проверка своего сервера

[Оззи]

Есть 2 вида тестирования - whitebox/blackbox.

 

отличаются методиками и исходными данными предоставляемыми заказчиком.

 

Цена пентеста в среднем - 5000

 

Если сумма меньше - некомпетентность.

Выше - накрутка за брэндовость.

 

Сроки от 2х недель до 3х месяцев. В зависимости от того что является целью пентеста.

 

Оговариваются моменты применения социнженерии и нарушения заданного режима работы ИС.

2635[/snapback]

 

Честно говоря такая тема как пентест мне кажется скользкой в юридическом отношении. Высока вероятность при тестовом заломе грохнуть реальные ресурсы и сервисы. А если это например химпредприятие с доморощенным технологическим софтом на платформе PC... и на одном серваке крутится технологический софт и бухгалтерия и веб-сервер (не ржать, было такое!)? Даже если РЕАЛЬНО действия по взлому не могли привести к инциденту и это вина только службы автоматизации заказчика чаще всего пытаются все проблемы с сетью и т.д. валить на тех, кто ковырял сеть. Даже если шел скан с целью инвентаризации, а не на уязвимости.

 

Если идет комплексное обследование предприятия, то проще в рамках проекта проверить настройки компонентов, регулярность обновления (патчи и антивирусные базы, спам-базы, обновления експлоитов) и правильность организационной компоненты АИС. Если речь не идет о возможной "заказухе" в отношении клиента - бОльшая часть проблем обычно решена. Если все с автоматизированной системой пучком - проще не ломать, а вербовать агентуру на предприятии, пытаться слушать и т.д. Статистика о том же говорит - до 80% траблов предупреждаются просто вставкой кактуса куда надо ленивым админам со стороны руководства по инициативе аудиторов или админа безопасности. Таких заказчиков большинство. А "тюнинг" СЗИ встречается редко.

 

И еще, где-то пробежало, что админа включили в состав ОЭБ. ИМХО, не совсем правильно. Есть такой кекс, как администратор безопасности, а есть системный администратор. Задачи противоположны по сути - первый ограничивает доступ юзеров к информации и ресурсам как может, второй должен обеспечить гарантированный и легкий доступ к ресурсам сети. Один на практике меняет настройки "в доступах", а другой ничего поменять не может, доступа к контенту не имеет (насколько это возможно), но может читать логи и просматривать чего натворил сисадмин. Классика безопасности - разделение полномочий и взаимный контроль. Админ безопасности занимается среди прочего распределением эл. ключей например, сменой паролей, перлюстрацией трафика и сидит именно в структуре СБ. А системный администратор теряет титул "пупа земли" и решает чисто технические вопросы, а не рубится в Квака через инет. "Кто будет сторожить сторожей" короче.

[хыровато]

 

Честно говоря такая тема как пентест мне кажется скользкой в юридическом отношении. Высока вероятность при тестовом заломе грохнуть реальные ресурсы и сервисы. - Это предусматривается юридическим договором. В нем указано что к примеру заданный режим работы сетевого и серверного оборудования (24*7 9 *5) нарушаться не будет.

 

Даже если шел скан с целью инвентаризации, а не на уязвимости. - Если вы могли это обнаружить. Значит вас ламеры пентестили. Профи при blackbox тестировании не дадут себя обнаружить.

 

Если идет комплексное обследование предприятия, то проще в рамках проекта проверить настройки компонентов, регулярность обновления (патчи и антивирусные базы, спам-базы, обновления експлоитов) и правильность организационной компоненты АИС. - И все равно в 95% случаев пентест удается.

 

Если все с автоматизированной системой пучком - проще не ломать, а вербовать агентуру на предприятии, пытаться слушать и т.д. - пучком никогда ни в каких случаях на 100% ничего не будет. Мне проще взломать если есть возможность чем вербовать ))

 

Статистика о том же говорит - до 80% траблов предупреждаются просто вставкой кактуса куда надо ленивым админам со стороны руководства по инициативе аудиторов или админа безопасности. Моя статистика говорит что 90% случаев проникновения не обнаруживаются в системе. Об этом говорит только всплывшая информация.

