Другими словами пентесты дают очень хорошие результаты.
0 |
Андрей
10-04-2009 08:11:14
Ах да забыл упомянуть главное! СУИБ-ом можно нынче назвать все-то угодно. К примеру в одной не самой маленькой конторе сделали так: 1) Поставили пару компов, на которые завели программы для мониторинга журналов безопасности серверов и приема событий от сетевого оборудования и еще пары прог(Себестоимость с софтом 5 тыс американских президентов) 2) Шарыли несколько томов доки по разным вопросам начиная от влкючения компа и заканчивая подключением флеш-карт. Себестоимость 1000. 3) Наштамповали готовых регламентов из тех что можно при желании найти в виде шаблонов. Себестоимость 2000 у.е. Всю это шнягу распечатали на цветном принтере, красиво упаковали, поставили минимум по 5 печатей на каждый талмуд (себестоимость 500 у.е.). И всё это вместе гордо назвали СУИБ. Себестоимость составила - 8500 у.е. + командировочные 4000 = 12 500 у.е. Заказчик заплатил только предоплату в размере: 45 тыс. у.е. и окончательно по факту еще 50 тыс. у.е. Ессно начальник ИТ наварил 20 тыс. у.е. Остальные в прибыль "разработчика". Итог кстати - система выдаёт около 500 различных событий в сутки. Поэтому ей никто не пользуется. (нефтяникам привет - если поняли о ком я). Однако в жизни конечно есть приятные исключения, но таковых не более 20%. На 80% СУИБ это простой распил бюджета акционеров и пускание пыли в глаза аудиторам и клиентам.
0 |
А ?
10-04-2009 08:30:22
А чем пентест отличается от поиска уязвимых мест в структуре предприятия? Совсем не вдупляюсь что-то :/
0 |
Андрей
10-04-2009 09:29:21
Образно могу рассказать. Представь что ты сделал у себя дома крутую антипожарную систему. Вызываешь пожарников для проверки. Дальше два варианта: 1) Пожарник заходит в дом, смотрит, щупает и делает заключение что все плохо или хорошо на основе своих разумений или взятки. Это называется поиск уязвимых мест. 2) Пожарники разбивают окно и закидывают тебе в дом, без лишних разговоров, горящую покрышку от камаза. А потом стоят и смотрят как среагируют твои системы пожаротушения, сигнализации и прочее. Это называется пентест. Потом на пепелише дают тебе сертификат что система пентест не прошла и рекомендуют приобрести новую систему пожаротушения по цене дороже квартиры. Я утрирую конечно...
0 |
13-04-2009 07:47:40
Ох как я люблю аналогии... Особенно неподходящие. Квартира то осталась и с системой пожарутушения ничего не произошло...
0 |
Андрей
14-04-2009 04:42:07
Отнюдь. Некоторые инструменты для тестирования довольно опасны в применении для работоспособности сети. Я же сказал что утирирую ситуацию, но в целом она так и есть.
0 |
star76
10-04-2009 10:04:59
А что плохого в 500-ах сообщения в сутки? Просматриваются они достаточно быстро и обычно однотипные. Мои системы генерируют до нескольких тысяч в сутки, но они хорошо поддаются агрегации и группа по инф. безопасности из нескольких человек вполне успевает их просмотреть и проанализировать. На самом деле гораздо сложнее заставить работать не технические меры, а административные, как раз те пресловутые регламенты. Но если написать регламент с нуля и четки под бизнес-процессы компании, то результат будет хороший. Во всяком случае те, что мне удалось внедрить в подразделениях разработки, сопровождении и администрирования ПО, хорошо себя показали и сотрудникам даже нравится, так как процесс разработки и выкладывания проекта на площадку стал более прозрачен. Пен-тесты нужны скорее для того, чтобы показать руководству компании что все не так хорошо как оно думает. Глядишь, что нибудь начнут делать для улучшения своей ИБ.
0 |
А ?
10-04-2009 10:59:21
Эх, я как погляжу на ИБ в конторе где сейчас работаю, плакать хочется И начальству абсолютно ПО_ос*рать на это. Хоть что можно вынести (не только информацию, но еще и технику...) Хотя вроде (какбы) солидная контора. Т.Е. при пентесте могут запросто завалить все что только смогут завалить по найденным уязвимастям?
0 |
А ?
10-04-2009 11:00:02
Точнее глядеть на ИБ тут не приходится вообще, она тут отсутсвтует как класс
0 |
Андрей
14-04-2009 04:40:29
А то что это по сути были критические события требующие расследования. Другими словами система не была настроена нормально и генерила всякий вздор. Подумайте какой штат нужно иметь чтобы расследовать 500 событий в сутки? (По сути вздорных)
0 |
Юрий
10-04-2009 17:32:24
А что Вас, собственно, в этом не устраивает? Система управления и в самом деле есть у всего, чем начали заниматься. Плохое или хорошее, сертифицированное или нет - другой вопрос. СУИБ по 27001 имеет некотрые обязательные компоненты, другие СУИБ - не имеют. Не вижу противоречий.
