что такое пентест и для чего он нужен
Что такое пентест и для чего он нужен?
Что такое пентест?
Если бы хакеры собирались совершить атаку на Вашу систему безопасности: как они это сделают и получиться ли у них? Тестирование на проникновение не заканчивается просто на обнаружении способов, с помощью которых потенциальный кибермошенник может получить несанкционированный доступ к конфиденциальной информации или захватить полный контроль над системой.
Пентестеры имитируют реальную атаку, просматривая сеть, сайт, приложения, устройства, возможность физического доступа, что бы определить, как будет работать механизм защиты. Они выполняют оценку не только с точки зрения хакера, но и эксперта в области кибербезопасности, что позволяет проанализировать соответствие политики кибербезопасности организации и осведомленности ее сотрудников об угрозах, например, со стороны социальной инженерии. В то же время определяют способность предприятия выявлять и своевременно реагировать на подобные инциденты.
Для общего представления можно привести пример с банком, который нанимает специального человека, делает из него «грабителя» и отправляет в отделение, с целью получить доступ к хранилищу. Если этот человек сумеет попасть в хранилище, то служба безопасности получит не только выговор, но и ценную информацию о том, как можно улучшить систему защиты и какие аспекты требуют более детального рассмотрения.
Кто проводит пентест?
Кто-то может сказать, что лучшим кандидатом будет сотрудник службы безопасности организации, который знает систему изнутри, ее слабые и сильные стороны, однако не все так однозначно. Если тест на проникновение будет проводить специалист с минимальным уровнем знаний о построенной системе защиты он с большей вероятностью найдет, так называемые, «слепые пятна», пропущенные разработчиками при построении и организации уровней защиты. Именно по этой причине, для проведения пентеста обычно заказывают услуги сторонних подрядчиков специализирующихся в данной сфере.
На эту роль также подойдут хакеры, «этические» хакеры (так же называемые, как «белая шляпа»). Эти ребята имеют большой опыт, который применяют в благих намерениях, с целью, повышения безопасности.
Лучшего кандидата не найти, поскольку все осуществляется индивидуально, все зависит от стратегии и вида пентеста, который желают выполнить представители организации.
Что включает в себя пентест?
Какие существуют виды пентестов (тестов на проникновение)?
Какие этапы проведения пентеста?
Зачем требуется проводить пентест?
Тестирование на проникновение показывает реальную картину существующей угрозы в системе безопасности и определяет уязвимости организации к ручным атакам. Проведения пентеста на регулярной основе позволит определить технические ресурсы, инфраструктуру, физические и кадровый арсенал содержащие в себе слабые аспекты, которые требуют развития и усовершенствования.
Именно, по той же причине, по которой Вы обращаетесь к доктору для ежегодной проверки здоровья, имеет определенный смысл обратиться к высококвалифицированным консультантам по безопасности для проведения тестирования безопасности. Конечно, можно сказать, что Вы абсолютно здоровы, тем не менее, специалист может провести тесты, чтобы обнаружить опасности, о которых, возможно, Вам даже неизвестно.
Где получить теоретические и практические навыки пентеста?
В Интернете существует огромное количество различных курсов по тестированию на проникновения, как бесплатных, так и платных. Каждый из них имеет базовую информацию и понятия о том, как проводится пентест и, как он работает, но стоит отметить тот факт, что не каждый из них даёт практические навыки. Поэтому в рамках данной статьи мы порекомендуем только один курс, пройдя который Вы будете обладать не только теоретическими навыками пентеста, но и будете готовы к реальной работе пентестером web приложений.