 

Таких заказчиков большинство. А "тюнинг" СЗИ встречается редко. - Тюнинг СЗИ присутствует всегда там где беспокоюцца о СЗИ )))

 

И еще, где-то пробежало, что админа включили в состав ОЭБ. ИМХО, не совсем правильно. Есть такой кекс, как администратор безопасности, а есть системный администратор. Задачи противоположны по сути - первый ограничивает доступ юзеров к информации и ресурсам как может, второй должен обеспечить гарантированный и легкий доступ к ресурсам сети. - администратор ИБ - это администратор внештатных СЗИ. Штатные СЗИ - прерогатива админа. В службе ИТ ИБ еще есть должности аналитиков манагеров - именно их совместаная работа и обеспечивает конфиденциальность целостнолсть и доступность информации в сети.

 

 

[Оззи]

Честно говоря такая тема как пентест мне кажется скользкой в юридическом отношении. Высока вероятность при тестовом заломе грохнуть реальные ресурсы и сервисы.  -  Это предусматривается юридическим договором. В нем указано что к примеру заданный режим работы сетевого и серверного оборудования (24*7 9 *5) нарушаться не будет.

 

Даже если шел скан с целью инвентаризации, а не на уязвимости. - Если вы могли это обнаружить. Значит вас ламеры пентестили. Профи при blackbox тестировании не дадут себя обнаружить.

 

Если идет комплексное обследование предприятия, то проще в рамках проекта проверить настройки компонентов,  регулярность обновления (патчи и антивирусные базы, спам-базы, обновления експлоитов) и правильность организационной компоненты АИС.  - И все равно в 95% случаев пентест удается.

 

Если все с автоматизированной системой пучком - проще не ломать, а вербовать агентуру на предприятии, пытаться слушать и т.д.  - пучком никогда ни в каких случаях на 100% ничего не будет. Мне проще взломать если есть возможность чем вербовать ))

 

Статистика о том же говорит - до 80% траблов предупреждаются просто вставкой кактуса куда надо ленивым админам со стороны руководства по инициативе аудиторов или админа безопасности.  Моя статистика говорит что 90% случаев проникновения не обнаруживаются в системе. Об этом говорит только всплывшая информация.

 

Таких заказчиков большинство. А "тюнинг" СЗИ встречается редко. - Тюнинг СЗИ присутствует всегда там где беспокоюцца о СЗИ )))

 

И еще, где-то пробежало, что админа включили в состав ОЭБ. ИМХО, не совсем правильно. Есть такой кекс, как администратор безопасности, а есть системный администратор. Задачи противоположны по сути - первый ограничивает доступ юзеров к информации и ресурсам как может, второй должен обеспечить гарантированный и легкий доступ к ресурсам сети.  - администратор ИБ - это администратор внештатных СЗИ. Штатные СЗИ - прерогатива админа. В службе ИТ ИБ еще есть должности аналитиков манагеров - именно их совместаная работа и обеспечивает конфиденциальность целостнолсть и доступность информации в сети.

2644[/snapback]

 

1. В договоре может быть написано ЧТО УГОДНО. А по факту все равно есть вероятность сложить критически важную подсистему или сервис. По факту нештатной ситуации начнется процедура внутреннего расследования. А это - ГЕМОР по определению. И угадайте у кого будет преимущество в представлении доказательной базы руководству (Заказчику) - у "левых" "пенетраторов" или у "своих" админов?

 

2. При всех процедурах, которые проводятся при тестах сидят представители заказчика. Это ЖЕЛЕЗНОЕ правило. Причем расписываются в том, что эти процедуры производятся с их согласия. Тайны никто не делает ни из чего. Увидел как и чем пробито - ради Бога. Заказчику польза.

 

3. Вам проще ломануть граничный маршрутизатор и пошкрябать сеть - не вопрос, хотя это уже состав преступления и слив инфы через человека - менее доказуем. Однако есть такое понятие как модель нарушителя. И туда в длииииииинный список хакеры входят только в двух-трех пунктах или около того. А защитить нужно от всего на свете, если просят :)

 

4. Под тюнингом я понимал не эксклюзив в настройках, а нечто вроде модификации ядра ОС - это редкость. Все остальное - не искусство, а ремесло и тюнингом я такие вещи не считаю. Модификация же чужих программных продуктов дело КРАЙНЕ МУТНОЕ в правовом отношении и в техническом.

 

5. Ваша статистика общеизвестна, но не опровергает то, что 80% проблем с безопасностью информации решаются с помощью организационно-административных мер.

