25.01.2010

Польза пентеста или Напугали бабу туфлями на высоком каблуке

Производители пива считают, что населению следует пить больше пива, а исследования, проводимые производителями DVD, неоспоримо доказывают, что ему нужно покупать больше DVD. Не чужды трогательной заботы о человечестве и производители пентестов.

Если мне понадобится дать определение пентеста, в нем будет присутствовать инсайдер. Например, пентест – это когда наемный внешний нарушитель старается изобразить внутреннего. Вне всякого сомнения, для исполнителя данное действо являет собой интересный спорт, сродный постройке корабля в бутылке и переборке двигателя через выхлопную трубу, но потребительскую ценность лучше определять потребителям.

А тут ситуация простая. С точки зрения оценки прочности периметровых средств, это умеренно познавательно. Дальше зависит от осведомленности безопасника о внутренних угрозах. Обычно он о них осведомлен более чем, т.к. несколько тысяч пользователей иногда вводят неверные данные, несколько десятков админов иногда ухитряются поменять и забыть рутовый пароль, несколько сотен хардов иногда делают вид, что на них ничего не клали и т.п.

Во многих случаях вообще достаточно уметь бороться с последствиями и наплевать, откуда они возьмутся. Допустимый простой системы, согласованный с владельцем поддерживаемого ею бизнес-процесса, составляет 4 часа, восстановление из бекапа занимает 2 часа и практикуется с раздражающей регулярностью (спасибо юзерам и производителю ПО) - все в шоколаде.
Мне все равно, каким именно макаром можно вскрыть мой автомобиль. Я знаю, что это возможно, поэтому он застрахован (или криминально непривлекателен), а в салоне не оставляются ценности. Нужен ли мне натурный тест, чтобы принять это решение?

И за умеренную познавательность тоже отвечу. Состояние периметровых средств несет на себе печать внутренних опять же процессов. Если положение дел с патч-менеджментом, аксес-контролем, проверкой логов и т.п. безопаснику известно, состояние средства N в момент M он представляет. Вот точность и интересно проверить.

Так что в нормальном случае пентесты покупаются не для себя, а для демонстрации своей правоты кому-то третьему в споре с кем-то вторым. Атипичные случаи оставим для рекламных презентаций пентестеров.

Продолжение темы

24 комментария:

malotavr комментирует...

Жжошь :)

"Например, пентест – это когда наемный внешний нарушитель старается изобразить внутреннего. "

Если под "изобразить" ты понимаешь "стать Enterprise Administrator'ом" - то, таки, да, чаще всего результат бывает именно таким. Считаешь, что куча проблем, благодаря которым неленивый хакер получит полный контроль над твоими серверами - это "умеренно познавательно"?

"Допустимый простой системы, согласованный с владельцем поддерживаемого ею бизнес-процесса, составляет 4 часа, восстановление из бекапа занимает 2 часа и практикуется с раздражающей регулярностью"

Да ты оптимист :) Если какой-нибудь баловник зальет на все твои циски по по всем регионам битый образ IOS'а, восстанавливаться ты будешь несколько недель. Из собственной практики аудита: восстановление системы вроде той же АБС из бэкапа занимает 4-5 дней, из которых 1-2 дня - собственно разливка, а остальное - допиливание ее напилтьником, чтобы заработала.

"Мне все равно, каким именно макаром можно вскрыть мой автомобиль. Я знаю, что это возможно, поэтому он застрахован (или криминально непривлекателен), а в салоне не оставляются ценности."

Твои информационные системы не представляют для тебя ценности?

"Если положение дел с патч-менеджментом, аксес-контролем, проверкой логов и т.п. безопаснику известно, состояние средства N в момент M он представляет. Вот точность и интересно проверить"

1. Абсолютно неизвестно - так, общие фантазии на тему "Да наши айтишщники все, что нужно делают".
2. Именно ради этого пентесты и проводятся.

Видел я тут результаты пентеста, который провела одна контора. "Мы тут троянчика запустили - и он сработал!". Вот такие результаты действительно на финг никому не нужны.

Dmitry Evteev комментирует...

>> Я знаю, что это возможно,
>> Нужен ли мне натурный тест, чтобы принять это решение?

а что Вы тогда говорите своему руководству? говорите ли Вы ему правду? что всю ИС, защищаемую Вами, может тривиально порутать внешний нарушитель без особых на это вложений? или все-таки руководство думает, что "в Багдаде все спокойно"? :)

неверную позицию Вы занимаете в отношении подобных работ. Пентест – это один из элементов осуществления аудита ИБ...а не "взлом ради взлома", как Вы его воспринимаете.

