Опубликовано 22 апреля, 200521 г Есть 2 вида тестирования - whitebox/blackbox. отличаются методиками и исходными данными предоставляемыми заказчиком. Цена пентеста в среднем - 5000 Если сумма меньше - некомпетентность. Выше - накрутка за брэндовость. Сроки от 2х недель до 3х месяцев. В зависимости от того что является целью пентеста. Оговариваются моменты применения социнженерии и нарушения заданного режима работы ИС. 2635[/snapback] Честно говоря такая тема как пентест мне кажется скользкой в юридическом отношении. Высока вероятность при тестовом заломе грохнуть реальные ресурсы и сервисы. А если это например химпредприятие с доморощенным технологическим софтом на платформе PC... и на одном серваке крутится технологический софт и бухгалтерия и веб-сервер (не ржать, было такое!)? Даже если РЕАЛЬНО действия по взлому не могли привести к инциденту и это вина только службы автоматизации заказчика чаще всего пытаются все проблемы с сетью и т.д. валить на тех, кто ковырял сеть. Даже если шел скан с целью инвентаризации, а не на уязвимости. Если идет комплексное обследование предприятия, то проще в рамках проекта проверить настройки компонентов, регулярность обновления (патчи и антивирусные базы, спам-базы, обновления експлоитов) и правильность организационной компоненты АИС. Если речь не идет о возможной "заказухе" в отношении клиента - бОльшая часть проблем обычно решена. Если все с автоматизированной системой пучком - проще не ломать, а вербовать агентуру на предприятии, пытаться слушать и т.д. Статистика о том же говорит - до 80% траблов предупреждаются просто вставкой кактуса куда надо ленивым админам со стороны руководства по инициативе аудиторов или админа безопасности. Таких заказчиков большинство. А "тюнинг" СЗИ встречается редко. И еще, где-то пробежало, что админа включили в состав ОЭБ. ИМХО, не совсем правильно. Есть такой кекс, как администратор безопасности, а есть системный администратор. Задачи противоположны по сути - первый ограничивает доступ юзеров к информации и ресурсам как может, второй должен обеспечить гарантированный и легкий доступ к ресурсам сети. Один на практике меняет настройки "в доступах", а другой ничего поменять не может, доступа к контенту не имеет (насколько это возможно), но может читать логи и просматривать чего натворил сисадмин. Классика безопасности - разделение полномочий и взаимный контроль. Админ безопасности занимается среди прочего распределением эл. ключей например, сменой паролей, перлюстрацией трафика и сидит именно в структуре СБ. А системный администратор теряет титул "пупа земли" и решает чисто технические вопросы, а не рубится в Квака через инет. "Кто будет сторожить сторожей" короче.
Опубликовано 22 апреля, 200521 г Честно говоря такая тема как пентест мне кажется скользкой в юридическом отношении. Высока вероятность при тестовом заломе грохнуть реальные ресурсы и сервисы. - Это предусматривается юридическим договором. В нем указано что к примеру заданный режим работы сетевого и серверного оборудования (24*7 9 *5) нарушаться не будет. Даже если шел скан с целью инвентаризации, а не на уязвимости. - Если вы могли это обнаружить. Значит вас ламеры пентестили. Профи при blackbox тестировании не дадут себя обнаружить. Если идет комплексное обследование предприятия, то проще в рамках проекта проверить настройки компонентов, регулярность обновления (патчи и антивирусные базы, спам-базы, обновления експлоитов) и правильность организационной компоненты АИС. - И все равно в 95% случаев пентест удается. Если все с автоматизированной системой пучком - проще не ломать, а вербовать агентуру на предприятии, пытаться слушать и т.д. - пучком никогда ни в каких случаях на 100% ничего не будет. Мне проще взломать если есть возможность чем вербовать )) Статистика о том же говорит - до 80% траблов предупреждаются просто вставкой кактуса куда надо ленивым админам со стороны руководства по инициативе аудиторов или админа безопасности. Моя статистика говорит что 90% случаев проникновения не обнаруживаются в системе. Об этом говорит только всплывшая информация. Таких заказчиков большинство. А "тюнинг" СЗИ встречается редко. - Тюнинг СЗИ присутствует всегда там где беспокоюцца о СЗИ ))) И еще, где-то пробежало, что админа включили в состав ОЭБ. ИМХО, не совсем правильно. Есть такой кекс, как администратор безопасности, а есть системный администратор. Задачи противоположны по сути - первый ограничивает доступ юзеров к информации и ресурсам как может, второй должен обеспечить гарантированный и легкий доступ к ресурсам сети. - администратор ИБ - это администратор внештатных СЗИ. Штатные СЗИ - прерогатива админа. В службе ИТ ИБ еще есть должности аналитиков манагеров - именно их совместаная работа и обеспечивает конфиденциальность целостнолсть и доступность информации в сети.
