Оззи Опубликовано 22 апреля, 2005 Поделиться Опубликовано 22 апреля, 2005 Есть 2 вида тестирования - whitebox/blackbox. отличаются методиками и исходными данными предоставляемыми заказчиком. Цена пентеста в среднем - 5000 Если сумма меньше - некомпетентность. Выше - накрутка за брэндовость. Сроки от 2х недель до 3х месяцев. В зависимости от того что является целью пентеста. Оговариваются моменты применения социнженерии и нарушения заданного режима работы ИС. 2635[/snapback] Честно говоря такая тема как пентест мне кажется скользкой в юридическом отношении. Высока вероятность при тестовом заломе грохнуть реальные ресурсы и сервисы. А если это например химпредприятие с доморощенным технологическим софтом на платформе PC... и на одном серваке крутится технологический софт и бухгалтерия и веб-сервер (не ржать, было такое!)? Даже если РЕАЛЬНО действия по взлому не могли привести к инциденту и это вина только службы автоматизации заказчика чаще всего пытаются все проблемы с сетью и т.д. валить на тех, кто ковырял сеть. Даже если шел скан с целью инвентаризации, а не на уязвимости. Если идет комплексное обследование предприятия, то проще в рамках проекта проверить настройки компонентов, регулярность обновления (патчи и антивирусные базы, спам-базы, обновления експлоитов) и правильность организационной компоненты АИС. Если речь не идет о возможной "заказухе" в отношении клиента - бОльшая часть проблем обычно решена. Если все с автоматизированной системой пучком - проще не ломать, а вербовать агентуру на предприятии, пытаться слушать и т.д. Статистика о том же говорит - до 80% траблов предупреждаются просто вставкой кактуса куда надо ленивым админам со стороны руководства по инициативе аудиторов или админа безопасности. Таких заказчиков большинство. А "тюнинг" СЗИ встречается редко. И еще, где-то пробежало, что админа включили в состав ОЭБ. ИМХО, не совсем правильно. Есть такой кекс, как администратор безопасности, а есть системный администратор. Задачи противоположны по сути - первый ограничивает доступ юзеров к информации и ресурсам как может, второй должен обеспечить гарантированный и легкий доступ к ресурсам сети. Один на практике меняет настройки "в доступах", а другой ничего поменять не может, доступа к контенту не имеет (насколько это возможно), но может читать логи и просматривать чего натворил сисадмин. Классика безопасности - разделение полномочий и взаимный контроль. Админ безопасности занимается среди прочего распределением эл. ключей например, сменой паролей, перлюстрацией трафика и сидит именно в структуре СБ. А системный администратор теряет титул "пупа земли" и решает чисто технические вопросы, а не рубится в Квака через инет. "Кто будет сторожить сторожей" короче. Ссылка на комментарий Поделиться на другие сайты More sharing options...
хыровато Опубликовано 22 апреля, 2005 Поделиться Опубликовано 22 апреля, 2005 Честно говоря такая тема как пентест мне кажется скользкой в юридическом отношении. Высока вероятность при тестовом заломе грохнуть реальные ресурсы и сервисы. - Это предусматривается юридическим договором. В нем указано что к примеру заданный режим работы сетевого и серверного оборудования (24*7 9 *5) нарушаться не будет. Даже если шел скан с целью инвентаризации, а не на уязвимости. - Если вы могли это обнаружить. Значит вас ламеры пентестили. Профи при blackbox тестировании не дадут себя обнаружить. Если идет комплексное обследование предприятия, то проще в рамках проекта проверить настройки компонентов, регулярность обновления (патчи и антивирусные базы, спам-базы, обновления експлоитов) и правильность организационной компоненты АИС. - И все равно в 95% случаев пентест удается. Если все с автоматизированной системой пучком - проще не ломать, а вербовать агентуру на предприятии, пытаться слушать и т.д. - пучком никогда ни в каких случаях на 100% ничего не будет. Мне проще взломать если есть возможность чем вербовать )) Статистика о том же говорит - до 80% траблов предупреждаются просто вставкой кактуса куда надо ленивым админам со стороны руководства по инициативе аудиторов или админа безопасности. Моя статистика говорит что 90% случаев проникновения не обнаруживаются в системе. Об этом говорит только всплывшая информация. Таких заказчиков большинство. А "тюнинг" СЗИ встречается редко. - Тюнинг СЗИ присутствует всегда там где беспокоюцца о СЗИ ))) И еще, где-то пробежало, что админа включили в состав ОЭБ. ИМХО, не совсем правильно. Есть такой кекс, как администратор безопасности, а есть системный администратор. Задачи противоположны по сути - первый ограничивает доступ юзеров к информации и ресурсам как может, второй должен обеспечить гарантированный и легкий доступ к ресурсам сети. - администратор ИБ - это администратор внештатных СЗИ. Штатные СЗИ - прерогатива админа. В службе ИТ ИБ еще есть должности аналитиков манагеров - именно их совместаная работа и обеспечивает конфиденциальность целостнолсть и доступность информации в сети. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Оззи Опубликовано 22 апреля, 2005 Поделиться Опубликовано 22 апреля, 2005 Честно говоря такая тема как пентест мне кажется скользкой в юридическом отношении. Высока вероятность при тестовом заломе грохнуть реальные ресурсы и сервисы. - Это предусматривается юридическим договором. В нем указано что к примеру заданный режим работы сетевого и серверного оборудования (24*7 9 *5) нарушаться не будет. Даже если шел скан с целью инвентаризации, а не на уязвимости. - Если вы могли это обнаружить. Значит вас ламеры пентестили. Профи при blackbox тестировании не дадут себя обнаружить. Если идет комплексное обследование предприятия, то проще в рамках проекта проверить настройки компонентов, регулярность обновления (патчи и антивирусные базы, спам-базы, обновления експлоитов) и правильность организационной компоненты АИС. - И все равно в 95% случаев пентест удается. Если все с автоматизированной системой пучком - проще не ломать, а вербовать агентуру на предприятии, пытаться слушать и т.д. - пучком никогда ни в каких случаях на 100% ничего не будет. Мне проще взломать если есть возможность чем вербовать )) Статистика о том же говорит - до 80% траблов предупреждаются просто вставкой кактуса куда надо ленивым админам со стороны руководства по инициативе аудиторов или админа безопасности. Моя статистика говорит что 90% случаев проникновения не обнаруживаются в системе. Об этом говорит только всплывшая информация. Таких заказчиков большинство. А "тюнинг" СЗИ встречается редко. - Тюнинг СЗИ присутствует всегда там где беспокоюцца о СЗИ ))) И еще, где-то пробежало, что админа включили в состав ОЭБ. ИМХО, не совсем правильно. Есть такой кекс, как администратор безопасности, а есть системный администратор. Задачи противоположны по сути - первый ограничивает доступ юзеров к информации и ресурсам как может, второй должен обеспечить гарантированный и легкий доступ к ресурсам сети. - администратор ИБ - это администратор внештатных СЗИ. Штатные СЗИ - прерогатива админа. В службе ИТ ИБ еще есть должности аналитиков манагеров - именно их совместаная работа и обеспечивает конфиденциальность целостнолсть и доступность информации в сети. 2644[/snapback] 1. В договоре может быть написано ЧТО УГОДНО. А по факту все равно есть вероятность сложить критически важную подсистему или сервис. По факту нештатной ситуации начнется процедура внутреннего расследования. А это - ГЕМОР по определению. И угадайте у кого будет преимущество в представлении доказательной базы руководству (Заказчику) - у "левых" "пенетраторов" или у "своих" админов? 2. При всех процедурах, которые проводятся при тестах сидят представители заказчика. Это ЖЕЛЕЗНОЕ правило. Причем расписываются в том, что эти процедуры производятся с их согласия. Тайны никто не делает ни из чего. Увидел как и чем пробито - ради Бога. Заказчику польза. 3. Вам проще ломануть граничный маршрутизатор и пошкрябать сеть - не вопрос, хотя это уже состав преступления и слив инфы через человека - менее доказуем. Однако есть такое понятие как модель нарушителя. И туда в длииииииинный список хакеры входят только в двух-трех пунктах или около того. А защитить нужно от всего на свете, если просят :) 4. Под тюнингом я понимал не эксклюзив в настройках, а нечто вроде модификации ядра ОС - это редкость. Все остальное - не искусство, а ремесло и тюнингом я такие вещи не считаю. Модификация же чужих программных продуктов дело КРАЙНЕ МУТНОЕ в правовом отношении и в техническом. 5. Ваша статистика общеизвестна, но не опровергает то, что 80% проблем с безопасностью информации решаются с помощью организационно-административных мер. А вообще я не склонен спорить, вы в своей области правы. Каждый солит суп по-своему. Думаю, что и Ваш подход и мой приносят хлеб с маслом и результат. За счет широты проблематики я наверное копаю не так глубоко, Вы копаете узэээнько но до упора :) Задачи при этом стоят несколько разные. Советую только не забыть, что АИС реализует алгоритмы обработки информации, которые в том или ином виде существуют и без нее, и человек является носителем информации независимо от наличия компьютера на столе. Ссылка на комментарий Поделиться на другие сайты More sharing options...