Курс «Тестирование Web-приложений на проникновение» от команды форума codeby.net, представляющей собой один из лидирующих порталов по информационной безопасности в Интернете. Сразу стоит отметить тот факт, что он не бесплатный и его стоимость весьма внушительная, но оправдана тем, что продолжительность курса составляет 4,5 месяца. За столь продолжительный период времени обучения у Вас будет возможность:
полностью погрузиться в мир пентеста и узнать его от «А до Я»;
узнать о самых актуальных методах пассивного сбора информации о web приложениях;
получить базовые и продвинутые техники активного фаззинга (рассматриваемый софт: BurpSuite, GoBuster, FuzzDB, Wfuzz);
овладеть навыками эксплуатации и защиты от всех видов современных уязвимостей веб приложений (в разделе рассмотрены основные типы уязвимостей web-приложений, приведены примеры их реализации и методы защиты. Представлены практические задания);
провести пост-эксплуатацию (закрепление в системе, повышение привилегий на скомпрометированном сервере и развитие атаки);
познать социальную инженерию для пентестера и защиту от неё (изучение цели, поиск подхода, влияние на человека с целью, получения необходимых данных);
узнать площадки для продвинутой эксплуатации уязвимостей (рассматриваются площадки, где можно правомерно применять и развивать Ваши новые навыки, приобретенные в ходе прохождения курса);
после обучения получить сертификат, который высоко ценится крупнейшими работодателями.
С полной программой курса Вы можете ознакомиться на официальной странице курса «Тестирование Web-приложений на проникновение».
Стоит также отметить, что при прохождении курса у Вас будет доступ к текстовым и видео материалам, персональные консультации преподавателей в рамках курса, доступ к чату и приватному разделу курса на форуме, а также премиум доступ к платным материалам сообщества на 1 год!
Что такое пентест (pentest)?
Автор статьи:
Музалевский Фёдор Александрович
Пентест (penetration test, пенетрейшн тест) – тестирование на проникновение и безопасность, иначе анализ системы на наличие уязвимостей. Это метод оценки безопасности информационной системы путем моделирования атаки злоумышленников. Пентестинг ведется с позиции потенциального атакующего и может включать в себя активное использование уязвимостей системы.
Какая цель пентеста (тестирования на проникновение)?
Цель тестирования – обнаружить возможные уязвимости и недостатки, способные привести к нарушению конфиденциальности, целостности и доступности информации, спровоцировать некорректную работу системы или привести к отказу от обслуживания, а так же спрогнозировать возможные финансовые потери и экономические риски. Тестирование затрагивает как виртуальный уровень, так и физический.
По результатам тестирования на проникновение дается оценка возможностей текущего уровня защищённости выдержать попытку вторжения потенциального злоумышленника, данные о количестве времени и ресурсов, требуемых для успешной атаки на заказчика. В случае выявления уязвимостей в обязательном порядке составляется список рекомендаций по устранению вышеуказанных уязвимостей.
Что входит в тестирование на проникновение?
Суть работ заключается в моделировании действий злоумышленника, намеренного получить доступ к информационным системам заказчика и нарушить целостность, конфиденциальность либо доступность принадлежащей заказчику информации. Самыми частыми объектами исследований являются:
Программы для проведения пентеста
В penetration test используются определенные программы для работы с уязвимостями систем, например:
Примеры пентестинга
Какие вопросы ставятся перед специалистами, методика тестирования на проникновение, как выглядит процесс тестирования? Расскажем об этом на примере тестирований, проведенных нашими экспертами:
Что является результатом пентеста?
Результатом проведенного теста на проникновение является отчет специалиста. Форма и содержание отчета не регулируется на законодательном уровне, что указывает на то, что формат отчета определяется экспертом, его составляющим. Обычно отчет содержит следующие данные:
Таким образом, по результатам проведения penetration test заказчик получает полную информацию об уязвимостях собственной информационной системы, а так же конкретные указания и рекомендации к устранению этих уязвимостей.
Заключение
Тестирование на проникновение проводится с применением широкого списка специализированных программ и приложений (подбор паролей, поиск уязвимостей портов IP-сетей, обнаружение вредоносных программ) и охватывает большое количество пунктов проверки. Самые распространенные из них:
В соответствии с Постановлением Правительства РФ от 3 февраля 2012 г. N 79 «О лицензировании деятельности по технической защите конфиденциальной информации» тестирование на проникновение является лицензируемым видом деятельности и проводить пентест имеют право только организации имеющие лицензию ФСТЭК на ТЗКИ.