Опубликовано 22 апреля, 200521 г Честно говоря такая тема как пентест мне кажется скользкой в юридическом отношении. Высока вероятность при тестовом заломе грохнуть реальные ресурсы и сервисы. - Это предусматривается юридическим договором. В нем указано что к примеру заданный режим работы сетевого и серверного оборудования (24*7 9 *5) нарушаться не будет. Даже если шел скан с целью инвентаризации, а не на уязвимости. - Если вы могли это обнаружить. Значит вас ламеры пентестили. Профи при blackbox тестировании не дадут себя обнаружить. Если идет комплексное обследование предприятия, то проще в рамках проекта проверить настройки компонентов, регулярность обновления (патчи и антивирусные базы, спам-базы, обновления експлоитов) и правильность организационной компоненты АИС. - И все равно в 95% случаев пентест удается. Если все с автоматизированной системой пучком - проще не ломать, а вербовать агентуру на предприятии, пытаться слушать и т.д. - пучком никогда ни в каких случаях на 100% ничего не будет. Мне проще взломать если есть возможность чем вербовать )) Статистика о том же говорит - до 80% траблов предупреждаются просто вставкой кактуса куда надо ленивым админам со стороны руководства по инициативе аудиторов или админа безопасности. Моя статистика говорит что 90% случаев проникновения не обнаруживаются в системе. Об этом говорит только всплывшая информация. Таких заказчиков большинство. А "тюнинг" СЗИ встречается редко. - Тюнинг СЗИ присутствует всегда там где беспокоюцца о СЗИ ))) И еще, где-то пробежало, что админа включили в состав ОЭБ. ИМХО, не совсем правильно. Есть такой кекс, как администратор безопасности, а есть системный администратор. Задачи противоположны по сути - первый ограничивает доступ юзеров к информации и ресурсам как может, второй должен обеспечить гарантированный и легкий доступ к ресурсам сети. - администратор ИБ - это администратор внештатных СЗИ. Штатные СЗИ - прерогатива админа. В службе ИТ ИБ еще есть должности аналитиков манагеров - именно их совместаная работа и обеспечивает конфиденциальность целостнолсть и доступность информации в сети. 2644[/snapback] 1. В договоре может быть написано ЧТО УГОДНО. А по факту все равно есть вероятность сложить критически важную подсистему или сервис. По факту нештатной ситуации начнется процедура внутреннего расследования. А это - ГЕМОР по определению. И угадайте у кого будет преимущество в представлении доказательной базы руководству (Заказчику) - у "левых" "пенетраторов" или у "своих" админов? 2. При всех процедурах, которые проводятся при тестах сидят представители заказчика. Это ЖЕЛЕЗНОЕ правило. Причем расписываются в том, что эти процедуры производятся с их согласия. Тайны никто не делает ни из чего. Увидел как и чем пробито - ради Бога. Заказчику польза. 3. Вам проще ломануть граничный маршрутизатор и пошкрябать сеть - не вопрос, хотя это уже состав преступления и слив инфы через человека - менее доказуем. Однако есть такое понятие как модель нарушителя. И туда в длииииииинный список хакеры входят только в двух-трех пунктах или около того. А защитить нужно от всего на свете, если просят :) 4. Под тюнингом я понимал не эксклюзив в настройках, а нечто вроде модификации ядра ОС - это редкость. Все остальное - не искусство, а ремесло и тюнингом я такие вещи не считаю. Модификация же чужих программных продуктов дело КРАЙНЕ МУТНОЕ в правовом отношении и в техническом. 5. Ваша статистика общеизвестна, но не опровергает то, что 80% проблем с безопасностью информации решаются с помощью организационно-административных мер. А вообще я не склонен спорить, вы в своей области правы. Каждый солит суп по-своему. Думаю, что и Ваш подход и мой приносят хлеб с маслом и результат. За счет широты проблематики я наверное копаю не так глубоко, Вы копаете узэээнько но до упора :) Задачи при этом стоят несколько разные. Советую только не забыть, что АИС реализует алгоритмы обработки информации, которые в том или ином виде существуют и без нее, и человек является носителем информации независимо от наличия компьютера на столе.
