Один мой знакомый™ руководитель отдела ИБ решил провести пентест. Трудно сказать, что конкретно повлияло на это решение. То ли статьи на SANS Network, то ли рекомендации коллег по несчастью, то ли критическая масса просмотренных вебинаров сделала своё дело, но так или иначе деньги были выделены, и среди заметных на рынке системных интеграторов был выбран самый достойный.
Тут, кстати, несложно сделать небольшой реверс-инжиниринг принятия решения. Денег у нас фиксированное количество, а предложения интеграторов не блещут разнообразием, как будто написаны нейросетью: пентест, аудит, хакеры, регуляторы, стратегия, безопасность, мистер Робот – нужное подчеркнуть. Мало того, некоторые компании вместо технико-коммерческого предложения присылают опросники с вопросами вроде «Как будем тестировать?». В смысле «как»? А как вы умеете?
Так или иначе, из десятка технико-коммерческих предложений выбрали самое подходящее – то, где меньше вопросов, наименее витиеватые формулировки и меньшее количество орфографических ошибок.
Тестировать решили постепенно и обозначили три направления работы. Во-первых, протестировать веб-сайт, который хостился непосредственно в организации, потому что не хотелось связываться со сторонними хостерами. Во-вторых, было бы неплохо оценить, как обстоит ситуация с беспроводными сетями, потому что компания переходила к модели, где сотрудники работают со своих устройств большую часть времени. И, в-третьих, было интересно, докуда мог бы добраться легитимный пользователь сети, обладая правами обычного пользователя.
На вопрос сколько времени всё это может занять, представитель интегратора произнёс загадочное «Ну как пойдёт, обычно за неделю собираем данные, а затем составляем отчёт». Моему знакомому™ понравился план, хотя он как-то позабыл уточнить, где в этом плане будет, собственно, пентест.
В назначенное время в офис приехали два молодых человека в футболках с провокационными надписями, а также человек постарше в костюме менеджера. Молодым людям выделили стол, где они разложили вещи и открыли свои с ноутбуки, на которых не было живого места от наклеек, которые выдают на всяких хакерских мероприятиях. Не хватало только черных худи и масок. Но, видимо, просто за окном лето, и жарко в этом во всём.
Увиденное очень легко ложилось на ожидания, и мой знакомый™ принялся общаться с прибывшим менеджером о перспективах дальнейшего сотрудничества с интегратором.
Пентест, судя по всему, шел своим чередом, молодые люди периодически бродили по кабинетам и пытались беседовать с офисными сотрудниками. Один из молодых людей даже был замечен гуляющим с ноутбуком и «альфой» по коридорам.
Молодые люди проработали в таком режиме два дня и удалились. Через некоторое время мой знакомый™ получил по почте отчёт и поделился им со мной.
Отчёт был красив и содержал информацию об отдельных хостах и наличию на них уязвимостей. Оказалось, что хакеры просто запустили сканер безопасности (Qualys, Nessus, Nexpose или что-то еще, к сожалению, по шаблону было не узнать) и два дня ждали результатов выполнения работы. Дополнительным абзацем было указано, что неучтённых беспроводных сетей не обнаружено, а те, что есть – вполне безопасны. За этот отчёт и была запрошена вся немалая шестизначная сумма денег.
Признаться, мой знакомый™ ожидал, как ему покажут взлом в прямом эфире, а тут просто перечень обновлений и некоторые отмечены красным как критические. А почему критические? Можете показать, как ими может воспользоваться злоумышленник? А как вы определили, что сеть Wi-Fi безопасна? Что вы попробовали сделать, и что из этого вышло? Эти вопросы он задал менеджеру от интегратора и мне.
Отдельные уязвимости выглядели перспективно в смысле эксплуатации, но я не стал развивать эту тему и попросил почитать техническое задание. Я совсем не удивился, когда прочёл, что в техническом задании фактически один пункт работ – сканирование на наличие уязвимостей. Это и произошло. Не было ни слова про аудит, тестирование на проникновение, демонстрацию результатов и прочего.
Знакомый™ был расстроен. То ли от того, что не стал вникать, в чём разница между пентестом, анализом уязвимостей и аудитом безопасности, то ли от того, что деньги были потрачены непонятно на что. Я успокоил его тем, что даже правильно спланированный пентест – штука непредсказуемая.
Пентест – это не аудит в чистом виде. Пентест имитирует действия нарушителя, соответственно, логично предположить, что пентестеры будут обладать квалификацией уж никак не меньше нарушителей. А как это проверить? А никак.
Есть злоумышленники с нулевой квалификацией и скриптами, найденными в интернете, а есть гуру, ломающие Amazon. Есть пентестеры, умеющие самостоятельно только запускать сканер, а есть умудрённые опытом взломщики. Работайте с проверенными людьми и читайте внимательно, что подписываете.
Со знакомым™, кстати, мы договорились провести небольшие учения по кибербезопасности в его организации, но об этом в следующий раз.
Simon Says «0» 
One thought on “Pentest monkey”