хыровато Опубликовано 22 апреля, 2005 Поделиться Опубликовано 22 апреля, 2005 1. В договоре может быть написано ЧТО УГОДНО. А по факту все равно есть вероятность сложить критически важную подсистему или сервис. По факту нештатной ситуации начнется процедура внутреннего расследования. А это - ГЕМОР по определению. И угадайте у кого будет преимущество в представлении доказательной базы руководству (Заказчику) - у "левых" "пенетраторов" или у "своих" админов? 1 железное правило при блэкбокс пентестировании - это то что IT службы не оповещены и работают в заданном режиме работы. Если произошло нарушение заданного режима работы то расследование инцидентов покажет что произошло потому то и потому то. Если в отчете по пентесту есть действия которые привели к нарушению - то это уже неисполнение Исполнителем условий договора. 2. При всех процедурах, которые проводятся при тестах сидят представители заказчика. Это ЖЕЛЕЗНОЕ правило. Причем расписываются в том, что эти процедуры производятся с их согласия. Тайны никто не делает ни из чего. Увидел как и чем пробито - ради Бога. Вы хоть раз учавствовали в пентесте ? Методика инструменты и специалисты принимающие участие - это коммерческая тайна компании. При пентесте пентестеры не раскрывают принципов работы какого нить 0day софта. 3. Вам проще ломануть граничный маршрутизатор и пошкрябать сеть - не вопрос, хотя это уже состав преступления и слив инфы через человека - менее доказуем. Однако есть такое понятие как модель нарушителя. И туда в длииииииинный список хакеры входят только в двух-трех пунктах или около того. А защитить нужно от всего на свете, если просят. Мы говорим о тестировании на проникновение. Тестирование на проникновение - это 1 модель - модель Промышленного шпионажа. 4. Под тюнингом я понимал не эксклюзив в настройках, а нечто вроде модификации ядра ОС - это редкость. Все остальное - не искусство, а ремесло и тюнингом я такие вещи не считаю. Модификация же чужих программных продуктов дело КРАЙНЕ МУТНОЕ в правовом отношении и в техническом. - Здесь вопросов нету. 5. Ваша статистика общеизвестна, но не опровергает то, что 80% проблем с безопасностью информации решаются с помощью организационно-административных мер. Судя по графику потерь CSI/FBI от инцидентов в ИБ - на 1м месте - ущерб от DOS/DDOS атак. Соответственно зная что административными методами это не решить а проблема доступности информации - это основы безопасности - ваше утверждение неверное А вообще я не склонен спорить, вы в своей области правы. Каждый солит суп по-своему. Дадада )) Советую только не забыть, что АИС реализует алгоритмы обработки информации, которые в том или ином виде существуют и без нее, и человек является носителем информации независимо от наличия компьютера на столе. - А вы не забывайте что из компутера человека можно вытащить нааамного больше интересующей информации чем из его головы в некоторых случаях ) Ссылка на комментарий Поделиться на другие сайты More sharing options...