Тестирование на проникновение. Эффективность vs популярность
Тестирование на проникновение становится все более востребованным при определении рисков информационной безопасности. Новости об успешных взломах сайтов и утечках важных данных подстегивают бизнесменов оценивать вероятность взлома их критичных систем. Когда тест на проникновение действительно может быть полезен, а в каких случаях окажется пустой тратой денег?
Что такое тестирование на проникновение?
Тестирование на проникновение (тесты на преодоление защиты, penetration testing, pentest, пентест) представляет собой имитацию действий злоумышленника с информационной системой (сетью, оборудованием и т.д.) с целью демонстрации уязвимостей и оценки эффективности применяемых мер по защите информации (технических, организационных и др.).
Проведение тестирования на проникновение позволяет:
Проведение тестирования на проникновение является трудоемкой задачей, требования к компетенции специалистов очень высоки. Пентестер должен уметь использовать огромное число техник, понимать все нюансы технической и организационной составляющей ИБ, применять творческий подход, обладать навыками социальной инженерии (в настоящее время большое число пентестов представляют собой не только технический взлом!). Это делает пентест довольно дорогой услугой, поэтому его нужно проводить только тогда, когда он действительно необходим и эффективен для организации.
Проверьте, насколько эффективна защита информации в вашей компании, и получите рекомендации от специалистов Контур.Безопасности
Когда тестирование на проникновение эффективно? Опыт мировых практик
Лучшие мировые практики давно определили место пентеста в системе приоритетов информационной безопасности.
В отчете, опубликованном SANS Institute (занимаются исследованием вопросов в области ИБ), представлен топ-20 критических мер по защите информации. Они классифицированы в зависимости от приоритетности: в первую очередь рекомендуется реализовывать меру № 1, меры ближе к № 20 — после реализации предыдущих. Упор на приоритеты сделан не случайно, так как это позволяет сначала внедрять меры, которые снижают последствия наиболее опасных рисков. Тестирование на проникновение, согласно документу, стоит под последним, двадцатым номером. Это означает, что пентесты являются важной составляющей ИБ, однако менее приоритетной, чем, например, защита от вредоносных программ (№ 5) или организация резервирования данных (№ 8).
Международный стандарт NIST 800-53 представляет собой описание мер по защите информации и рекомендаций, в каких случаях и каким образом ими пользоваться. Меры также классифицированы по приоритетности (P1–P3, P1 наиболее приоритетная). Согласно NIST 800-53, тестирование на проникновение (код CA-8) имеет приоритет P2, то есть эффективнее сначала реализовать меры с приоритетом P1 (например, учет компонентов информационных систем, управление идентификацией/аутентификацией пользователей, реагирование на инциденты). Более того, стандарт предлагает различный набор мер по защите в зависимости от критичности информационного ресурса. Тест на проникновение рекомендуется в первую очередь для информационных систем, обладающих высокой критичностью (самой ценной информацией). Это вполне логично, так как, во-первых, для критичных систем нужно максимально снизить риск реализации любых угроз, а во-вторых, пентест — дорогостоящая услуга, и финансовые вложения должны быть оправданы.
В стандарте ГОСТ 27001 (ISO/IEC 27001) собраны описания лучших мировых практик в области управления информационной безопасностью. В отличие от ранее рассмотренных стандартов, ГОСТ 27001 (ISO 27001) не выделяет тестирование на проникновение в качестве отдельной меры, рассматривая более общее понятие «управление техническими уязвимостями». Стандарт указывает, что «необходимо получать своевременную информацию о технических уязвимостях, используемых информационных системах, оценивать опасность таких уязвимостей и принимать соответствующие меры по устранению связанного с ними риска». Тестирование на проникновение не может решить все задачи, продиктованные стандартом в рамках управления техническими уязвимостями. Однако в контексте ГОСТ 27001 (ISO 27001) тестирование на проникновение может быть полезно как:
Когда не стоит тратить деньги на тестирование на проникновение
Результаты пентеста могут быть использованы в разных целях. В частности, как метод обоснования затрат на мероприятия по информационной безопасности. Однако основная цель данной услуги — это оценка эффективности существующих механизмов защиты и демонстрация последствий целенаправленной хакерской атаки.
