Тесты на проникновение (penetration testing, pentest) – одна из востребованных услуг на рынке информационной безопасности. Успешно проведенный пентест – вещь довольно эффектная, по крайней мере, повышающая авторитет исполнителя в глазах заказчика. Но есть ли польза от пентеста для самого заказчика?
Польза от пентеста для заказчика заключается в следующем:
- психологическое воздействие на руководство и полезный урок для ИТ и ИБ специалистов (лучше один раз увидеть насколько слабо защищена ваша система, чем сто раз об этом услышать)
- возможность обнаружения и устранения одной или нескольких серьезных уязвимостей
На этом, пожалуй, исчерпывается полезность пентестов для заказчика.
Полезность пентеста для исполнителя состоит в следующем:
- возможность потренировать своих специалистов за счет заказчика, испытать новые эксплойты и сетевые сканеры
- возможность повысить свой авторитет в глазах заказчика в случае удачно проведенного пентеста
- возможность заработать приличные деньги (пентест – услуга высокорентабельная)
Теперь о том, чего заказчик не получает от пентеста:
- объективной оценки защищенности своей корпоративной сети (успешное проникновение свидетельствует лишь о наличии конкретной уязвимости и умении исполнителя эту уязвимость использовать, а взломать, при желании, можно практически любую систему, вопрос только в том, сколько это может стоить). Время затраченное исполнителем на проникновение и его квалификация не позволяют сделать никаких выводов о защищенности тестируемой системы. Другие исполнители, возможно, сделали бы это намного проще, или наоборот, потерпели бы неудачу.
- идентификации и анализа всех существующих уязвимостей корпоративной сети, позволяющих судить об общем уровне защищенности (для успешного проникновения достаточно обнаружить лишь одну или несколько уязвимостей)
- уверенности в том, что удалось устранить имеющиеся уязвимости и повысить защищенность систем (исполнитель продемонстрировал заказчику лишь один или несколько возможных сценариев проникновения, а сколько их еще может быть?)
- уверенность в том, что конфиденциальные данные заказчика не утекли насторону (пентест не предполагает, что все действия исполнителя осуществляются под контролем представителей заказчика, как это происходит при обычном аудите безопасности, по крайней мере, вероятность утечки данных при пентесте значительно выше)
Успешное проникновение свидетельствует только о том, что систему можно взломать (о чем известно заранее по-определению, т.к. абсолютно безопасных систем не бывает), а неуспешное проникновение свидетельствует только о том, что исполнитель не смог взломать вашу систему (вам это о чем нибудь говорит? может ему просто времени не хватило? или этот не смог, а другой сможет). Сухой остаток от пентеста – это возможная идентификация и устранение нескольких уязвимостей. Так стоит ли пыжиться исполнителю, а заказчику тратить весьма приличные деньги (работа квалифицированного взломщика стоит от $1000 в день и выше, а там таких взломщиков будет несколько) ради того, чтобы обнаружить и устранить несколько уязвимостей (и остаться с кучей других уязвимостей и в полном неведении относительно реальной защищенности своих систем)?
Обычный анализ защищенности корпоративной сети при помощи сетевых и хостовых сканеров, требующий куда меньше времени (и квалификации) от исполнителя и денежных затрат от заказчика, позволять получить куда как более полезные результаты, а именно:
- идентифицировать и проранжировать все имеющиеся технические уязвимости (по крайней мере те, о которых известно из доступных исполнителю источников)
- дать объективную оценку уровня защищенности систем заказчика и его адекватность
- разработать подробный план действий по устранению, либо смягчению всех имеющихся уязвимостей, а не только тех, которые использовались в ходе пентеста
Таким образом, пентесты это занятие увлекательное и, в какой-то степени даже полезное (в основном для исполнителя), но готовы ли вы платить немалые деньги за это развлечение или для вас интереснее было бы все же уменьшить риски своего бизнеса?
Я отнюдь не утверждаю, что пентесты не нужны совсем. Мы и сами оказываем подобные услуги. Я лишь хотел бы обратить внимание на тот факт, что анализ защищенности и пентест – это не одно и тоже. Если вам нужен именно анализ защищенности, либо оценка рисков, тогда глупо заказывать пентест, т.к. заплатите вы намного больше, а требуемого результата в виде реального повышения уровня защищенности и уменьшения рисков не получите.
Comments (9)
Странник 10-04-2009 11:15
Pentest – стоит ли овчинка выделки?
вобще-то, пентест это один из этапов проекта или услуги по анализу и совершенствованию защищенности, проводящийся далеко не в самом его начале. Как правило он проводится после того как выполнены все части касающиеся защиты, мониторинга, реагирования и обучения пользователей. И ни в коем случае он не сводится к тупому лому системы…
Привлечение частников к таким работам может быть и дешевле, но приемлемость рисков привлечения к такой работе частного лица для всех разная.
Видимо автор смутно представляет себе тему о которой пишет, а компания оказывающая “подобные услуги”, вызывает только сомнение.
