среда, 27 июля 2011 г.

Пентестеры = тестеры (Q&A)? #pentesting #security

   Нашел тут (судя по записям парень работает в сфере связанной с тестированием и оценкой защищенности, кстати, а где я работаю судя по моим записям?) пару интересных интеллект-карт. а именно OSSTMM и предлагаемая версия пентеста по OSTMM.


   И что, собственно, представляет из себя одна из наиболее известных методологий пентеста (OSTMM то бишь)? Да серию простых и подробно расписанных действий..Да, для нормального пентеста нужна куча специалистов (Cisco, MS, *nix, DB спецы обязательны), но ничего подобного тому о чем в RISSPA говорили - никакого особого "исследования" или "пытливого ума" в упор не вижу. Да, теоретически и "исследования" и "пытливый ум" могут быть полезны при оценке не формальной а "реальной защищенности" - но что покажем финдиректору? Любая услуга должна иметь четкий объем работы (чеклисты аудиторов не от хорошей жизни придуманы...и служат не только для обеспечения точной и гарантированной проверки определенных вопросов но и для формальной отчетности в случае чего) и если его нет то сразу вопрос - за что платим? За "пытливый ум"? Это прямо анекдот для финансового директора, у которого кроме услуг пентеста есть еще десяток других, в том числе "родные" финансовый и налоговый аудиты, с намного более понятными объемами работ.
   Так что серийный, "промышленный" пентест обречен быть аналогом Q&A, где никакого творчества особо не прослеживается, а большая часть тестировщиков не хотят быть тестировщиками (мнение технического директора Parallels). А "пытливый ум" замануха для молодых (впрочем есть и другие заманухи на рынке ИБ, у расследователей например;))

Хорошего дня!:)

4 комментария:

  1. Согласен, именно QA, но есть нюанс :)
    Логика-то:
    1. Мы не хотим перетратить деньги на пентест. Значит ему надо задать жесткий scope.
    2. Как определить scope? Только проведя Threat Modeling, в результате которого согласовать актуальные типы злодеев, их методы и ресурсы.
    3. Проверять защищенность именно от этих профилей злодеев.

    В итоге, получается, что существуют ИС, для которых профиль злодеев будет стандартный, с бо-ме стандартными и известными методами - и тогда получается чистейший QA на наличие известных уязвимостей; или найдется такой хитропопый профиль, что потребуется именно пытливый ум.
    Ну, например, Deutsche Post с их системой E-Postbrief как раз предполагает наличие у предполагаемых злодеев мега-пытливого ума. В последнем случае речь идет о нахождении не просто ранее неизвестных уязвимостей, а _классов_ ранее неизвестных уязвимостей. Поставить формальное ТЗ на этот процесс - нереально, можно этим процессом только управлять. Например, организовать bounty hunt и положить приз за уязвимость в 10 000 евро. Это замотивирует в т.ч. ребяток с пытливом умом, которые будут биться в поиске известных уязвимостей (которых уже нет, ибо ранее мы провели соотв мероприятия) и в поиске неизвестных _типов_ уязвимостей. Примерно так.
    А вот еще мысли в тему: http://andrepetukhov.wordpress.com/2010/06/09/анализ-vs-оценка-защищенности/

    ОтветитьУдалить
  2. Нет прайса - нет проблемы:) Дело не столько в том, будет ли защищен E-Postbrief, а в том так уж нужно ли чтобы он был защищен?...А то одним на неопределенный срок заморозь 10 тыс, потом хозяйственникам заморозь тыс 20, потом еще какому-нить департаменту вот и наступило время когда идут убытки в виде процентов по кредиту взятому дабы покрывать текущие траты. Т.е. финансовые риски (в данном случае риск кассового разрыва) должны соотноситься с рисками ИБ.

    Так что по факту любые нестандартные услуги, т.е. без четкого прайса, позволительны только компаниям для которых эти 10 тыс даже не капля а вообще молекула воды в океане (проще заплатить чем тратить время топов на обсуждение). И таких пытливых умов на службе у контор продвигающих "романтику проникновения" нужно реально пару штук.

    ОтветитьУдалить
  3. Александр, по последнему комменту +много.
    Действительно, для почты 10к евро - капля в море. My point был в том, что существуют use case'ы, в которых трудно поставить ТЗ на пентест, и в этих случаях делают немного по-другому (bounty hunt'ы, security cups, online challenges и пр.) и там уже методиками QA не пахнет.

    ОтветитьУдалить
  4. Эмм, ну я такие вещи называю скорее research...они очень бутиковые как бы

    ОтветитьУдалить