Если эффективность измерять соотношением полезности полученных результатов к затраченным ресурсам, когда можно считать, что деньги на пентест потрачены зря?
1. Если защитные меры в компании вообще не реализуются или реализуются минимально.
При отсутствии защитных механизмов основная польза тестирования на проникновение теряется: оценивать нечего. В данной ситуации выгоднее будет определить актуальные угрозы безопасности, используя приведенные выше международные стандарты. В данном случае следует провести аудит информационной системы для оценки ее текущего состояния и получения рекомендаций по ее модернизации.
2. Когда тестирование на проникновение воспринимают как чисто техническую задачу (проверки сервисов на прочность), не рассматривая стратегию ИБ в целом.
При подобном подходе риски осуществления угроз не оценены, и руководству сложно понять, является ли стоимость проведения пентеста выше, чем его предполагаемая ценность.
Кроме того, может возникнуть проблема двойной траты денег. Это случается, когда ИТ-специалисты внедряют какие-то меры защиты (например, управление доступом, фильтрацию сетевого трафика, антивирусную защиту и т.д.), руководствуясь исключительно собственными знаниями о настройках оборудования и целью обеспечить работоспособность сервиса, а не принятыми мировыми практиками в области информационной безопасности. В итоге система защиты выстроена случайным образом. Опытный специалист легко воспользуется отсутствием каких-либо защитных мер и осуществит взлом. На принятие компенсирующих защитных мер будет потрачено время, потребуется повторное тестирование на проникновение (проблема — двойная трата денег). Следует добавить, что часто внедрение таких компенсирующих мер в разы ниже стоимости проведения пентеста.
В данной ситуации эффективнее будет провести небольшой аудит при помощи специалиста в области ИБ, который проверит адекватность принятых защитных мер, их соответствие принятым стандартам безопасности, сообщит о последствиях осуществления угроз, даст рекомендации по устранению недостатков и расскажет о процессном подходе в ИБ.
Заключение
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Update
Медиа о технологиях в бизнесе
Пентест: кому и зачем он необходим
Рассказываем, что такое тестирование на проникновение, каким компаниям оно жизненно необходимо и что грозит тем, кто регулярно не проводит пентест
В поисках уязвимостей хакеры постоянно меняют свои инструменты и тактику. Чтобы понять, работают или нет ваши меры в области цифровой безопасности, их нужно проверить на прочность. Проще говоря — попытаться взломать, почти по-настоящему. Только в случае тестирования инфраструктуры на проникновение, или пентеста (англ. pentest — penetration test), взлом находится полностью под вашим контролем, и успешная попытка ничем не угрожает.
Главная цель пентеста — найти в инфраструктуре и приложениях клиента уязвимости, которые потенциально могут быть использованы злоумышленниками. Кроме того, тестирование на проникновение помогает понять, насколько эффективны разработанные политики в области IT-безопасности и стоит ли их совершенствовать. Иногда пентесты проводятся, чтобы проверить готовность специалистов ИБ к отражению атак.
Кому нужен пентест
Для банков и финансовых организаций тестирование на проникновение — обязательная процедура. Например, согласно Положению Банка России от 17 апреля 2019 г. N 683-П (п. 3.2), банки должны организовать проведение пентеста для проверки своих интернет-ресурсов на уязвимости. Подобных нормативных требований много, и за их неисполнение предусмотрены санкции. Если компания не проведет тестирование, регулятор может ее оштрафовать.
Но дело не только в штрафах. Многие коммерческие и государственные организации регулярно проводят подобную проверку, чтобы быть уверенными в надежной защите своих систем. Тестирование на проникновение — это инвестиция в безопасность, так как незакрытые вовремя бреши могут привести к многомиллионным потерям в случае успешной атаки.
