Monday, October 11, 2010

Эволюция тестов на проникновение

5 октября я участвовал в круглом столе "Тесты на проникновение с точки зрения бизнеса" вместе с коллегой из Digital Security. Скажу лишь пару слов о том, как это происходило, ибо грустно вспоминать. Формат события у нас "круглый стол", о чем я неоднократно упомянул, чтобы хоть как-то расшевелить аудиторию. Конечно, у меня есть что сказать, у меня даже была презентация, содержащая очевидные вещи (что ее не хочется даже публиковать), но мне действительно интересно мнение других, чего я к сожалению так и не узнал. Сначала я, было, решил, что в аудитории сидят менеджеры, и семинар стоит склонять в сторону бизнес-выгоды, оправдания ожиданий и т.п., но, спустя несколько минут, мне показалось, что людям не интересно и я стал пытаться шутить "техническим жаргоном" про MS03-026 и Metasploit, - людям не было весело, как мне. Я решил, что из меня плохой ведущий и больше не пытался раскачать аудиторию :-(

Мне понравился доклад Александра Полякова. Не потому что там было что-то для меня новое или он был как-то особенно изложен, а потому, что я в очередной раз задумался о данной проблематике и не как прежде.

За те долгие годы, которые прошли с момента как компания в которой я работаю в первый раз заказала пентест, многое изменилось. В двух словах - пентест стало модно: уже все знают что это такое, только ленивый интегратор не пытается это продать, как и с помощью чего это делается тоже многие понимают. На семинаре у меня с Сашей возник "спор" (скорее, обмен рассуждениями) на тему пентест - это Искусство или Ремесло. Разница, думаю, понятна, но грань размыта, поскольку выдающиеся люди потому и "выдающиеся", поскольку умеют из Ремесла сделать Искусство. Но не будем думать о великих, ибо в большинстве своем, к несчастью, нас окружают не дарования. Ну а мы, заказчики, все равно не сожем заочно определить кто среди претендентов гений, так как лично я не знаю какие придумать формальные критерии для его определения. Но не суть, как говориться: "И каждый пошел своею дорогой, а поезд пошел своей", каждый из нас остался при своем мнении.

Я вот о чем подумал, слушая Сашин доклад "Эволюция тестов на проникновение", - мне кажется, что подобные тесты исчезнут как класс, так как в них пропадет необходимость. Современные контроли безопасности нацелены на проактивность и перестраховку. Первое означает, что мы пытаемся предупреждать возможные уязвимости, второе, что наша оборона - многослойна: если где-то мы не можем закрыть уязвимость, то наш следующий контроль ее закроет. Что делает пентест? Находит уязвимости и эксплуатирует их! Уязвимости бывают: архитектурные, конфигурационные и программные. Архитектурные и конфигурационные снимаются выполнением рекомендаций производителей, которые заключают в себя многолетний опыт наступания на различного рода грабли, - не надо наступать на грабли, на которые уже кто-то наступал, следуйте этим рекомендациям.
Программные - это про то, что программисты ошибаются. Вот тут посложнее, но никто не снимал со счетов чисто системы безопасности: антивирусы, IPS/IDS, мониторинг, self-assessment в конце концов.
Я не считаю себя совсем уж прям оптимистом, но я склонен считать, что с безопасностью ситуация улучшается (где результат нашей
многолетней работы!) и, если все правильно делать, пентесты будут не нужны. Вернее, эффективность от них будет ниже затрат на них.

Приведу пример. В старые добрые времена запчасти на автомобилях заменяли по мере их выхода из строя. За долгие годы производители набрали статистику, провели какие-то исследования, и получили достаточно точные сроки службы каждого узла. Исходя из этого составили карты периодического технического обслуживания, где отслужившие свое узлы заблаговременно заменяются на новые. Да, это дороже, так как я меняю детали, которые еще не сломались и, может, их хватило бы еще на такой же срок службы, но это страхует меня от неожиданностей в пути.

Задача пентеста - именно выдать неожиданность, показать фокус. Если я буду проактивно подходить к своей защите, никаких фокусов не будет.

Wednesday, October 6, 2010

Windows SNP, окончание

В потоке дней и суматохе дел я совсем забыл написать об окончании этой истории.Трафик мне действительно крайне-необходимо было снифать. Я обратился в поддержку Microsoft. Инженер техподдержки сильно удивился тому, что трафик не снифается и предложил мне использовать для этого Microsoft Network Monitor. И... netmon прекрасно заработал, в отличие от wareshark. Ну и что я должен подумать?! Я подумал об Oracle, Symantec и прочем не-Microsoft, работающем на Microsoft. Никто не застрахован от случайных побочных последствий светлых идей.