Ригель комментирует...

Я, если не видно, выделил две темы - прорыв периметра и мощный инсайдер.
Первая действительно умеренно познавательна (как и любые периметры в наше время).
Вторая является вариантом сценария "админом, знающим технику, но не бизнес-процессы, завладели темные силы", прорабатывается с самым заслуженным вниманием, но не является уникальной прерогативой пентестов. Более того, это довольно однобокая моделька, реальные инсайдеры разнообразнее как по знаниям, так и по поведению (могут, например, месяц выжидать между двумя действиями).

Неудачная заливка Иоса и так довольно жизненный случай, чтобы принимать его в расчет. Мне обязательно наводнение устраивать, чтобы в анализе рисков учесть?

malotavr комментирует...

Тогда то, что ты пишешь, не имеет никакого отношения к тестам на проникновение, уж извини.

Тест на проникновение - это исследование, в ходе которого оценивается способность механизмов защиты противодействовать целеустремленному и квалифицированному специалисту. Условно, есть какой-нибудь Дмитрий Евтеев, который сидит в офисе какого-нибудь "Позитив Текнолоджиз", и проверяет, насколько сложно ему будет, не слезая со стула, обойти вашу защиту и получить полный контроль над очень ценным для вас внутренним ресурсом. Если окажется, что легко (а так обычно и оказывается), то вы получаете очень подробный список недостатков, благодаря которым это стало возможным. Список будет длинным :) И к инсайдерам это исследование никаким боком не относится.

Другой вариант теста на проникновение - внутренний, это даже скорее инструментальный аудит. Это когда тот же Дима Евтеев садится с ноутбуком у вас в офисе и начинает изучать, насколько легко вашим сотрудникам обойти вашу защиту. И он никакой не "мощный инсайдер", а обычный клерк, который, как вам кажется, и доступа-то почти ни к чему не имеет. Результат будет тем же.

Ригель комментирует...

К инсайдерам это имеет отношение прямое. Как угонщик разбивает стекло и соединяет провода, мне любопытно в ограниченной мере, а за рулем он действует как водитель.
Третье повторение этого тезиса было последним. Следите за новыми сериями.

toxa комментирует...

Как я и думал, все тут...



> Так что в нормальном случае пентесты покупаются не для себя, а для демонстрации своей правоты кому-то третьему в споре с кем-то вторым.



Вообще-то в нормальном случае (в случае адекватного заказчика) пентесты покупаются как один из эффективных способов проверки адекватности существующих контролей ИБ (технических в первую очередь, конечно). То, что это за контроли, их адекватность (не качество реализации, а именно наличие именно таких выбранных контролей) и применимость - решается на более раннем этапе, самим заказчиком или вместе с констультантом, без разницы. На том самом этапе, где анализируются риски и все такое, ага. То есть пентест вполне себе шикарно ложится в приснопамятную PDCA-модель, прямо в буковку С, и более ни на что не претендует.



"Главная проблема пентестинга в России", впрочем, заключается в том, что озвученные этапы обычно или путаются местами, или вообще заказывается пентест просто потому, что это же клево. Вот в таком случае имеет место быть проблема, озвученная автором.

Dmitry Evteev комментирует...

to malotavr:
>> Условно, есть какой-нибудь Дмитрий...

...жжошь коллега %)))

to Ригель:
>> Как угонщик разбивает стекло и соединяет провода, мне любопытно в ограниченной мере

и очень даже напрасно... если бы Вы предприняли шаги по тому, как пресечь возможность "угонщику разбить стекло и соединить провода", то и не получилось бы действа с водителем за рулем...

to toxa:
>> в таком случае имеет место быть
проблема, озвученная автором

извиняюсь, а какая проблема со слов автора "имеет место быть"? автор говорит про "демонстрацию своей правоты кому-то третьему" и он прав! ты говоришь: "пентест - один из эффективных способов проверки адекватности существующих контролей ИБ" и ты тоже прав! Вы оба правы:) В действительности же, работы по тестированию на проникновение могут преследовать разные цели ;)

Ригель комментирует...

Дмитрий Евтеев:
> если бы Вы предприняли шаги по
> тому, как пресечь возможность
> "угонщику разбить стекло и
> соединить провода

Вот тут и собака! Основной риск связан с тем, что на Вашем автомобиле уедут, а не с тем, что в него попадут (кражу ценностей из салона мы вынесли из рассмотрения).
Поэтому фокусироваться надо в первую очередь на питании двигателя, вращении рулевого вала, переключении передач и т.п.
Пентестеры традиционно сбивают фокус на сам взлом, но он не конечная цель, промежуточная.

