СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
1. Атакующий маркетинг:
как заставить клиента заплатить за то,
что ему не нужно
Василий Пупкин
вице-президент по развитию бизнеса
ООО «Ройсь-копайсь»
2. Содержание
• Кто мы такие
• Страшилки-пугалки
• Какие мы умные и красивые
• Еще страшилки
• Как вы без нас раньше жили?
• Еще пугалки
• Деньги оставлять вот здесь
25.03.2015 Berezha Security 2
4. О чем поговорим
• Продукт
• Процесс
• Сложности
• Критерии отбора
25.03.2015 Berezha Security 4
5. Продукт
A penetration test, or the short form
pentest, is an attack on a computer
system with the intention of finding
security weaknesses, potentially
gaining access to it, its functionality
and data.
-Wikipedia
Обычные характеристики
- Сроки
- Цель
- Модель угроз
- Доступность информации
www.spiguard.com
25.03.2015 Berezha Security 5
6. Процесс привычный
• RFI
– Сбор информации о компетенциях участников рынка
• RFP
– Формальный или не очень запрос предложений
• «Тендер», конкурс или редукцион
– Широкое разнообразие видов хаотической
деятельности
• Проект
– Консалтинговый проект со всеми характерными
горестями и невзгодами
• Follow-up
– Опциональная проверка результатов исправления
25.03.2015 Berezha Security 6
7. Процесс грамотный
1. Осведомленность
– Домашняя работа заказчика
2. Исследование
– А вот теперь RFI
3. Обоснованный выбор
– RFP отобранным поставщикам
4. Покупка, повторная покупка, референс
25.03.2015 Berezha Security 7
8. О чем
• Продукт
• Процесс
• Сложности
• Критерии отбора
25.03.2015 Berezha Security 8
10. «Лимонный рынок» ИБ
• Условия:
– Высокий и низкий уровень качества услуг
– Асимметричность информации
• Действия:
– Продавцы «лимонов» завышают качество с
сохранением цены
– Продавцы «слив» не получают адекватную цену
• Итог:
– Средняя цена на рынке стремится вниз
– Качество выравнивается по уровню цены
25.03.2015 Berezha Security 10
11. Непонимание целей и результатов
• Содержание отчета
– Резюме
– Ход тестирования
– Уязвимости
– Рекомендации
– Доказательства
25.03.2015 Berezha Security 11
18. Критерии отбора
• Цена
– Нередко решающий фактор
• Шаблоны
– Зачастую их просто нет, из наличия – выбираем
• Методологии
– Кто больше впишет в КП
• Инструменты
– Кто больше, кто дороже
• Сертификаты
– Без углубления в то, что они означают
25.03.2015 Berezha Security 18
22. Шаблоны
• Должны быть наготове
• EL || GTFO
• «Обезличивание»
отчетов работает
• Структура и метод
оценки риска в отчете
• NDA? Следующий!
25.03.2015 Berezha Security 22
29. Бинарный анализ рисков
• Инструмент нахождения
консенсуса
• Отлично подходит для
результатов пентестов
• Очень прост в применении
• Основан на известном
проекте Binary Risk
Assessment
• Доступен на украинском
25.03.2015 Berezha Security 29
Освежим, что из себя представляет продукт.
Обозначим процесс выбора поставщика и выполнения проекта.
Укажем на наиболее важные типичные сложности.
Подумаем над тем, какие критерии отбора помогут нам с ними справиться.
Можно воспринимать как практический интерактивный аудит защищенности ИТ-систем и персонала путем прямого участия исполнителя в процессах безопасности заказчика.
Сроки проведения редко связываются с объективными факторами, но обычно «как можно быстрее».
Цель может быть банальной как комплаянс или сложной как решение провести пентест после инцидента. Очень редко цель ставится четко и ее достижение приносит пользу.
Модель угроз описывает мотивы, ресурсы и цели потенциального злоумышленника, а также его расположение относительно объекта тестирования и методы их взаимодействия. Отсюда термины «вектор» и «канал» тестирования.
Доступность информации обычно связывают с разнообразными цветами ящиков. Cnhfyyjзанятие.
Лимоны = качественные подержанные машины
Сливы = некачественные
Есть два уровня качества услуг: высокий и низкий. Асимметричность информации создает условия, в которых продавец обладает знанием о качестве, а покупатель – нет. Как следствие, продавцы качественных услуг не могут получить адекватную цену, потому что продавцы некачественных услуг завышают свое качество (например, позиционируя услугу как «эксклюзивную») и занижают цену.
То есть, неосведомленность заказчика наиболее рискованна в части определения уровня качества и адекватного ценообразования.
Лимонный рынок с ассиметричной информацией является прямым следствием неосведомленности заказчика.
Вопрос в аудиторию: какая самая непонятная часть отчета?
