27.01.2010

Пены и пенсилы или польза пентеста - 2

Как почти догадался toxa, я не против хорошего, а против плохого.

Вон антибиотики - вещь полезная. Но не лишенная противопоказаний и побочных проявлений, довольно дорогая, продающаяся упаковкой, требующая изучения инструкции, соблюдения схемы приема, срока и условий хранения. Короче, нормальная палка о двух концах: есть свои плюсы, есть свои минусы, плюсы традиционно перевешивают.
В каких-то случаях антибиотики незаменимы, в каких-то можно было обойтись компрессами и теплым питьем, в каких-то меньшими дозами или уже имеющимся препаратом и т.п.

Исследовательские методы бывают разные. Можно их поделить так или этак, главное - есть что делить.
Отечественному инженеру (про магистра/бакалавра врать не буду) говорили, что есть эмпирические, теоретические и комбинированные. Эмпирические делятся (удивлены?) на анализ документов, наблюдение, интервью, опрос и практический эксперимент, а теоретические на логические (индукция/дедукция, анализ/синтез), прогноз, оценку, причинно-следственный анализ и мысленный эксперимент (возможно, что это уже гибриды).
Даже в прожиточном минимуме иноземного BCPшника есть paper test, preparedness test и full operational test, в каких-то смежных культурах вместо paper попадается pencil.
Уверен, что читатель назовет более удачные классификации, потому что он гораздо круче.

Примечательно, что в каких-то ситуациях живой тест не только более дорог и трудоемок, но и сливает в точности. Очевидный пример: систему А проверка защищенности застала в состоянии "админ только что накатил патчи за очередные полгода", а систему Б в состоянии "админ ставит патчи ежеквартально, но квартал кончается завтра" - выводы будут обратны реальному положению дел.

Вы когда-нибудь слышали, чтобы покупателю рассказывали, что вот это и это ему лучше снять самому, это прокатаем опросом, это пройдем по бумаге, а вот тут имеет смысл пропентестить? Либо он сам должен понимать, где имеет смысл прикупить данные натурного эксперимента, а где воспользоваться альтернативами; либо быть достаточно богатым, чтобы купить натуру по-полной, а результаты использовать творчески; либо понеслась.
Так и проще, и выгоднее, и увлекательнее, а лох сам виноват.

p.s. Буду очень благодарен за ссылки, в которых пентесты имеют альтернативы и являются частью большого мира.

21 комментарий:

toxa комментирует...

> Буду очень благодарен за ссылки, в которых пентесты имеют альтернативы и являются частью большого мира.

В моем текущей жизни, например, пентесты как раз являются частью большого мира и занимают свое определенное место.

"Альтернативы" - плохое слово. Пентесты не имеют альтернатив и не должны их иметь - они ничего никому не должны. А вот организация, которая озабочена пентестингом своих estates, должна понимать, что "пентест раз в год, с пятого по десятое, и довольно" - это нонсенс, и должна исповедовать процессный подход с использованием дополнительных контролей ИБ в своем IS-мире. Эти контроли должны взаимно дополнять друг друга для отрисовки адекватной картины.

Как пример к "очевидному примеру": если патч-менеджмент налажен и не на словах, а подтверждается, например, статистикой регулярных vuln сканов, то скореллированные с двух процессов (пентест и vuln скан) выводы не будут противоречить реальности. И плох тот пентестер, который выводом напишет "у вас тут патч не стоял, ставьте патчи" и ограничится на этом. Возможность проникновения "в патч-окно" - отличный способ проверить эффективность других защитных мер, что нормальный пентестер не применит сделать. И укажет это в отчете.

Возвращаясь к реальности, опять-таки, "главная проблема пентестинга в России - это лично ты", потому что ты не понимаешь, зачем он тебе (если ты заказчик) или не можешь объяснить, зачем и с какой целью ты его делаешь (если ты исполнитель).

С другой стороны, если бы все пентестерские конторы в России ждали бы морального и техническо-процессуального совершенствования клиентской базы, предлагая им "бесплатный пентест по-шнайеру", то пентестерам было бы сейчас нечего кушать ;-)

Ригель комментирует...

Этак любую проблему можно свести к коммуникации (заказчик не озвучил цели или исполнитель их не расслышал).
Но есть недостатки и ограничения самого метода, и их нужно доносить в обратном направлении, мне кажется.

malotavr комментирует...

"Вы когда-нибудь слышали, чтобы покупателю рассказывали..."

Слышали :)

Когда вы приходите на медецинское обследование, вам дают направление на анализы, кардиограмму, на прием к психоневрологу и окулисту и т.п.