Защищать машину от угона через защиту от вскрытия можно, но дорого и, извините за оборот речи, тупо.

toxa комментирует...

Диме:

> извиняюсь, а какая проблема со слов автора "имеет место быть"?

Автор как бы пытается доказать нам, что пентест бесполезен :) Или, говоря более точно, что польза пентеста преувеличена.

Я же говорю, что не стоит плеваться на "Битлз", если тебе их Рабинович напел ;-)

Pento комментирует...

Автору: можно узнать ваш опыт проведения пентестов и работы в ИБ вообще?

malotavr комментирует...

Ригель,
пентестеры тебя сейчас затопчут - просто возьмут количеством :)

А если серьезно: основная польза от пентеста - предоставить заказчику возможность убедиться в том, что его защита существует только в его воображении, и ему еще нужно работать, работать и работать :)

> Как угонщик разбивает стекло и соединяет провода, мне любопытно в ограниченной мере

Дык, вот в это-то и заключается твоя ошибка. Тебе это интересно в ограниченной мере только в том случае, если ты и так знаешь, как это делается. Но заказчик организовывает пентест для того, чтобы убедиться, что он исключил любую возможность угнать машину, разбив окно и соединив провода. И убеждается, что он упустил еще кучу возможностей.

Shaman007 комментирует...

2Rigel:

Кстати, никто стекол в машинах не бьет, чтобы угнать.

Ригель комментирует...

Pento: четырнадцать лет, но все на противную сторону - на покупателя.

Dmitry Evteev комментирует...

to Ригель:

>> Основной риск связан с тем, что на Вашем автомобиле уедут

а то, что его "увезут" Вы не рассматриваете? или, если в сторону BCP, не учитываете, что на него что-нибудь тяжелое может упасть? или, в сторону хулиганства, не предполагаете, что могут побить стекла/проткнуть шины/снять бампер/etc?! Эти "риски" для Вас не риски? :)

>> Пентестеры традиционно сбивают фокус на сам взлом

Приехали;) А автомеханики традиционно "сбивают фокус" на ремонт машины...

Возвращаясь к "пентестерам", а откуда у Вас такое видение?

>> Защищать машину от угона через защиту от вскрытия можно, но дорого

Верно! И все в корне зависит от цены самого автомобиля...

Ригель комментирует...

> Эти "риски" для Вас не риски?

Это другие риски. Когда я говорю о риске угона, то не имею в виду прямое попадание метеорита.

Анонимный комментирует...

>> основная польза от пентеста -
>> предоставить заказчику возможность
>> убедиться в том, что его защита
>> существует только в его
>> воображении, и ему еще нужно
>> работать, работать и работать :)

А можно пример серьезного российского заказчика, который перед пентестом на самом деле воображал, что его взломать не смогут? Мне почему-то кажется, что причин для пентеста в основном две: первая - попытаться пробить бюджет ИБ на следующий год, наглядно продемонстрировав "проблему" руководству; вторая - PCIDSS (ну надо, так надо). Бывают еще и другие причины, но их исчезающе мало (имхо).
Так если задуматься о практической ценности для бизнеса компании первого и второго, что получается? Первое - вообще бред, безопасники и сами могут попытаться провести такой тест и найти основные проблемы (пусть не 100%, но 80%, что уже достаточно). А бюджет надо защищать более цивилизованно.
А второе просто обязаловка. Как-будто при проведении второго пентеста на следующий год проникнуть не удастся?! Уязвимостей скорее всего будет не меньше, просто они будут чуть другими...

Анонимный комментирует...

http://img.leprosorium.com/776665

chinga99 комментирует...

Ну все проще пареной репы. Господа позитивисты занимаются тем, что "подогревают" рынок :) Они тоже хотят кушать свой бутерброд с красной икрой. А господин Ригель не хочет им этот бутерброд отдавать. У каждого своя правда. Хотя мой опыт показывает, что крупнейшие российские организации, в которых безопасностью занимаются даже не десятки человек, добрая сотня (есть и такие, да), вообще не рассмотривают внешних нарушителей. Самое актуальное на их взгляд (и я соглашусь) - это именно инсайдер, а точнее, сговор одного и больше инсайдеров с разными полномочиями, позволяющими обойти, например, ограничения типа "принципа двух рук".
Хотя с другой стороны, незачем пытаться свести пентест сугубо к техническому проникновению извне или изнутри периметра. Это ведь и социальный инжиниринг. Об этом господа позитивисты не могут же не знать, тем более что на послейдней "Инфосекьюрити Раша" они присутствовали.

chinga99 комментирует...