Оззи Опубликовано 22 апреля, 2005 Поделиться Опубликовано 22 апреля, 2005 /// 1 железное правило при блэкбокс пентестировании - это то что IT службы не оповещены и работают в заданном режиме работы. Если произошло нарушение заданного режима работы то расследование инцидентов покажет что произошло потому то и потому то. Если в отчете по пентесту есть действия которые привели к нарушению - то это уже неисполнение Исполнителем условий договора. /// 2 При всех процедурах, которые проводятся при тестах сидят представители заказчика. Это ЖЕЛЕЗНОЕ правило. Причем расписываются в том, что эти процедуры производятся с их согласия. Тайны никто не делает ни из чего. Увидел как и чем пробито - ради Бога. Вы хоть раз учавствовали в пентесте ? Методика инструменты и специалисты принимающие участие - это коммерческая тайна компании. При пентесте пентестеры не раскрывают принципов работы какого нить 0day софта. 3. Вам проще ломануть граничный маршрутизатор и пошкрябать сеть - не вопрос, хотя это уже состав преступления и слив инфы через человека - менее доказуем. Однако есть такое понятие как модель нарушителя. И туда в длииииииинный список хакеры входят только в двух-трех пунктах или около того. А защитить нужно от всего на свете, если просят. Мы говорим о тестировании на проникновение. Тестирование на проникновение - это 1 модель - модель Промышленного шпионажа. 5. Ваша статистика общеизвестна, но не опровергает то, что 80% проблем с безопасностью информации решаются с помощью организационно-административных мер. Судя по графику потерь CSI/FBI от инцидентов в ИБ - на 1м месте - ущерб от DOS/DDOS атак. Соответственно зная что административными методами это не решить а проблема доступности информации - это основы безопасности - ваше утверждение неверное А вообще я не склонен спорить, вы в своей области правы. Каждый солит суп по-своему. Дадада )) Советую только не забыть, что АИС реализует алгоритмы обработки информации, которые в том или ином виде существуют и без нее, и человек является носителем информации независимо от наличия компьютера на столе. - А вы не забывайте что из компутера человека можно вытащить нааамного больше интересующей информации чем из его головы в некоторых случаях ) 2646[/snapback] 1. В том случае, если действия тестеров могут хотя бы теоретически привести к выбросу например 40 тонн аммиака - Ваши правила "блэкбокс пентестов" не работают. Руководство не отмороженные байкеры и не любители "русской рулетки". Конечно, это вопрос специфики и например при тестах в небольшом банке вы скорее правы чем нет. 2. Информация быстро устаревает. А заказчики остаются на годы. Поэтому им сообщается всё, что повысит их безопасность. Более того, если будет их желание, они будут обеспечены всеми средствами для самостоятельной работы. (никому не навязываю правил). К тому же статистика говорит, что подавляющее число инцидентов случается с использованием уязвимостей, известных _около 2-х месяцев_ и не закрытых персоналом. 0day, говорите? Трогательно. Многим предприятиям, образно говоря, нужно помыть руки прежде чем носить кружева. Ваш суперсофт и методы (не сомневаюсь в их качестве) для бОльшей части заказчиков - а-ля бисер, рассыпанный перед (хм...). К п.3. Понятие модели нарушителя Вам явно не знакомо. Определение, которое попалось мне первым и более-менее правильно: "абстрактное описание нарушителя". Сюда впишется например (взято с потолка) "технически подготовленный и имеющий инструментарий внутренний злоумышленник" или "технически неподготовленный внешний злоумышленник". К тому же злоумышленные действия могут привести не только к разглашению (утечке) информации (больше всего похоже на Вашу "модель Промышленного Шпионажа"), но и к ее искажению или недоступности. К п.5. По той же статистике, ошибки персонала - более частая вещь чем ДОС и ДДОС атаки. И уборщица со шваброй или сантехник, заливший этаж - гораздо чаще встречаются, чем хакеры (малолеток-хулиганов "c00l_хацкеров АКА черных демонов" я не считаю). Эти проявления деструктивного начала Вселенной (уборщицы и т.д. до электриков и разработчиков, убивающих актуальные версиии своего же софта) обезвреживаются скорее с упором на организационные меры. Рекомендую ISO 17799, BS7799 (если не путаю). Оргмеры и взаимовлияние компонентов там расписаны в общем виде. И вообще, технические меры и процедуры идут ПОСЛЕ организационных вопросов. Никто не отменял иерархию - Концепция-локальная политика-положение-инструкция (регламент) и все это на основе=(Закон+стандарт). Ваши тесты относятся к техническим мероприятиям и также базируются на такой административной мере Заказчика как вызов Вас для проведения пентеста. Без решения руководства вас никто не позовет, правда? К последнему пункту. Согласен. Но речь шла не о возможности получения инфы, а о первичности компонентов АИС. По определению - "Автоматизированная информационная система - совокупность аппаратно-програмнных средств, данных и реализованных с помощью аппаратно-программных средств алгоритмов обработки информации". Убираем компоненты - что осталось? Алгоритмы и информация (или данные). К разнице между данными и информацией не будем в данном контексте цепляться, ок? Я думаю, что мы уже лезем в дебри. На изначальный вопрос человека Вы ответили точнее и Вы правы как узкий технический специалист. Я же более объективен с другой точки зрения, пляшущей от комплексности проблем. Скорее всего нам с Вами приходилось решать разные задачи и на различных по специфике объектах. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Заархивировано
Эта тема находится в архиве и закрыта для дальнейших ответов.