Опубликовано 22 апреля, 200521 г 1. В договоре может быть написано ЧТО УГОДНО. А по факту все равно есть вероятность сложить критически важную подсистему или сервис. По факту нештатной ситуации начнется процедура внутреннего расследования. А это - ГЕМОР по определению. И угадайте у кого будет преимущество в представлении доказательной базы руководству (Заказчику) - у "левых" "пенетраторов" или у "своих" админов? 1 железное правило при блэкбокс пентестировании - это то что IT службы не оповещены и работают в заданном режиме работы. Если произошло нарушение заданного режима работы то расследование инцидентов покажет что произошло потому то и потому то. Если в отчете по пентесту есть действия которые привели к нарушению - то это уже неисполнение Исполнителем условий договора. 2. При всех процедурах, которые проводятся при тестах сидят представители заказчика. Это ЖЕЛЕЗНОЕ правило. Причем расписываются в том, что эти процедуры производятся с их согласия. Тайны никто не делает ни из чего. Увидел как и чем пробито - ради Бога. Вы хоть раз учавствовали в пентесте ? Методика инструменты и специалисты принимающие участие - это коммерческая тайна компании. При пентесте пентестеры не раскрывают принципов работы какого нить 0day софта. 3. Вам проще ломануть граничный маршрутизатор и пошкрябать сеть - не вопрос, хотя это уже состав преступления и слив инфы через человека - менее доказуем. Однако есть такое понятие как модель нарушителя. И туда в длииииииинный список хакеры входят только в двух-трех пунктах или около того. А защитить нужно от всего на свете, если просят. Мы говорим о тестировании на проникновение. Тестирование на проникновение - это 1 модель - модель Промышленного шпионажа. 4. Под тюнингом я понимал не эксклюзив в настройках, а нечто вроде модификации ядра ОС - это редкость. Все остальное - не искусство, а ремесло и тюнингом я такие вещи не считаю. Модификация же чужих программных продуктов дело КРАЙНЕ МУТНОЕ в правовом отношении и в техническом. - Здесь вопросов нету. 5. Ваша статистика общеизвестна, но не опровергает то, что 80% проблем с безопасностью информации решаются с помощью организационно-административных мер. Судя по графику потерь CSI/FBI от инцидентов в ИБ - на 1м месте - ущерб от DOS/DDOS атак. Соответственно зная что административными методами это не решить а проблема доступности информации - это основы безопасности - ваше утверждение неверное А вообще я не склонен спорить, вы в своей области правы. Каждый солит суп по-своему. Дадада )) Советую только не забыть, что АИС реализует алгоритмы обработки информации, которые в том или ином виде существуют и без нее, и человек является носителем информации независимо от наличия компьютера на столе. - А вы не забывайте что из компутера человека можно вытащить нааамного больше интересующей информации чем из его головы в некоторых случаях )
Опубликовано 22 апреля, 200521 г /// 1 железное правило при блэкбокс пентестировании - это то что IT службы не оповещены и работают в заданном режиме работы. Если произошло нарушение заданного режима работы то расследование инцидентов покажет что произошло потому то и потому то. Если в отчете по пентесту есть действия которые привели к нарушению - то это уже неисполнение Исполнителем условий договора. /// 2 При всех процедурах, которые проводятся при тестах сидят представители заказчика. Это ЖЕЛЕЗНОЕ правило. Причем расписываются в том, что эти процедуры производятся с их согласия. Тайны никто не делает ни из чего. Увидел как и чем пробито - ради Бога. Вы хоть раз учавствовали в пентесте ? Методика инструменты и специалисты принимающие участие - это коммерческая тайна компании. При пентесте пентестеры не раскрывают принципов работы какого нить 0day софта. 3. Вам проще ломануть граничный маршрутизатор и пошкрябать сеть - не вопрос, хотя это уже состав преступления и слив инфы через человека - менее доказуем. Однако есть такое понятие как модель нарушителя. И туда в длииииииинный список хакеры входят только в двух-трех пунктах или около того. А защитить нужно от всего на свете, если просят. Мы говорим о тестировании на проникновение. Тестирование на проникновение - это 1 модель - модель Промышленного шпионажа. 