И еще вдогонку. То, что какой-то там гипотетический хакер может получить рута на сервере (допустим), сиса в оракле (тоже допустим, хотя уже менее вероятно), да еще и сможет извлечь из БД какое-то осмысленные данные (типо, я не знаю, финансовых транзакций, которые проводятся в АБС несколькими разными проводками), вероятно. Все, что может произойти с вероятностью 1/100000 тоже ведь вероятно. Но какая, на ваш взгляд, уважаемые позитив-технологи, эта вероятность.
А восстановление СУБД и правда не такое длительное, что его невозможно пережить, если бэкап нормально делается. Вы же знаете, что бэкап бывает инкрементный, правда? И восстановленная с такого бэкапа банковская система не требует никакой "многодневной заточки". В худшем случае - несколько некритичный процедур или отчетов... Так что может не надо, а?

Анонимный комментирует...

2chinga99.
вынужден огорчить,
root, sysdba и др. - это не 1/100000,
а суровая реальность.

Dmitry Evteev комментирует...

to chinga99:

:) если стоит задача получить доступ к информации в удобочитаемом виде, то атакующий спланирует атаку таким образом, чтобы получить доступ к интерфейсу, а к не к "сырым" данным в СУБД.

>> Самое актуальное на их взгляд (и я соглашусь) - это именно инсайдер

а промышленный шпионаж? и в качестве наблюдателя внешний нарушитель?

>> Это ведь и социальный инжиниринг. Об этом господа позитивисты не могут же не знать

и как же Вы к такому выводу пришли? ;)

>> Но какая, на ваш взгляд, уважаемые позитив-технологи, эта вероятность.

мы работаем над выведением метрик.

>> А восстановление СУБД и правда не такое длительное, что его невозможно пережить, если бэкап нормально делается.

как-то вы странно с "конфиденциальности" переключились на "доступность"...

chinga99 комментирует...

Уважаемый Дмитрий, я так полагаю, что ваше любимое кино про Агента 007? Ну какой промышленний шпионаж (в качестве осмысленного аргумента, приму только статистические данные)? :)
А по поводу доступа к интерфейсу, не совсем понятно, что есть, по-вашему, интерфейс? "SQL-навигатор" чтоли? Ну получите вы доступ, ну и что? Селектик сможете написать? Ну а дальше что? Ничего осмысленного все равно не добьетесь, не зная структуры таблиц. Зачем спорить с очевидным? У нас разработчки-то не всегда знают, что в какой таблице хранится, а про то, что бывает такая штука, как словарь данных, вообще мало кто из них слышал.
По по поводу "конфиденциальности" и "доступности", я-то как раз никуда не переключаюсь, а просто последовательно парирую Ваши же собственные идеи в Вашей же последовательности :).
Что же касается метрик, очень любопытно, с удовольствием ознакомимся.

Dmitry Evteev комментирует...

Уважаемый chinga99!

>> я так полагаю, что ваше любимое кино про Агента 007?

нет, Вы ошиблись

>> Ну какой промышленний шпионаж (в качестве осмысленного аргумента, приму только статистические данные)

статистических данных нет. могу лишь заверить, что при последних работах именно это была ключевая цель пентеста со стороны ген. директора, т.е. возможность съема конкретного потока данных с определенных компьютеров.

>> что есть, по-вашему, интерфейс?

Web-приложение, настроенное рабочее место пользователя, GUI, etc

Dmitry Evteev комментирует...

to malotavr:
>> Условно, есть какой-нибудь Дмитрий...

...жжошь коллега %)))

to Ригель:
>> Как угонщик разбивает стекло и соединяет провода, мне любопытно в ограниченной мере

и очень даже напрасно... если бы Вы предприняли шаги по тому, как пресечь возможность "угонщику разбить стекло и соединить провода", то и не получилось бы действа с водителем за рулем...

to toxa:
>> в таком случае имеет место быть
проблема, озвученная автором

извиняюсь, а какая проблема со слов автора "имеет место быть"? автор говорит про "демонстрацию своей правоты кому-то третьему" и он прав! ты говоришь: "пентест - один из эффективных способов проверки адекватности существующих контролей ИБ" и ты тоже прав! Вы оба правы:) В действительности же, работы по тестированию на проникновение могут преследовать разные цели ;)

Отправить комментарий