Какие-то исследования сводятся к опросу, а какие-то - вполне себе натурные (вроде эхогардиограммы, которая снимается при физичекой нагрузке). Некоторые - вы не поверите - делаются пациентом самостоятельно (вроде составления среднемесячного температурного графика при диагностиhjdfybb некоторых гинекологических заболеваний). И для диагностики определенных проблем используются все эти методы в комплексе, и они не взаимозаменяемы :)

"Очевидный пример: систему А проверка защищенности застала в состоянии "админ только что накатил патчи за очередные полгода", а систему Б в состоянии "админ ставит патчи ежеквартально, но квартал кончается завтра"

В этом сфероконическом случае результатах пентеста будет отмечено, что в системе B есть уязвимости, патчи к которым выпущены три месяца назад. И когда на защите результатов ИТ-директор заявит, что это допускается политикой безопасности, к перечню мероприятий по устранению выявленных недостатков заказчик собственоручно добавит еще и изменение указанного недостатка в политике безопасности.

Случай А на практике не встречается? вместо этого почти поголовно встречаются уязвимости, патчи к которым вышли несколько лет назад.

Ригель комментирует...

> Когда вы приходите на медецинское обследование

Я имел в виду, является ли это нормальной практикой на ибшном рынке. Прошу извинить за неточность.

malotavr комментирует...

> Я имел в виду, является ли это нормальной практикой на ибшном рынке. Прошу извинить за неточность


Я так скажу, на примере офтальмологии. Существуют институт Гемгольца и клиника Федорова, и параллельно существует белый маг Васисуалий Лоханкин, чья чудодейственная сила прозрения подтверждается сертификатом "Вселенского духа католического вуду". Так вот, я могу отвечать только за Гемгольца и Федорова: да, для них это является нормальной практикой.

Беда в том, что наряду с двумя-тремя клиниками на ИБшном рынке существует десяток Лоханкиных, некоторые из которых действительно что-то умеют - но именно, что только "что-то". И, к сожалению, для рядового ИБшника разницы между ними нет. Для того, чтобы понять разницу, нужно хотя бы раз поработать с нормальной клиникой.

Ригель комментирует...

> будет отмечено, что в системе B
> есть уязвимости, патчи к которым
> выпущены три месяца назад

В абсолюте это неплохо.

Но если сравнивать с простым предсказанием, основанном на анализе документации и аудиторских отчетов, и гласящим, что средний возраст дыры 1.5 месяца - это не такое уж и откровение.
Но за денюшку.

Ригель комментирует...

> наряду с двумя-тремя клиниками на ИБшном
> рынке существует десяток Лоханкиных
> чтобы понять разницу, нужно хотя бы
> раз поработать с нормальной клиникой

Если мы Ригель и Malotavr, а не Иванов из конторы1 и Петров из конторы2, то логично говорить про среднерыночную ситуцию, а не в конторах 1 и 2.

malotavr комментирует...

"логично говорить про среднерыночную ситуцию"

Среднерыночную по какой выборке? По всем, кто утверждает, будто он проводит пентесты? :)

Врач Борисова из института Гемгольца и шаман Лоханкин делают две принципиально разные работы. Одна диагностирует заболевания роговицы глаза и назначает лечение, а второй камлает. Каждый называет свою работу "лечением заболеваний глаз". Предлагаешь их поусреднять? Я против.

Поэтому вопрос в том, что называть пентестом. Если вообще любую дейстельность, связанная с оценкой практической защищености, то это некорректно. Если под пентестом понимать комплекс работ, предусмотренных, напрмер, стандартом OSSTMM - тогда Лоханкины идут лесом, и, таки, да, описанный мной подход является нормальной практикой на ИБшном рынке.

"Но если сравнивать с простым предсказанием, основанном на анализе документации и аудиторских отчетов, и гласящим, что средний возраст дыры 1.5 месяца - это не такое уж и откровение."

Ты хотел сказать "среднее время между выпуском патча к ОС от Microsoft и его установкой" :) Не думаю, что ты сможешь назвать аудитора, который сходу назовет, какие уязвимости были устранены в версии 1.2.3 какой-нибудь оренсорсной CMSки. Не думаю, что аудитор сможет найти несанкционированно опубликованный нарушу 22-й порт на уиске.

И вообще, между пентестером и аудитором есть большая разница. Аудитор посмотрит правильно натроенную на парольнубю политику, и скажет, что она хороша. А пентестер, посмотрев на эту же политику, найдет тебе 1-2% учетных записей, пароли к которым этой политике не соответствуют. Вот тебе и откровение.

Ригель комментирует...

О чем мы спорим? Оптимальный метод - это тот, который больше отвечает целям исследования. В каких-то случаях, это только пентест. Если не только, то надо смотреть пожелания по цене и скорости получения результата.
Когда нужен примерный ответ сейчас (гипс снимают, клиент уезжает - ну как обычно), а не точный через два месяца, то какой к черту пентест?

malotavr комментирует...

Спорим исключительно об определении термина "пентест" :)

Я так понимаю, отношение к различным сущностям, которые обозначают этим словом, у нас одинаковое.

Dmitry Evteev комментирует...

to Ригель:

>> Этак любую проблему можно свести к коммуникации

"Сделайте мне так, чтобы было хорошо", сказал Заказчик...

Ригель комментирует...

malotavr'у:

Конечно.

