Цель любого тестирования на проникновение, вопреки распространенному заблуждению, состоит не в демонстрации возможности осуществления успешной атаки (взломать можно все что угодно и метод "кувалды" никто не отменял;)), а в использовании результатов подобных работ для совершенствования системы управления информационной безопасностью (далее - СУИБ). Безусловно, этого удается достигнуть только при правильной интерпретации полученных данных и при отработке широкого охвата возможных и наиболее реализуемых вариантов атаки. Под "правильной" интерпретацией результатов пентеста нужно понимать, что помимо оперативного устранения уязвимостей Заказчику подобных услуг следует также осуществить выстраивание процессов СУИБ таким образом, чтобы предотвратить их появление в дальнейшем.
Ценность тестирования на проникновение состоит в возможности смоделировать последовательность выполняемых действий потенциальным злоумышленником, в условиях, максимально приближенных к реальности. Это позволяет выяснить, где безопасность работает хуже, а где лучше, выявить наиболее уязвимые места в информационной системе, причины и следствия успешной атаки (если она была реализована), а также проверить надежность существующих механизмов защиты в целом.
В тестировании на проникновение, нет ни каких загадок или тайн. Методология проведения такого рода работ подробно описана в Open Source Security Testing Methodology Manual (OSSTMM) и Open Web Application Security Project (OWASP). Используя подходы, изложенные в указанных методиках, пентест из "игры в хакеров" превращается в весьма объективную оценку реальной защищенности исследуемой информационной среды. А полученными данными по результатам пентеста, можно эффективно оперировать при анализе информационных рисков.
+1. Разделяю твою точку зрения, Дмитрий!
ОтветитьУдалитьСогласен с мыслью, что при грамотной обработке результатов пентеста можно улучшить стратегию укрепления СУИБ. Однако ни один пентестер не предоставит полной картины безопасности исследуемой инфраструктуры, ведь работа заключается в проникновении, а не в обнаружении всех «узких» и потенциально «узких» мест.
ОтветитьУдалитьДругое дело – security-консультант, получающий «на руки» всю топологию исследуемого объекта и имеющий доступ ко всем его «углам». На мой взгляд, грамотный конслатинг должен включать в себя процедуру пентеста как подмножество.
Факт проникновения (пентест) не может давать полной картины защищенности (security-консалтинг).
to c0n Difesa: Предлагаю немного пересмотреть взгляд на пентест, и не рассматривать его исключительно как некий набор действий, имитирующих шаги хакеров по взлому систем. В таком виде, подобная услуга никому не нужна, так как взломать можно любую систему, это вопрос лишь ресурсов. Закрытие одной уязвимости, позволившей пентестеру проникнуть в сеть, не повысит защищенности, если таких уязвимостей еще несколько сотен. Предлагаю рассматривать пентест, как расширенное тестирование защищенности систем с применением методик хакеров, нацеленное на выявление максимального количества уязвимостей.
ОтветитьУдалитьto Александр Дорофеев: Мысль, что в идеале тест на проникновение должен комплексно оценить степень защищенности объекта, противоречит факту, что на российском рынке услуг своя «реальность». Здесь пентестер (a.k.a. хакер) получает свои кровные по факту проникновения, работая по шаблонным и хорошо отработанным методикам. И "расширенность" тестирования прямо пропорциональна степени финансовой "вложенности", что, естесственно, уже стремится к расценкам консалтинга.
ОтветитьУдалитьto c0n Difesa: Я не согласен с Вашей точкой зрения и полностью поддерживаю мнение Александра Дорофеева. Во-первых «пентестер (a.k.a. хакер) получает свои кровные по факту проникновения» - это совершенно не так. За мою практику проведения подобных работ, лишь один Заказчик в договор внес дополнительную мотивацию в финансовой форме, в случае успешной атаки к данным держателей карт процессингово центра. Во-вторых «"расширенность" тестирования прямо пропорциональна степени финансовой "вложенности"» - это двоякое утверждение. Тут есть несколько нюансов. Что есть «расширенность» тестирования? Это можно понимать, как сужение или расширение области исследования, а также как качество проводимых проверок в полном объеме для каждого объекта исследования. Что касается финансовой вложенности, то «правильное» тестирование на проникновение, как услуга, достаточно дешевая, а по объему получаемых данных, является большей половиной хорошего аудита. А так как, человеческие ресурсы у нас в России не особо цениться, то…. Вы просто не видели отчетов PT по таким работам (не сочтите за рекламу).
ОтветитьУдалитьto c0n Difesa: «Факт проникновения (пентест) не может давать полной картины защищенности (security-консалтинг).» бесспорно! Однако, «правильный» тест на проникновение очень хорошо показывает, в каком состоянии находятся процессы СУИБ и, в отличие от аудита, не в теоретическом смысле, а в практическом. А это, кстати, очень увязывается с анализом рисков, потому как появляются реальные метрики, которыми можно оперировать.
ОтветитьУдалить