0 |
Андрей
14-04-2009 04:44:55
Стереотипы... Стереотипы... Сама ISO 27001 меня устраивает. Меня не устраивает когда некоторые CISO/CIO мастерят себе икону в виде сертификата и живут в мире иллюзий безопасности. Кроме того, многие думают что внедрив ISO 27001 в конторе в виде некоего документа они решат все проблемы.
0 |
Гость
10-04-2009 12:48:47
крупнейшая алюминевая компания - Rio Tinto Alcan? да, прикольно!
0 |
Юрий
10-04-2009 17:28:29
А "практическая безопасность" у вас бесплатная? Кстати, в чем она заключается интересно - , буквально в двух словах. Вы ее на чистом энтузиазме развиваете, без бюджета? А если бюджет есть, то откуда? Наверняка бизнес дает. Ну что, повезло, что бизнес такой понятливый, зрелый. Только не всем так везет, и для общения с бизнесом как раз и существует CISO. Я представлю диаметрально противоположную точку зрения, ибо насмотрелся на "практиков" - гиперактивных молодых людей, ненавидящих бумажки и рвущихся внедрять безопасность на практике, руководствуясь исключительно собственными "понятиями" о том, как оно должно быть (по их мнению). На мой взгляд, виноваты на "СУИБы", а конкретные люди, управляющие безопасностью. А скомпрометировать можно все что угодно, как "СУИБы", так и Вашу, "практическую" безопасность. Дело не в отсутствии или количестве бумажек, а грамотном планировании, управлении, и реализации - с бумажками или без.
0 |
Андрей
14-04-2009 04:37:51
Очень приятно Юрий что Вы прочли нашу переписку. Однако Ваша диаметрально-противоположная точка зрения на деле таковой не является. Вы поняли все опять исходя из Ваших стереотипов. Первое - я не говорил что надо отказаться от документации. Второе - я не говорил что надо нанимать гипертрофированных молодых людей и куда-то бежать. Поменьше смотрите Жириновского по ТВ. Основная мысли в том что практика - критерий истины. Бюджет ессно есть, как и документация - читайте внимательнее. В других компаниях, на деле я видел ситуацию описанную в п.1. а именно сидит некий флегматик и создает талмуды документации, в которых прописывает все жизненные ситуации. На деле такая дока нафиг никому не нужна. Даже отделы ИБ её не знают. А цель одна - пустить пыль в глаза потенциальным/реальным инвесторам.
0 |
kia
10-04-2009 11:09:06
Конечно можно нанять "крутого хакера", который просканирует систему "взломанной" версией XSpider и попробует пару экплойтов с milw0rm. Тогда, наверное и результат будет подобный описанному в статье и услуга будет "высокорентабельной". Это вы правильно подметили - сканером XSpider Пользуются только очень очень "крутые хакеры" =)
0 |
10-04-2009 12:17:32
Всё гуд, всё замечательно... правы все, но каждый со своей стороны. В приведенном вопросе сошлись 2 стороны: специалист и заказчик. специалист - действительно спец высокого уровня, и заказчик которому на шаманские танцы с уязвимостями покакать, он думает о деньгах компании (вообще-то о своих, но это уже политкоректность). В чем итговая проблемма - человек который платит не понимает за что он выкладывает хорошие вообще-то деньги которые можно пустить на другие нужды (обычно собственные, искажаю реалии в целях политкоректности). Сейчас отметаем краиние варианты - крупная компания которая думает о своей безопасности всерьез - большинство просто не понимают что это такое - ИБ, не собираются тратить деньги и время, и не собираются даже разбираться в этом вопросе оставив его на самотек. Тут все решает не польза и логичные доводы, а чистый менталитет о котором настоящий профи в IT обычно не задумывается. Это не статья похода на 2000год а менталитет остался на том уровне и прогресс этого не отменяет. Мы еще не один год будем наблюдать за цирком со взломом банков, систем связи и прочего. Ближайшие пару-тройку лет в нашей стране вызреет нормальный полноценный черный IT-рынок. и только когда количество набитых шишек будет достаточным управленческий персонал начнет требовать реальных мер защиты, а не бумажных. В большинстве своем управление не всегда видит необходимость покупки ПО для безопасности или просто лицензионного ПО, а вы говорите пен-тест... поближе к реальности, уважаемые. самой крупной алюминиевой компании мира-это отнюдь не показатель творяшегося в стране. ...а автору респект. всегда полезно поднять тему. чем чаще о ней говорят тем актуальнее она будет. получил немало позитива печатая свой опус немало позитива читая. фенкс)
0 |
Страницы: 1  2  3