 

 

А вообще я не склонен спорить, вы в своей области правы. Каждый солит суп по-своему. Думаю, что и Ваш подход и мой приносят хлеб с маслом и результат. За счет широты проблематики я наверное копаю не так глубоко, Вы копаете узэээнько но до упора :) Задачи при этом стоят несколько разные.

 

Советую только не забыть, что АИС реализует алгоритмы обработки информации, которые в том или ином виде существуют и без нее, и человек является носителем информации независимо от наличия компьютера на столе.

[хыровато]

 

1. В договоре может быть написано ЧТО УГОДНО. А по факту все равно есть вероятность сложить критически важную подсистему или сервис. По факту нештатной ситуации начнется процедура внутреннего расследования. А это - ГЕМОР по определению. И угадайте у кого будет преимущество в представлении доказательной базы руководству (Заказчику) - у "левых" "пенетраторов" или у "своих" админов? 1 железное правило при блэкбокс пентестировании - это то что IT службы не оповещены и работают в заданном режиме работы. Если произошло нарушение заданного режима работы то расследование инцидентов покажет что произошло потому то и потому то. Если в отчете по пентесту есть действия которые привели к нарушению - то это уже неисполнение Исполнителем условий договора.

 

2. При всех процедурах, которые проводятся при тестах сидят представители заказчика. Это ЖЕЛЕЗНОЕ правило. Причем расписываются в том, что эти процедуры производятся с их согласия. Тайны никто не делает ни из чего. Увидел как и чем пробито - ради Бога. Вы хоть раз учавствовали в пентесте ? Методика инструменты и специалисты принимающие участие - это коммерческая тайна компании. При пентесте пентестеры не раскрывают принципов работы какого нить 0day софта.

 

3. Вам проще ломануть граничный маршрутизатор и пошкрябать сеть - не вопрос, хотя это уже состав преступления и слив инфы через человека - менее доказуем. Однако есть такое понятие как модель нарушителя. И туда в длииииииинный список хакеры входят только в двух-трех пунктах или около того. А защитить нужно от всего на свете, если просят. Мы говорим о тестировании на проникновение. Тестирование на проникновение - это 1 модель - модель Промышленного шпионажа.

 

4. Под тюнингом я понимал не эксклюзив в настройках, а нечто вроде модификации ядра ОС - это редкость. Все остальное - не искусство, а ремесло и тюнингом я такие вещи не считаю. Модификация же чужих программных продуктов дело КРАЙНЕ МУТНОЕ в правовом отношении и в техническом. - Здесь вопросов нету.

 

5. Ваша статистика общеизвестна, но не опровергает то, что 80% проблем с безопасностью информации решаются с помощью организационно-административных мер. Судя по графику потерь CSI/FBI от инцидентов в ИБ - на 1м месте - ущерб от DOS/DDOS атак. Соответственно зная что административными методами это не решить а проблема доступности информации - это основы безопасности - ваше утверждение неверное

 

 

А вообще я не склонен спорить, вы в своей области правы. Каждый солит суп по-своему. Дадада ))

 

Советую только не забыть, что АИС реализует алгоритмы обработки информации, которые в том или ином виде существуют и без нее, и человек является носителем информации независимо от наличия компьютера на столе. - А вы не забывайте что из компутера человека можно вытащить нааамного больше интересующей информации чем из его головы в некоторых случаях )

 

[Оззи]

/// 1 железное правило при блэкбокс пентестировании - это то что IT службы не оповещены и работают в заданном режиме работы. Если произошло нарушение заданного режима работы то расследование инцидентов покажет что произошло потому то и потому то. Если в отчете по пентесту есть действия которые привели к нарушению - то это уже неисполнение Исполнителем условий договора.

 

/// 2 При всех процедурах, которые проводятся при тестах сидят представители заказчика. Это ЖЕЛЕЗНОЕ правило. Причем расписываются в том, что эти процедуры производятся с их согласия. Тайны никто не делает ни из чего. Увидел как и чем пробито - ради Бога.  Вы хоть раз учавствовали в пентесте ? Методика инструменты и специалисты принимающие участие - это коммерческая тайна компании. При пентесте пентестеры не раскрывают принципов работы какого нить 0day софта.