Также информация об утечках часто попадает в прессу и подрывает доверие клиентов и партнеров. Но утечки не только портят имидж, за них тоже предусмотрены штрафы. В отношении данных граждан европейских стран действует регламент GDPR (General Data Protection Regulation), компании за подобные утечки штрафуют. При этом размер штрафа рассчитывается по доходу материнской компании. В России к этому относятся пока лояльнее, но, скорее всего, штрафы тоже вырастут, и лучше до них дело не доводить.
Подробнее о регулировании персональных данных, в том числе GDPR, вы можете прочитать в нашем отдельном материале.
Кто проводит тестирование
Тестирование на проникновение — технически сложная процедура. Одно неосторожное действие может привести к необратимым последствиям — падению ресурса или удалению критичной информации. Именно поэтому пентест должны проводить опытные специалисты, которые знают, как «взломать» систему и при этом ничего не повредить. Иногда их еще называют «белыми хакерами».
Стороны договариваются на берегу, что необходимо проверить. Например, компании необходимо выяснить, можно ли повысить привилегии пользователя в системе при наличии украденных учетных данных. После завершения тестирования заказчик получает подробный отчет с рекомендациями по устранению и профилактике уязвимостей — например, компания может установить более строгую парольную политику.
Разновидности тестирования
Две главных разновидности тестирования на проникновение — внутреннее и внешнее. В случае внутреннего тестирования исполнитель действует внутри инфраструктуры клиента со своим ноутбуком и, например, пытается повысить привилегии пользователя.
В случае внешнего тестирования атака производится извне. При этом специалисты различают три основных метода — «черный ящик», «серый ящик» и «белый ящик».
Существуют также международные стандарты подобных тестирований — например, OWASP Testing Guide.
Что получает заказчик
Поскольку тестирование проводят опытные специалисты, они понимают, что необходимо «подкрутить», чтобы устранить лазейку для злоумышленников. В итоговом отчете заказчик видит список уязвимостей и все шаги, которые привели к обнаружению и эксплуатации этой уязвимости. Иногда, если это оговорено сторонами, заказчик может получить и более конкретные рекомендации, вплоть до определенных защитных решений или моделей оборудования с нужными настройками.
Пентест на аутсорсе
Тестирование на проникновение, как правило, отдается на аутсорс, потому что самая лучшая проверка — независимая. Кроме того, специалистов по пентестам на рынке не так много, это очень дефицитная специализация из-за крайне высокого уровня необходимой квалификации. Крупные компании стараются доверять проведение столь чувствительных процедур организациям с именем, чтобы быть уверенными в сохранности полученных результатов.
МегаФону пентесты доверяют многие лидер ы рынка. Недавно в МегаФон обратился крупный банк, входящий в топ-20 в России. По итогам анализа, проведенного согласно международным стандартам, было выявлено восемь уязвимостей, в том числе небезопасное хранение и передача пользовательских данных. Банк получил пошаговые рекомендации, устранил уязвимости и усилил защиту.
Что такое пентест и как он поможет компании сохранить деньги и репутацию, подробно расскажут эксперты МегаФона на онлайн-митапе 20 мая.
«Мамкины хакеры» на официальной работе: чем занимаются пентестеры
«Пентестер» — слово вообще-то не русское, заимствованное. Что приходит на ум людям не из ИТ, боюсь представить. Поэтому мы себя «на Руси» гордо зовём «специалисты по тестированию на проникновение». Что ещё за «проникновение» и зачем его нужно тестировать? В этой статье я постараюсь приоткрыть завесу тайны для непосвященных.
Есть большие компании, в которых работают уважаемые «дяди». На них трудятся программисты, которые пишут код и иногда совершают ошибки. Причины ошибок банальные: по глупости, из-за лени или из-за незнания технологии, а чаще всего из-за горящих пуканов дедлайнов, не позволяющих нормально продумать логику приложения и покрыть код тестами.