Александр Астахов 10-04-2009 11:40
видимо вы “смутно” прочитали авторский текст
Где вы нашли “авторские” мысли о привлечении частников к пентесту? Я говорил лишь о том, что квалифицированные специалисты, способные провести качественный пентест, стоят весьма дорого.
Где вы нашли рассуждения о “тупом ломе” системы?
А вот с тем, что пентест может быть скорее одним из этапов проекта по анализу и совершенствованию защищенности, я согласен. Причем, в большинстве случаев, и без пентеста можно разобраться, что нуждается в совершенствовании, какие уязвимости и каким образом следует устранять.
Вызывает сомнения, что вы, Странник, обладая такой поразительной степенью “внимательности” при прочтении несложного текста, способны не пропустить большинство уязвимостей при анализе защищенности корпоративной сети.
Вадим 27-09-2010 06:29
Пентест
Автор как раз не смутно себе представляет, а пишет совершенно разумные вещи.
Различные пентесты обладают весьма ограниченной полезностью, а зачастую основаны на текущих уязвимостях, которые через неделю будут уже закрыты в автоматическом режиме.
“Выполнены все части касающиеся защиты … обучения пользователей” позабавило.
Вы очевидно никогда не реализовывали все эти части касающиеся защиты и особенно обучения пользователей в крупной организации. Эти вопросы “выполнить” не то, что все, а даже большую часть совершенно невозможно.
Мимо Проходил 14-04-2009 09:53
пентесты
Складывается впечатление, что автор статьи никогда в реальности не сталкивался с пентестами.Слишком много откровенно надуманного и ошибочного.
Александр Астахов 14-04-2009 10:07
человеку свойственно ошибаться
Укажите в чем я не прав и я либо признаю свои ошибки, либо объясню в чем заблуждаетесь вы.
guest 14-04-2009 04:45
Наткнулся на статью
http://www.securitylab.ru/opinion/377294.php
Александр Астахов 14-04-2009 05:45
пентестеры всполошились
Уважаемые пентестеры, если вы читаете мои скромные заметки, то я хотел бы вас уверить, что, работая с некоторыми из вас и пересекаясь с другими из вас по работе, я отношусь к вам с большим уважением и высоко ценю ваши профессиональные хакерские навыки. То, что умеете делать вы, не каждому дано. Одно дело – работа с сетевыми сканерами, чеклистами и опросниками, и другое дело – реальные проникновения в системы заказчиков с использованием разнообразных методов социальной инженерии, собиранием эксплойтов, получением привилегий суперпользователя, внедрением троянов и руткитов, дешифрованием парольных файлов и т.п. (не мне вас этому учить).
Действительно, необходимость в проведении подобных пентестов возникает далеко не всегда и не у всех заказчиков, но так уж устроена жизнь (и безопасность). Это отнюдь не умоляет ваших заслуг перед обществом. И вам вовсе не требуется никого убеждать в том, что вы еще и выявляете проблемы СУИБ, заодно оценивая ее эффективность, а также попутно решаете и все прочие проблемы заказчика с безопасностью, что если и существуют какие-либо другие подходы к анализу защищенности, то они также должны называться гордым словом Пентест и что писать это слово надо с большой буквы. Мы и так вас любим и ценим. Но когда вы такие вещи начинаете говорить, да еще работаете по себестоимости, тогда ваши закачики могут подумать, что вы и пентесты проводите также, как вы “оцениваете эффективность СУИБ” и не будут вам платить даже по себестоимости. А это уже будет несправедливо.
Владимир 28-10-2009 05:49
Пентестер-царица полей
Прочел перепалку только вчера… Ввиду того, что тема актуальна решил написать.
Полностью поддерживаю автора: при сегодняшнем инструментарии и уровнях центров компетенции, исследующих уязвимости, потребность в пентестах не очевидна.
Почему-то вспомнилося “Пехота-царица полей” (“В бой идут одни старики”).
Только вот великие битвы не в поле выигровались…
ЗЫ: Абсолютно не понятны нападки представителя Positive Technologies (http://www.securitylab.ru/opinion/377294.php), разработчика очень неплохого сканера… Ведь сканер инфу о уязвимостях не сам придумает, а берет из очень авторитеных источников, а следовательно если там написано “критическая” значит “критическая”, не зависимо от того есть ли у тебя сегодня знания как ею воспользоваться или нет.
Александр Астахов 29-10-2009 12:57
о нападках
Ничего удивительного в нападках “разработчика неплохого сканера” я не вижу. Наверное, я своей заметкой в какой-то мере задел его профессиональную гордость. Ведь человеку вообще свойственно придавать избыточное значение той деятельности, которой он профессионально занимается. Так, если человек занимается только разработкой сетевого сканера и пентестами на его основе, то вполне естественно, что он будет считать именно эту деятельность основным вопросом информационной безопасности, иначе ему здесь просто не от чего оттолкнуться.