Но смотри: когда вы в прессе, на конференциях и т.п. двигаете свои пентесты, то двигаете на самом деле два товара - пентестинг от компании XYZ и пентесты_ваще, пентесты как продукт. Популяризация и создание спроса на пентесты как таковые.

Так же реклама пива N продвигает пиво N и пиво как таковое, пиво как альтернативу мороженому, пиво как альтернативу просто свежим воздухом подышать, пиво как средство от жажды, пиво как лайфстайл, понимаешь?

В прайсе XYZ этих условноабстрактноусредненных пентестов конечно же нет. Их вообще нигде нет. Но они есть. Именно вот эти вот "обычные пентесты", являющие среднее арифметическое из презентаций-публикаций вашего брата.

Ригель комментирует...

Дмитрию Евтееву:
Ну, что тут сказать - повезло! Хотя незрелость потребителя штука обоюдоострая, вообще говоря.

malotavr комментирует...

"Но смотри: когда вы в прессе, на конференциях и т.п. двигаете свои пентесты, то двигаете на самом деле два товара - пентестинг от компании XYZ и пентесты_ваще, пентесты как продукт"

Я тебя отлично понимаю, более того, я с тобой практически согласен :)

Тут вот в чем фокус. Когда мы или, скажем, Медведовский говорим о пентесте, мы говорим о нем в строго определенном контексте. За Digital Security не скажу, но для нас пентест - не столько способ заработка (зарабатываем мы на другом), сколько вопрос престижа и профессиональной гордости. Слова пафосные, но это так :) Будет возможность - заглядывай в гости, убедишься сам :)

Но мы на этом рынке не единственные, и регулярно появляется новый игрок, который пытается по-легкому срубить бабла, продавая под видом пентеста внешнее сканирование XSpider'ом или расылку троянов пользователям. При этом он пользуется неосведомленностью заказчика, а заодно бьет по репутации пентестеров вообще и нашей в частности.

Поскольку такие компании будут всегда, у нас есть только два пути:
1. Последовать примеру французов, заявив, что то, что производим мы, это cognac, а все остальное - brandy;
2. Довести до сведения заинтересованных лиц, что существуют определенные стандарты качества, так чтобы отделить агнцев от козлищ можно было уже на этапе постановки задачи на пентест.

Мне больше импонирует второй вариант :)

Ригель комментирует...

Я тоже тебя прекрасно понимаю, но ролевая ситуация обязывает ответить, что "проблема на вашей стороне".

malotavr комментирует...

"проблема на вашей стороне"

Пойду микроскоп поменяю, а то что-то в упор проблемы не вижу :)

Полагаю, нам будет вполне достаточно, если аудитория просто начнет понимать, на какие результаты пентеста она реально может рассчитывать. Тогда, если оно ей, этой аудитории, надо, она сама начнет нагибать исполнителей на предоставление такого результата. А если не начнет - значит не особенно оно ей и надо. :)

toxa комментирует...

Рискну сойти за Дартаньяна, но скажу, что в обсуждении пользы пентеста здесь упущен главный момент. Пентестеры, даже самые грамотные, которые просвещают заказчиков на тему "стандартов качества" (и это правильно), отвечают тем самым лишь на вопрос "что и как". Однако более важный вопрос - "когда" - сознательно упускается (точнее, на нем не делается акцента). Именно потому, что пентестерам надо кушать сейчас, а не когда у заказчика все станет настолько хорошо, чтобы можно было придти с полной отдачей отпентестить.

Кто-то подметил на последней Инфосекурити, что "что-то никто не рассказывает в этом году про СУИБ и про 27001 - что, неужели тут все комплайнутые?". К сожелению, как и многое в этом мире, российский рынок ИБ сильно подвержен моде. Есть мода на ISO - говорим. Нету - ладно. Взлетела мода на пентесты (PCI, хуле - русского человека пока в комплаенс не загонешь, он не чешется) - давайте про них говорить. Правильно говорить, умно, со стандартами качества и отделением агнцев от козлищ...

Только вот мир к лучшему так все равно не изменишь ;)

Dmitry Evteev комментирует...

>> Однако более важный вопрос - "когда" - сознательно упускается

"когда", что?

toxa комментирует...

"Когда" компании есть смысл делать "правильный" пентест, вот что :-)

Ты ведь прекрасно понимаешь, что для 90% твоих заказчиков самым эффективным по сочетанию "цена/результат" пентестом будет уже упоминавшийся мной тут "пентест по шнайеру".

Dmitry Evteev комментирует...

>> Ты ведь прекрасно понимаешь, что для 90% твоих заказчиков самым эффективным по сочетанию "цена/результат" пентестом будет уже упоминавшийся мной тут "пентест по шнайеру".

нет, не знаю:) убежден в обратном.

Ригель комментирует...

Дмитрию Евтееву:
Ну, что тут сказать - повезло! Хотя незрелость потребителя штука обоюдоострая, вообще говоря.

Отправить комментарий