В программном продукте любая ошибка – это потенциальная уязвимость. Уязвимость – это уже потенциальный риск. А риск – это вроде как плохо, и можно потерять деньги (вообще много всего можно потерять: данные клиентов, интеллектуальную собственность, репутацию, но всё это высчитывается в деньгах).
И что вы думаете? «Большие дяди» решают не торопить программистов, свозить их на курсы безопасной разработки, дать время на доведение кода до совершенства и делают им массаж ступней? Конечно же, нет. «Большие дяди» решают эти риски «принять» (снизить, передать, застраховать и много других умных слов). В общем, программы крутятся – лавеха мутится. Хакеры немного воровали, и всё шло в стандартном потоке, но так было до поры до времени.
Со временем объем данных стал значительно расти, наглость хакеров росла еще быстрее. Вред от взлома стал превышать допустимые пределы. Еще и пользователи начали осознавать ценность своих «ну очень важных» персональных данных, а потом подъехали «ребята» из политики, и завертелось (прослушка первых лиц, вывод из строя Иранской АЭС, фальсификации выборов, свобода слова, право на приватность, право на забвение и наконец «кибероружие»!).
Все сразу поняли, что информационная безопасность – это вам не «хухры-мухры».
Тут самые уважаемые люди сказали, что злых хакеров-то они, конечно, посадят (до которых дотянутся), но и всем остальным нужно вроде как нести ответственность за свою деятельность и выполнять необходимые меры по информационной безопасности. Выпустили указания, стукнули молотком и разбежались.
Важный момент для читателя: «бизнес», конечно, может говорить, что ему очень важна ваша приватность, данные никому не передадут и каждый бит информации будет охранять специально обученный человек, но по факту это мало кого волнует. Основные мотиваторы для обеспечения ИБ – это «бабки», или точнее:
Снова «умные дяди» собрались и решили: чтобы защищаться от злоумышленника, нужно думать, как злоумышленник. Не обязательно самим, можно формализовать этот процесс, нанять специально обученных людей «в пиджачках», и пусть себе взламывают, а на выходе будет новая бумажка, но уже «технический отчет»!
Так вот, «пентестер» по-простому – это тот, кто имитирует работу реального злоумышленника, тем самым тестируя организацию на возможность проникновения (компрометации) и получения доступа к информационным активам (конфиденциальной информации).
Как тестировать? Откуда? Куда проникать? Какие сведения получить? Какие ограничения? – всё это детали, которые заранее оговариваются.
Со стороны кажется, что работенка легкая и высокооплачиваемая, плюс еще и рынок не насыщен специалистами, поэтому и формируется тренд, что многие школьники хотят стать «кул-хацкерами», сидя дома на диване и нажимая пару клавиш, взламывать ИТ-гигантов. Но так ли всё просто?
Жизненный опыт
Пентестер – это не просто тестировщик, лучше сюда не идти со школьной скамьи, не обладая опытом работы в качестве сотрудника обычной компании или компании вендора.
Вы должны пройти школу жизни, примеры:
Найти одну «дырку» в многотысячной компании обычно не составляет труда, но не имея жизненного опыта, будет трудно полноценно анализировать и взламывать другие системы, не понимая:
Требования к пентестеру
Требования к такому специалисту, конечно, отличаются от требований к космонавту, здесь физически выносливым быть не обязательно, можно вообще с дивана долго не вставать, но свои нюансы есть.
Вот примерные должностные обязанности:
Технический гений-социофоб в данном случае мало кого интересует, обычно здесь требуется коммуникабельный человек, умеющий:
Философия пентеста
Не нужно думать, что пентест покажет все проблемы, что полученный результат будет объективной оценкой вашей ИБ в компании (продукта).
Пентест всего лишь показывает, какого результата команда конкретных специалистов в заданных условиях (время, место, модель злоумышленника, компетенции, разрешенные действия, законодательные ограничения, приоритеты, фаза Луны) может достичь, имитируя работу злоумышленника.
Помните: пентестеры – это не реальные злоумышленники, которые могут комбинировать кражу, взлом, шантаж, подкуп сотрудников, подделку документов, своё влияние и другие общечеловеческие факторы, здесь всё согласуется по 100 раз, нагрузка контролируется и все в курсе.