 

3. Вам проще ломануть граничный маршрутизатор и пошкрябать сеть - не вопрос, хотя это уже состав преступления и слив инфы через человека - менее доказуем. Однако есть такое понятие как модель нарушителя. И туда в длииииииинный список хакеры входят только в двух-трех пунктах или около того. А защитить нужно от всего на свете, если просят. Мы говорим о тестировании на проникновение. Тестирование на проникновение - это 1 модель - модель Промышленного шпионажа.

 

 

5. Ваша статистика общеизвестна, но не опровергает то, что 80% проблем с безопасностью информации решаются с помощью организационно-административных мер.  Судя по графику потерь CSI/FBI от инцидентов в ИБ - на 1м месте - ущерб от DOS/DDOS атак.  Соответственно зная что административными методами это не решить а проблема доступности информации - это основы безопасности - ваше утверждение неверное

А вообще я не склонен спорить, вы в своей области правы. Каждый солит суп по-своему.  Дадада ))

 

Советую только не забыть, что АИС реализует алгоритмы обработки информации, которые в том или ином виде существуют и без нее, и человек является носителем информации независимо от наличия компьютера на столе. - А вы не забывайте что из компутера человека можно вытащить нааамного больше интересующей информации чем из его головы в некоторых случаях )

2646[/snapback]

 

1. В том случае, если действия тестеров могут хотя бы теоретически привести к выбросу например 40 тонн аммиака - Ваши правила "блэкбокс пентестов" не работают. Руководство не отмороженные байкеры и не любители "русской рулетки". Конечно, это вопрос специфики и например при тестах в небольшом банке вы скорее правы чем нет.

 

2. Информация быстро устаревает. А заказчики остаются на годы. Поэтому им сообщается всё, что повысит их безопасность. Более того, если будет их желание, они будут обеспечены всеми средствами для самостоятельной работы. (никому не навязываю правил). К тому же статистика говорит, что подавляющее число инцидентов случается с использованием уязвимостей, известных _около 2-х месяцев_ и не закрытых персоналом. 0day, говорите? Трогательно. Многим предприятиям, образно говоря, нужно помыть руки прежде чем носить кружева. Ваш суперсофт и методы (не сомневаюсь в их качестве) для бОльшей части заказчиков - а-ля бисер, рассыпанный перед (хм...).

 

К п.3. Понятие модели нарушителя Вам явно не знакомо. Определение, которое попалось мне первым и более-менее правильно: "абстрактное описание нарушителя". Сюда впишется например (взято с потолка) "технически подготовленный и имеющий инструментарий внутренний злоумышленник" или "технически неподготовленный внешний злоумышленник". К тому же злоумышленные действия могут привести не только к разглашению (утечке) информации (больше всего похоже на Вашу "модель Промышленного Шпионажа"), но и к ее искажению или недоступности.

 

К п.5. По той же статистике, ошибки персонала - более частая вещь чем ДОС и ДДОС атаки. И уборщица со шваброй или сантехник, заливший этаж - гораздо чаще встречаются, чем хакеры (малолеток-хулиганов "c00l_хацкеров АКА черных демонов" я не считаю).

Эти проявления деструктивного начала Вселенной (уборщицы и т.д. до электриков и разработчиков, убивающих актуальные версиии своего же софта) обезвреживаются скорее с упором на организационные меры. Рекомендую ISO 17799, BS7799 (если не путаю). Оргмеры и взаимовлияние компонентов там расписаны в общем виде. И вообще, технические меры и процедуры идут ПОСЛЕ организационных вопросов. Никто не отменял иерархию - Концепция-локальная политика-положение-инструкция (регламент) и все это на основе=(Закон+стандарт). Ваши тесты относятся к техническим мероприятиям и также базируются на такой административной мере Заказчика как вызов Вас для проведения пентеста. Без решения руководства вас никто не позовет, правда?

 

К последнему пункту. Согласен. Но речь шла не о возможности получения инфы, а о первичности компонентов АИС. По определению - "Автоматизированная информационная система - совокупность аппаратно-програмнных средств, данных и реализованных с помощью аппаратно-программных средств алгоритмов обработки информации". Убираем компоненты - что осталось? Алгоритмы и информация (или данные). К разнице между данными и информацией не будем в данном контексте цепляться, ок?

 

Я думаю, что мы уже лезем в дебри. На изначальный вопрос человека Вы ответили точнее и Вы правы как узкий технический специалист. Я же более объективен с другой точки зрения, пляшущей от комплексности проблем. Скорее всего нам с Вами приходилось решать разные задачи и на различных по специфике объектах.