Пока мои коллеги вовсю подводят итоги прошедшего года и делают прогнозы на новый, я решил окончательно сорвать покровы с темных чародеев в сфере услуг тестирования на проникновение.
Чтобы не было разносудов, сразу скажу, что под пентестом я понимаю получение некоторого уровня доступа к заданному ресурсу при заданных ограничениях. Например,
– получить доступ к документам с грифом ДСП;
– получить максимальные привилегии на одном из сетевых устройств в ядре;
– получить root в кластере процессинга и т.п.
Главное, что вопрос полноты, как при аудите, не стоит.
А теперь самое вкусное – это ограничения. Перечислю их по порядку от банальных до более тонких:
– время – например, под атаку отводится 24 часа, после чего Game Over @ Jigsaw Movie ;
– методы воздействия – технические, физические, социальная инженерия;
– объекты воздействия – ломайте как хотите, а узел X не троньте;
– ресурсы и мотивация потенциальных злоумышленников.
И вот тут начинается самое интересное. Команда высококлассных пентестеров обладает заведомо большей квалификацией и набором инструментов (в том числе платных, за 100500$$), чем среднестатистический вероятный Интернет-проходимец.
Теперь представим себе такую ситуацию:
- Я заказываю пентест своей корпоративной сети и сервисов, оговаривая профиль предполагаемого нарушителя (в профиль входит мотивация, квалификация, доступные ресурсы).
- Пентест делает коммерческая фирма, которая хочет все работы выполнить с минимальными издержками. Так что пентестеры p0wn’ят мою сеть, например, через DNS Rebinding , переходят к режиму «белого ящика», находят уязвимость, которая подпадает под профиль нарушителя, обозначенный в договоре – вуаля!
- С одной стороны – да, получается, что тестируемая сеть не защищена от ожидаемых потенциальных нарушителей – есть конкретная уязвимость. С другой стороны мне абсолютно не понятно, будет ли уровень мотивации и квалификации потенциального злоумышленника, которого я ожидаю, достаточным для того, чтобы откопать и проэксплуатировать найденную уязвимость именно в режиме черного ящика. И моделирование именно такого процесса я ожидал, а не применение «ломика в рукаве»!
К чему я это все?
Во-первых, я за честные и открытые пентесты (открытые не как выборы, а как редиректы ).
Во-вторых, я призываю всех наконец осознать важность включения модели нарушителя в аналитические работы по оценке защищенности IT-ресурсов.
Всех с наступающим!