Пентест — это еще и удача. Сегодня ты успел извлечь пароль администратора из оперативной памяти и поднялся до администратора домена на всю корпоративную сеть, а завтра его уже там нет, и в отчет пойдет только непривилегированный (простой) доступ на каком-то древнем, никому не интересном сервере.
Отличия от близких направлений
Помимо «пентестеров», есть еще «редтимеры», «багхантеры», «исследователи», «аудиторы», просто специалисты по ИБ – всё это может быть один человек, а могут быть и разные люди, только частично пересекающиеся по компетенциям. Но попробуем немного «разжевать» эти термины:
«Аудитор»
Данному специалисту предоставляются все документы, схемы сети, конфигурации устройств, на основе чего делаются выводы и рекомендации для организации в соответствии с лучшими стандартами и опытом аудитора. За счет открытости сведений он дает наибольшее покрытие по всем процессам ИБ и целостный взгляд на всю инфраструктуру.
Аудитор редко самостоятельно проверяет каждую настройку в организации, обычно сведения ему предоставляем сам заказчик, порой устаревшие или неверные.
Необходимо объединять усилия аудиторов и пентестеров для проверки как бумажек с бизнес-процессами, так и их реализации на практике.
«Исследователь»
Пентестер в чистом виде – это не исследователь, у него просто нет на это время. Под исследователем я подразумеваю специалиста, который может поднять стенд, развернуть определенное программное обеспечение и исследовать только его вдоль и поперек несколько недель, а то и месяцев.
А теперь представьте, вы нанимаете специалиста для тестирования вашей корпоративной инфраструктуры, а он весь срок сидел и исследовал ПО «для отправки валентинок», установленное на компе одного из сотрудников. Даже в случае успеха вам его результаты работы не сильно интересны.
«Редтимер»
Редтим – это совершенно другая философия тестирования. Подходит для компаний со зрелой ИБ, у которых уже проводились аудиты и пентесты, плюс все недостатки были устранены.
Отличия от пентеста:
«Багхантер»
Сравнивать багхантера с пентестером некорректно – это как теплое с мягким, одно другому не мешает. Но для разделения могу сказать, что пентестер – это больше должность, работа подразумевает целый ряд формальных задач по договору с заказчиком по заявленной методологии и с формированием рекомендаций.
Багхантеру достаточно найти дыру у кого-угодно (обычно из списка на площадке) и выслать доказательство наличия ошибки (предварительные условия, шаги).
Еще раз, никаких предварительных договоров, никаких согласований – просто нашел уязвимость и отправил заказчику через площадку (примером площадки может служить cайт www.hackerone.com). Можно даже посмотреть, как только что Петя это сделал в организации «А», и повторить тут же в организации «B». Конкуренция тут высокая, и «низко висящие фрукты» попадаются всё реже. Лучше рассматривать как вид дополнительного заработка для пентестера.
Специфика пентеста от компании-интегратора
Данный раздел может показаться рекламным, но от фактов не уйдешь.
Каждый пентест по-своему уникален (хотя методика и может быть шаблонной). Уникальным его делает множество факторов, но в основном это люди, команда специалистов, на стиль которых непременно влияет компания, где они работают.
Так, например, одной компании важен только сам пентест, его результаты, они делают деньги только на этом. Вторая компания хочет создать конкретные недостатки во время пентеста, чтобы продать своё защитное решение. Третья делает акцент больше на нарушенных бизнес-процессах для поднятия целого пласта проблем и предложения мер по их решению.
Работая в компании-интеграторе, расскажу об особенностях наших пентестов для внешних заказчиков. Специфика заключается в том, что:
Трудовые будни
Представим, что вы уже работаете пентестером. Как будут выглядеть ваши трудовые будни?
С понедельника по пятницу вы проводите «внешний пентест» Заказчика1 на пару с коллегой. Работы ведутся на основе личного опыта и по международным методикам, с учетом специфики заказчика. Вы запускаете сканеры, составляете карту, сверяетесь с чек-листами, переписываетесь с коллегой об обнаруженных уязвимостях.