5. Ваша статистика общеизвестна, но не опровергает то, что 80% проблем с безопасностью информации решаются с помощью организационно-административных мер. Судя по графику потерь CSI/FBI от инцидентов в ИБ - на 1м месте - ущерб от DOS/DDOS атак. Соответственно зная что административными методами это не решить а проблема доступности информации - это основы безопасности - ваше утверждение неверное А вообще я не склонен спорить, вы в своей области правы. Каждый солит суп по-своему. Дадада )) Советую только не забыть, что АИС реализует алгоритмы обработки информации, которые в том или ином виде существуют и без нее, и человек является носителем информации независимо от наличия компьютера на столе. - А вы не забывайте что из компутера человека можно вытащить нааамного больше интересующей информации чем из его головы в некоторых случаях ) 2646[/snapback] 1. В том случае, если действия тестеров могут хотя бы теоретически привести к выбросу например 40 тонн аммиака - Ваши правила "блэкбокс пентестов" не работают. Руководство не отмороженные байкеры и не любители "русской рулетки". Конечно, это вопрос специфики и например при тестах в небольшом банке вы скорее правы чем нет. 2. Информация быстро устаревает. А заказчики остаются на годы. Поэтому им сообщается всё, что повысит их безопасность. Более того, если будет их желание, они будут обеспечены всеми средствами для самостоятельной работы. (никому не навязываю правил). К тому же статистика говорит, что подавляющее число инцидентов случается с использованием уязвимостей, известных _около 2-х месяцев_ и не закрытых персоналом. 0day, говорите? Трогательно. Многим предприятиям, образно говоря, нужно помыть руки прежде чем носить кружева. Ваш суперсофт и методы (не сомневаюсь в их качестве) для бОльшей части заказчиков - а-ля бисер, рассыпанный перед (хм...). К п.3. Понятие модели нарушителя Вам явно не знакомо. Определение, которое попалось мне первым и более-менее правильно: "абстрактное описание нарушителя". Сюда впишется например (взято с потолка) "технически подготовленный и имеющий инструментарий внутренний злоумышленник" или "технически неподготовленный внешний злоумышленник". К тому же злоумышленные действия могут привести не только к разглашению (утечке) информации (больше всего похоже на Вашу "модель Промышленного Шпионажа"), но и к ее искажению или недоступности. К п.5. По той же статистике, ошибки персонала - более частая вещь чем ДОС и ДДОС атаки. И уборщица со шваброй или сантехник, заливший этаж - гораздо чаще встречаются, чем хакеры (малолеток-хулиганов "c00l_хацкеров АКА черных демонов" я не считаю). Эти проявления деструктивного начала Вселенной (уборщицы и т.д. до электриков и разработчиков, убивающих актуальные версиии своего же софта) обезвреживаются скорее с упором на организационные меры. Рекомендую ISO 17799, BS7799 (если не путаю). Оргмеры и взаимовлияние компонентов там расписаны в общем виде. И вообще, технические меры и процедуры идут ПОСЛЕ организационных вопросов. Никто не отменял иерархию - Концепция-локальная политика-положение-инструкция (регламент) и все это на основе=(Закон+стандарт). Ваши тесты относятся к техническим мероприятиям и также базируются на такой административной мере Заказчика как вызов Вас для проведения пентеста. Без решения руководства вас никто не позовет, правда? К последнему пункту. Согласен. Но речь шла не о возможности получения инфы, а о первичности компонентов АИС. По определению - "Автоматизированная информационная система - совокупность аппаратно-програмнных средств, данных и реализованных с помощью аппаратно-программных средств алгоритмов обработки информации". Убираем компоненты - что осталось? Алгоритмы и информация (или данные). К разнице между данными и информацией не будем в данном контексте цепляться, ок? Я думаю, что мы уже лезем в дебри. На изначальный вопрос человека Вы ответили точнее и Вы правы как узкий технический специалист. Я же более объективен с другой точки зрения, пляшущей от комплексности проблем. Скорее всего нам с Вами приходилось решать разные задачи и на различных по специфике объектах.
Для публикации сообщений создайте учётную запись или авторизуйтесь