tag:blogger.com,1999:blog-5817767710202915560.post516749109236462965..comments2022-03-28T00:25:01.144+03:00Comments on Синдром сапожника: Пентестеры = тестеры (Q&A)? #pentesting #securityАлександр Бодрикhttp://www.blogger.com/profile/12476109776960823545noreply@blogger.comBlogger4125tag:blogger.com,1999:blog-5817767710202915560.post-35944172416706797292011-07-27T15:46:03.521+04:002011-07-27T15:46:03.521+04:00Эмм, ну я такие вещи называю скорее research...они...Эмм, ну я такие вещи называю скорее research...они очень бутиковые как быАлександр Бодрикhttps://www.blogger.com/profile/12476109776960823545noreply@blogger.comtag:blogger.com,1999:blog-5817767710202915560.post-9648650500413363402011-07-27T14:04:46.717+04:002011-07-27T14:04:46.717+04:00Александр, по последнему комменту +много.
Действи...Александр, по последнему комменту +много. <br />Действительно, для почты 10к евро - капля в море. My point был в том, что существуют use case'ы, в которых трудно поставить ТЗ на пентест, и в этих случаях делают немного по-другому (bounty hunt'ы, security cups, online challenges и пр.) и там уже методиками QA не пахнет.Anonymoushttps://www.blogger.com/profile/10803765980668812597noreply@blogger.comtag:blogger.com,1999:blog-5817767710202915560.post-68536233640206241092011-07-27T10:56:32.444+04:002011-07-27T10:56:32.444+04:00Нет прайса - нет проблемы:) Дело не столько в том,...Нет прайса - нет проблемы:) Дело не столько в том, будет ли защищен E-Postbrief, а в том так уж нужно ли чтобы он был защищен?...А то одним на неопределенный срок заморозь 10 тыс, потом хозяйственникам заморозь тыс 20, потом еще какому-нить департаменту вот и наступило время когда идут убытки в виде процентов по кредиту взятому дабы покрывать текущие траты. Т.е. финансовые риски (в данном случае риск кассового разрыва) должны соотноситься с рисками ИБ.<br /><br />Так что по факту любые нестандартные услуги, т.е. без четкого прайса, позволительны только компаниям для которых эти 10 тыс даже не капля а вообще молекула воды в океане (проще заплатить чем тратить время топов на обсуждение). И таких пытливых умов на службе у контор продвигающих "романтику проникновения" нужно реально пару штук.Александр Бодрикhttps://www.blogger.com/profile/12476109776960823545noreply@blogger.comtag:blogger.com,1999:blog-5817767710202915560.post-88119434397774092752011-07-27T08:30:47.880+04:002011-07-27T08:30:47.880+04:00Согласен, именно QA, но есть нюанс :)
Логика-то:
1...Согласен, именно QA, но есть нюанс :)<br />Логика-то:<br />1. Мы не хотим перетратить деньги на пентест. Значит ему надо задать жесткий scope.<br />2. Как определить scope? Только проведя Threat Modeling, в результате которого согласовать актуальные типы злодеев, их методы и ресурсы.<br />3. Проверять защищенность именно от этих профилей злодеев.<br /><br />В итоге, получается, что существуют ИС, для которых профиль злодеев будет стандартный, с бо-ме стандартными и известными методами - и тогда получается чистейший QA на наличие известных уязвимостей; или найдется такой хитропопый профиль, что потребуется именно пытливый ум. <br />Ну, например, Deutsche Post с их системой E-Postbrief как раз предполагает наличие у предполагаемых злодеев мега-пытливого ума. В последнем случае речь идет о нахождении не просто ранее неизвестных уязвимостей, а _классов_ ранее неизвестных уязвимостей. Поставить формальное ТЗ на этот процесс - нереально, можно этим процессом только управлять. Например, организовать bounty hunt и положить приз за уязвимость в 10 000 евро. Это замотивирует в т.ч. ребяток с пытливом умом, которые будут биться в поиске известных уязвимостей (которых уже нет, ибо ранее мы провели соотв мероприятия) и в поиске неизвестных _типов_ уязвимостей. Примерно так.<br />А вот еще мысли в тему: http://andrepetukhov.wordpress.com/2010/06/09/анализ-vs-оценка-защищенности/Anonymoushttps://www.blogger.com/profile/10803765980668812597noreply@blogger.com