Параллельно другая команда начинает обзванивать сотрудников заказчика, представляясь службой безопасности, рассылать грозные письма с вредоносными вложениями, кто-то даже выезжает раскидать флешки и расклеить плакаты на территории заказчика.
Это не соревнования, тут не всегда находятся интересные уязвимости, не всегда люди сообщают пароли по телефону и не всегда защитные средства настроены «дыряво», поэтому в отчет может пойти только перечень проведенных работ, но вы не волнуетесь, ведь каждый пентест учит вас чему-то новому и демонстрирует интересные человеческие факторы.
Пару раз у заказчика после фаззинга входных данных деградирует работоспособность сервисов, и работы приостанавливаются. После корректировок ограничений они продолжаются. Всё в норме. Пишете отчет.
Дальше вас распределяют на «внутренний пентест» Заказчика2 с командировкой в город N, кому-то из ваших коллег достается тестирование мобильного приложения. По приезду вас провожают в отдельный кабинет, предоставляют рабочее место. Вы спокойно подключаете сетевой кабель в ноутбук и проводите «внутренний пентест», согласно заявленному договору. Возможно, вы захватываете контроллер домена через 3 часа после начала работ через ms17-010 и остальные дни коллекционируете другие векторы. Возможно, вы всю неделю пытаетесь «играть» с «делегированием полномочий Kerberos» на паре полученных учетных записей. К вам непременно подходят сотрудники ИБ и спрашивают, что нашли. Уже через 15 минут вы ожидаете вопрос: «Ну что? Удалось что-то взломать?», хотя nmap даже «не прогрелся». В любом случае вам обычно есть чем удивить безопасников, и даже с учетной записью из принтера вы можете забрать бэкапы Exchange-сервера. Дальше отчеты, рассказы «о великом путешествии» коллегам, удивление заказчика, много рекомендаций и еще больше уточнений, но в итоге компания действительно начинает понимать, что безопасность – это процесс, а не разовые меры, и вам от проделанной работы становится приятно.
Дальше вас распределяют на red team, вы едете с коллегой в машине, паркуетесь рядом с банком. Запускаете атаку на Wi-Fi с помощью ноутбука и специальной антенны. Вы не ГРУ, у вас нет корочки, можно реально «отхватить по шапке» от непредупрежденных охранников, поэтому антенна скрыта, и у вас есть легенда, что вы ожидаете друзей.
Но вот wifi-handshake корпоративного Wi-Fi получен, и ваши коллеги в офисе уже сбрутили его и зашли через интернет в почтовый ящик топ-менеджера. Это успех. Дальше сбор информации, отчеты, презентации.
Далее в будни вы пишете скрипты для оптимизации части вашей работы. Читаете новости и тестируете новые техники на стенде. Параллельно старые заказчики присылают вам вопросы по работам месячной давности.
Несколько часов в субботу (переработки оплачиваются) запланировано нагрузочное тестирование у заказчика, вы «роняете» сайт через 10 минут после начала, и угадайте, что? Пишете отчет о результатах.
Скоро будет интересный вам пентест АСУ ТП и поездка на конференцию по ИБ за счет компании. Вы роняете слезу счастья и вставляете кавычку в новую веб-форму.
В завершение
Тема пентестов уже не нова, о ней писали много и по-разному (можно почитать тут и тут),
в вузах появляются соответствующие дисциплины, устраиваются соревнования, проводятся различные конференции, но кадровый «голод» с каждым годом увеличивается. Помимо этого, зрелость информационной безопасности многих компаний растет, появляется всё больше средств защиты информации, от специалистов требуется высокая и разносторонняя компетенция. Каждому специалисту ИТ (не говоря уже о специалистах ИБ) будет полезным хоть раз поучаствовать в реальном пентесте.
И несмотря на зачатки автоматизации (пример тут), вряд ли что-то заменит живого компетентного человека в ближайший десяток лет.