Услуги по тестированию на проникновение и анализу защищенности предлагают сегодня все кому не лень. Оно и понятно. Такие работы позволяют с минимальными временными и финансовыми затратами выявить существенные недостатки в реализации системы управления информационной безопасности. Поэтому услуги по тестированию на проникновения являются все более и более востребованными в настоящее время.
Одним из ограничений анализа защищенности, и, тестирования на проникновение в частности, является то, что не существует четких критериев оценки качества предоставляемых услуг. Таким образом, Заказчику остается только уповать на методику Исполнителя и опыт участников, которые непосредственно проводят подобный анализ.
Я бы не поднял эту тему, не окажись у меня на руках отчет о проведенном пентесте одним из крупных и всеми любимых системных интеграторов. Назовем этого системного интегратора компанией X, а Заказчика услуг компанией Y. По иронии судьбы позитивная бригада пентестеров провела периметровый пентест в отношении области исследования компании Y, безопасность объектов которой была проанализирована с использованием методики тестирования на проникновение буквально за три недели до начала наших работ. Это позволило провести объективное сравнение качества предоставляемых услуг в этом направлении обеими компаниями исполнителями. Были получены следующие результаты:
Кроме того, оценивая осведомленность сотрудников Заказчика в вопросах информационной безопасности, компания X сделала вывод, что осведомленность сотрудников компании Y является высокой. К другому мнению пришла позитивная компания, сделав вывод, что осведомленность сотрудников в вопросах информационной безопасности в компании Y является средней, потому как до 5% пользователей перешли по предложенной ссылке, полученной от неизвестного им лица. Учитывая, что в ходе проверок использовался упрощенный вариант атаки, в реальных условиях процент успешных атак может быть гораздо выше. Кроме того, позитивная компания сделала также акцент на имеющиеся недостатки в обеспечении безопасности рабочих станций конечных пользователей компании Y.
Отсюда делаем выводы, самостоятельно :-)
Одним из ограничений анализа защищенности, и, тестирования на проникновение в частности, является то, что не существует четких критериев оценки качества предоставляемых услуг. Таким образом, Заказчику остается только уповать на методику Исполнителя и опыт участников, которые непосредственно проводят подобный анализ.
Я бы не поднял эту тему, не окажись у меня на руках отчет о проведенном пентесте одним из крупных и всеми любимых системных интеграторов. Назовем этого системного интегратора компанией X, а Заказчика услуг компанией Y. По иронии судьбы позитивная бригада пентестеров провела периметровый пентест в отношении области исследования компании Y, безопасность объектов которой была проанализирована с использованием методики тестирования на проникновение буквально за три недели до начала наших работ. Это позволило провести объективное сравнение качества предоставляемых услуг в этом направлении обеими компаниями исполнителями. Были получены следующие результаты:
Кроме того, оценивая осведомленность сотрудников Заказчика в вопросах информационной безопасности, компания X сделала вывод, что осведомленность сотрудников компании Y является высокой. К другому мнению пришла позитивная компания, сделав вывод, что осведомленность сотрудников в вопросах информационной безопасности в компании Y является средней, потому как до 5% пользователей перешли по предложенной ссылке, полученной от неизвестного им лица. Учитывая, что в ходе проверок использовался упрощенный вариант атаки, в реальных условиях процент успешных атак может быть гораздо выше. Кроме того, позитивная компания сделала также акцент на имеющиеся недостатки в обеспечении безопасности рабочих станций конечных пользователей компании Y.
Отсюда делаем выводы, самостоятельно :-)
А что бралось за 100%? Логично, что 100% - это максимум из двух показателей - показателя компании X (неужели, Информзащита??) и вашего. Но тогда почему в правом графике 100% не достигнуто?
ОтветитьУдалитьКак говорится, "-Ту мильен доларз? -Нипаняяятна" (с)
Ну и еще логичный вопрос, насколько пересекаются ваши findings? Т.е. понятно, что существуют уязвимости, которые нашли вы и не нашли они, а как насчет наоборот?
Или Х-отчет (хе-хе) был у вас на руках перед началом работ?
Тьфу, в левом графике, конечно. Эвон как бывает :)
ОтветитьУдалитьНемного предыстории. Заказчику продали периметровый пентест, которому буквально три недели до этого проводились аналогичные работы компанией X. Скоп полностью совпадает. После проведенного нами пентеста, Заказчиком был передан нам отчем по пентесту компанией X.
ОтветитьУдалитьТеперь по критериям сравнения. Учитывались только уязвимости, которые были продемонстрированы в ходе тестирования на проникновение. Два набора данных – критические уязвимости (SQLi, LFI, успешный подбор паролей, успешно проэксплуатированная уязвимость в демоне и т.п.) и уязвимости среднего уровня опасности (например, XSS). Сравнив критические уязвимости найденные нами и компанией X, я не нашел уязвимостей, которые нашла компания X и не нашли мы. Следовательно, количество найденных нами уязвимостей - 100%. Аналогично по уязвимостям среднего уровня критичности.