Уязвимости, потому что они содержат информацию о рисках, полученную «свыше», без обсуждения с клиентом. Да и вообще риски это слабое место любых коммуникаций между бизнесом, ИТ и ИБ. Поэтому мы обращаем ваше внимание на отличный проект БРА, результаты которого мы перевели на украинский и вы можете найти его в материалах участника. Там все просто, но я немного подробнее расскажу о том, как этим пользоваться, в конце выступления.
Непонимание результатов пентеста приводит к тому, что приоритеты по исправлению находок определяются неверно. Как следствие это приводит к неприятным последствиям.
Пентесты может делать кто угодно. Я встречал случаи когда в команду пентестеров предлагали перевести операторов техподдержки или инженеров внедрения. В больших бухгалтерских фирамах, которые почему-то занимаются ИБ и в частности пентестами, на такие позиции часто определяют ИТ-аудиторов, которые иногда являются совсем недавними фин. аудиторами.
На самом деле пенетстер может получиться из кого угодно, главное желание и практика. Но до момента, когда мне нестрашно будет подпустить его к клиенту, пройдет очень немало времени.
Непонимание целей и результатов пентеста,
Непонимание значений уровня риска,
Невозможность выбрать компетентного исполнителя
– все это является следствием отсутствия предварительного исследования предметной области.
Без подготовки невозможно сделать осознанный выбор. Соответственно, в ход идет главный объективный критерий.
Предлагается составить список критериев отбора, которые помогут нам справиться с задачей правильного выбора поставщика услуг по пентестам.
Лучший отбор, конечно же, естественный. Можно просто сесть и подождать, пока на рынке не останутся только конкурентоспособные поставщики.
Однако, как мы знаем из теории асимметричности информации, в нашем случае это может не сработать.
Плюс, вы можете быть ограничены во времени.
Какие критерии отбора существуют в настоящее время.
Бюджеты не имеют отношения к реальности.
Шаблоны редко готовятся, еще реже предоставляются быстро.
Методологии пишутся в КП с потолка или по принципу «когда-то читал».
Инструменты обычно просто добавляют для количества.
Сертификаты это отдельная, очень больная тема в отрасли ИБ.
На самом деле, чтобы не выдумывать ничего нового, можно взять все эти критерии и немного их изменить.
Показывать клиенту рейты это нормально.
Оптимальный вариант выбора поставщика на основании стоимости услуг: выбрать бюджет и огласить его всем участников торгов. Пусть посоревнуются в том, какой объем работы они предоставят в рамках этого бюджета.
Бонусная система у нас не очень популярна, но все более распространена на Западе. Вы договариваетесь с поставщиком о стоимости «зеленого» отчета, то есть о цене пентеста, в котором он потенциально ничего не найдет. Эта цена максимально приближена к себестоимости проекта с наименьшими сроками и усилиями. Но: в случае обнаружения серьезных рисков и успешной их эксплуатации исполнитель получает бонус – заранее оговоренную сумму, отражающую нанесенную вам непоправимую пользу. Чем больше бонус, тем больше у вас шансов получить эффект от пентеста.
И еще, как следствие выбора таких ценовых стратегий вы получите в разы больше участников конкурса.
Black box, white box, pink box, blue box…
Есть целая куча методологий, которые пентестеры с удовольствием используют в своей работе. Но не стоит спрашивать, какие из них они используют конкретно. Плохие поставщики ответят «любые» или «какие пожелаете». Хорошие обычно используют некий гибрид, разработанный на основании предыдущего опыта, но без привязки к конкретной методике или стандарту.
Методика нужна вам для того, чтобы провести максимально объективный пентест в случае, если вы решите сделать это самостоятельно. Хорошему поставщику услуг строгая привязка к методике только мешает.
Лучше попросите поставщика описать его обычные действия в ходе пентеста. И опишите цели, которые вы перед ним ставите. Это поможет подобрать методы и средства автоматизации наилучшим образом и гарантирует вам оптимальный результат.
Инструменты в пентесте не главное. Главное в пентесте это пентестеры. Если вам нужен инструмент, лучше купите себе или возьмите в аренду.
Инструменты нужны для того, чтобы автоматизировать рутину и выдать вам лучший продукт за меньшее время и соответственно деньги. К сожалению, в реальности все немного иначе: покупка инструментов залатывает дыры в навыках пентестеров и увеличивает себестоимость проекта.
Не забывайте, что есть такие монстры, как CORE Impact, Immunity Canvas, Rapid7 Metasploit Pro etc.
Мало кто из заказчиков может адекватно оценить ценность того или иного сертификата и его влияние на уровень качества пентеста.
Существует немало сертификатов, которые типа подтверждают знания по ИБ. Некоторые из них утверждают, что это знания, достаточные для проведения пентестов. К сожалению, это не так.
Очень интересно знать, помогли ли Вам наши советы. Пожалуйста, не стесняйтесь обращаться за советом.