5 октября я участвовал в круглом столе "Тесты на проникновение с точки зрения бизнеса" вместе с коллегой из Digital Security. Скажу лишь пару слов о том, как это происходило, ибо грустно вспоминать. Формат события у нас "круглый стол", о чем я неоднократно упомянул, чтобы хоть как-то расшевелить аудиторию. Конечно, у меня есть что сказать, у меня даже была презентация, содержащая очевидные вещи (что ее не хочется даже публиковать), но мне действительно интересно мнение других, чего я к сожалению так и не узнал. Сначала я, было, решил, что в аудитории сидят менеджеры, и семинар стоит склонять в сторону бизнес-выгоды, оправдания ожиданий и т.п., но, спустя несколько минут, мне показалось, что людям не интересно и я стал пытаться шутить "техническим жаргоном" про MS03-026 и Metasploit, - людям не было весело, как мне. Я решил, что из меня плохой ведущий и больше не пытался раскачать аудиторию :-(
Мне понравился доклад Александра Полякова. Не потому что там было что-то для меня новое или он был как-то особенно изложен, а потому, что я в очередной раз задумался о данной проблематике и не как прежде.
За те долгие годы, которые прошли с момента как компания в которой я работаю в первый раз заказала пентест, многое изменилось. В двух словах - пентест стало модно: уже все знают что это такое, только ленивый интегратор не пытается это продать, как и с помощью чего это делается тоже многие понимают. На семинаре у меня с Сашей возник "спор" (скорее, обмен рассуждениями) на тему пентест - это Искусство или Ремесло. Разница, думаю, понятна, но грань размыта, поскольку выдающиеся люди потому и "выдающиеся", поскольку умеют из Ремесла сделать Искусство. Но не будем думать о великих, ибо в большинстве своем, к несчастью, нас окружают не дарования. Ну а мы, заказчики, все равно не сожем заочно определить кто среди претендентов гений, так как лично я не знаю какие придумать формальные критерии для его определения. Но не суть, как говориться: "И каждый пошел своею дорогой, а поезд пошел своей", каждый из нас остался при своем мнении.
Я вот о чем подумал, слушая Сашин доклад "Эволюция тестов на проникновение", - мне кажется, что подобные тесты исчезнут как класс, так как в них пропадет необходимость. Современные контроли безопасности нацелены на проактивность и перестраховку. Первое означает, что мы пытаемся предупреждать возможные уязвимости, второе, что наша оборона - многослойна: если где-то мы не можем закрыть уязвимость, то наш следующий контроль ее закроет. Что делает пентест? Находит уязвимости и эксплуатирует их! Уязвимости бывают: архитектурные, конфигурационные и программные. Архитектурные и конфигурационные снимаются выполнением рекомендаций производителей, которые заключают в себя многолетний опыт наступания на различного рода грабли, - не надо наступать на грабли, на которые уже кто-то наступал, следуйте этим рекомендациям.
Программные - это про то, что программисты ошибаются. Вот тут посложнее, но никто не снимал со счетов чисто системы безопасности: антивирусы, IPS/IDS, мониторинг, self-assessment в конце концов.
Я не считаю себя совсем уж прям оптимистом, но я склонен считать, что с безопасностью ситуация улучшается (где результат нашей многолетней работы!) и, если все правильно делать, пентесты будут не нужны. Вернее, эффективность от них будет ниже затрат на них.
Приведу пример. В старые добрые времена запчасти на автомобилях заменяли по мере их выхода из строя. За долгие годы производители набрали статистику, провели какие-то исследования, и получили достаточно точные сроки службы каждого узла. Исходя из этого составили карты периодического технического обслуживания, где отслужившие свое узлы заблаговременно заменяются на новые. Да, это дороже, так как я меняю детали, которые еще не сломались и, может, их хватило бы еще на такой же срок службы, но это страхует меня от неожиданностей в пути.
Задача пентеста - именно выдать неожиданность, показать фокус. Если я буду проактивно подходить к своей защите, никаких фокусов не будет.
Monday, October 11, 2010
Эволюция тестов на проникновение
Labels: Audit
Subscribe to:
Post Comments (Atom)
1 comment:
Инфобез - место командированных безопасников. Их больше интересует размер суточных, нежели необходимость пентестов.
Сам езжу туда, большей частью, ради возможности в одном месте повидаться с большим количеством знакомых.
О смерти пентеста в будщем. Я согласен с тем, что хороший пентест был и будет красивым пасом не несущем особого смысла для повышения безопасности сети непосредственно. Ну да, слабые пароли, ну да не поставили патчи... Но никогда проактивность в виде контролей, а так же IPS и тому подобные шаманские штуки не помогут против лома в виде теста на проникновение, либо реального проникновения. Они могут лишь увеличить сложность мероприятия и перевести банальный пентест основанный на переборе паролей и использовании метасплоита на новый уровень, когда тестер вынужден изучать особенности использования систем и искать архитектурные ошибки.
Отсюда, пентест будет существовать до тех пор, пока существует идея защищать информацию.
Во-первых, это бывает красиво. (может кто-нить откроет галлерею пентестов? идею дарю)
Во-вторых, это подтверждает квалификацию аудитора.
В-третьих, это нужно, чтобы щелкать по носу ИТ-шников, уверенных, что хеш-пароля нельзя использовать, что их пользователи свято блюдут инструкции и тп.
Post a Comment