Самый первый столбик сформирован из количества хостов (по тому же принципу, как и с уязвимостями), содержащие критические уязвимости и на которых были успешно получены максимальные привилегии в системе (например, привилегированный доступ к сетевому оборудованию или root на ОС).
Спасибо за разъяснения. Молодцы, в 6 раз - это круто.
ОтветитьУдалитьТолько я все равно не понял, почему в первом столбике не 100%. Тут как: либо вы меряете полноту относительно некоторого "идеального пентеста", и вам известно общее количество уязвимостей; или же вы друг с другом сравнение проводите - и тогда кто-то из вас должен стать 100%. Я что-то не допонял?
очень просто, например, есть уязвимость SQL Injection на сайте под MySQL, которую мы нашли, но раскрутить ее нам не удалось (пользователь не обладает file_priv, админки нет)
ОтветитьУдалитьВсе, got it!
ОтветитьУдалитьТ.е. они (Х) получили максимальные привилегии на четверти машин из тех, на которых нашли критические уязвимости. А вы получили на 3/4 машин.
Т.е. на столбике откладываются именно _проценты_ p0wned машин. Если бы там были не проценты, график выглядел бы еще более удручающим:
PT - N*0.75 p0ned hosts
X - N*0.16*0.25 p0wned hosts
X/PT - 0.16/3=~0.055, т.е. 5% :)
типо того))
ОтветитьУдалитьКруто ;) А по ценам тоже так было, что их цена - 5% от вашей?
ОтветитьУдалитьЕсли исходить из треугольника качество-скорость-стоимость, и считать, что скорость у Х и PT равна, то, а (качество X) = 5%*(качества PT), то нужна стоимость...
Как бы там ни было, я все-равно знаю, что цифр не дадут...
разумеется нет)) однако, предполагаю, что ценовая категория сопоставима...
ОтветитьУдалитькстати, а ты можешь disclose, какой процент критических уязвимостей вы нашли автоматически с помощью инструментальных средств?
ОтветитьУдалитья не рассматривал уязвимости, найденные с использованием инструментальных средств...
ОтветитьУдалить>"осведомленность сотрудников в вопросах информационной безопасности в компании Y является средней, потому как до 5% пользователей перешли по предложенной ссылке, полученной от неизвестного им лица"
ОтветитьУдалитьПодскажите, пожалуйста, в каких стандартах, методиках или рекомендациях описаны % соотношения для оценки осведомлённости сотрудников в вопросах информационной безопасности.
обычная статистика
ОтветитьУдалитьТоесть, 5% перешедших = средняя осведомлённость – это оценка, основанная на опыте проведения социо-технологических пентестов?
ОтветитьУдалитьдо 60% - средний показатель при целевой рассылке
ОтветитьУдалить30%-40% - средний показатель при целевой массовой рассылке
до 10% - средний показатель при массовой рассылке
см. http://devteev.blogspot.com/2009/12/7.html
Спасибо!
ОтветитьУдалитьЕще Дмитрий добавил бы, что точнее не просто переход по ссылке (хотя иногда достаточно и этого), но и совершение последующих действий (ввод данных в формы, если фишинг или другие попытки раскрутки жертвы = развития атаки).
ОтветитьУдалитьКроме статистики к сожалению пока нет никаких методологий, которые бы со 100% уверенностью измеряли уровень осведомленности, так как эта категория ближе к социологическим измерениям.
Как вариант можно опираться на европейцев
http://www.enisa.europa.eu/act/ar/deliverables/2007/kpi-study/en
Немного удивило насчет:
ОтветитьУдалить"Услуги по тестированию на проникновение и анализу защищенности предлагают сегодня все кому не лень. Оно и понятно. Такие работы позволяют с минимальными временными и финансовыми затратами выявить существенные недостатки в реализации системы управления информационной безопасности."
Я участвовал в тесте на проникновение и не представляю как можно качественно его сделать за 3 недели.
Ах как хотелось бы увидеть обьем работ.....
Если не секрет, сколько позитивная компания закладывает по времени на пентест(минимум/максимум) ?
to Vladimir Tkachenko:
ОтветитьУдалитьСовершенно с Вами согласен! Более того, даже метрики, которые мы пытаемся объединить по результатам проведенных работ, могут очень сильно расходится. И они совершенно не зависят от критериев, которые многие пытаются выдавать за истину.
to JK:
>> Ах как хотелось бы увидеть обьем работ.....
4 сети класса C - в среднем обычный периметровый пентест
сеть на ~2000 сотрудников - в среднем обычный внутренний пентест
>> Если не секрет, сколько позитивная компания закладывает по времени на пентест(минимум/максимум) ?
сроки очень сильно могут расходиться. И больше это даже зависит не от объема работ, а от желаемой бюрократии Заказчиком :(
если очень усреднено, то пентест по скопу выше с командой в 5 человек можно выполнить за 15-30 дней. Для примера, анализ системы интернет-банкинга с той же командой может достигать 30-ти дней.