Comments 3
все просто в мире информационной безопасности – поставь себе железок и софта на несколько миллионов, и будет тебе счастье, найми парочку сотрудников, чтобы следить за этим «зоопарком», — и вообще идеально. Примерно так и думает большинство руководителей компаний, администраторов безопасности и менеджеров по продажам этих самых новомодных решений.
Эти пускай думают, если есть лишние деньги — пусть покупают, нанимают, ну а менеджерам по продажам сам бог велел впаривать.
А истина здесь:
А суть сей басни такова: используйте свои ресурсы грамотно.
У автора в статье три разных понятия названы одним словом — «тестирование на проникновение».
1. Есть vulnerability assessment — «оценка уязвимостей»: грубо говоря прогнал автоматический сканер типа нессуса/кволиса/макспатрола или еще какого-нибудь (есть специализированные сканеры под веб, под БД и тп), получил отчет и доволен — есть список проблем, можно идти и фиксить.
2. Есть «Penetration Test» — оно же «тестирование на проникновение». Нанимаем пентестеров, обозначаем границы обследования и вперед. Задача у пентеста — проверить адекватность конфигурации и настроек безопасности серверов и приложений. В идеале пентесты проводятся с отключенными средствами защиты, чтобы это не WAF атаки отбивал, а веб-приложение было не уязвимо. Команда защиты заранее предупреждается о пентесте, и не должна реагировать на события от пентестера.
3. «Red Team Exercise» — тут задача как раз проверить процессы и методы реагирования синей команды. О Read Team Exercise никто не предупреждает защитников. Члены красной команды должны моделировать действия хакера в разных сценариях (например популярен сценарий «assumed breach» — т.е. мы заранее помогаем красной команде попасть внутрь периметра, и смотрим как быстро синяя команда обнаружит вторжение).
1. Есть vulnerability assessment — «оценка уязвимостей»: грубо говоря прогнал автоматический сканер типа нессуса/кволиса/макспатрола или еще какого-нибудь (есть специализированные сканеры под веб, под БД и тп), получил отчет и доволен — есть список проблем, можно идти и фиксить.
2. Есть «Penetration Test» — оно же «тестирование на проникновение». Нанимаем пентестеров, обозначаем границы обследования и вперед. Задача у пентеста — проверить адекватность конфигурации и настроек безопасности серверов и приложений. В идеале пентесты проводятся с отключенными средствами защиты, чтобы это не WAF атаки отбивал, а веб-приложение было не уязвимо. Команда защиты заранее предупреждается о пентесте, и не должна реагировать на события от пентестера.
3. «Red Team Exercise» — тут задача как раз проверить процессы и методы реагирования синей команды. О Read Team Exercise никто не предупреждает защитников. Члены красной команды должны моделировать действия хакера в разных сценариях (например популярен сценарий «assumed breach» — т.е. мы заранее помогаем красной команде попасть внутрь периметра, и смотрим как быстро синяя команда обнаружит вторжение).
Совершенно верно вы описали все 3 понятия.
И очень часто возникает ситуация, когда при проведении тестирования на проникновение, предупрежденная команда защиты начинает «вредительствовать» (блокировать IP-адреса пентестеров, срочно менять конфигурации и т.д.), чтобы не получить нагоняй от начальства.
Также большинство заказчиков не понимает, чего они хотят. Знают модное слово «пентест» и хотят отчет. Или вообще не понимают зачем им подобного рода проверки безопасности, если у них стоят дорогущие средства защиты.
Можно, конечно, всем сказать — берите RedTeam как услугу и все. Но не все на это готовы морально и финансово. Поэтому цель статьи — показать, что даже при выборе тестирования на проникновение, заказчик может получить значительно больше плюсов, чем просто отчет об уязвимостях и недостатках информационной системы. Можно сидеть и не мешать, пока работают пентестеры, а можно не мешать, но делать выводы и таким образом учить команду BlueTeam. К сожалению, большинство просто ждет отчета, чтобы «потом, когда-нибудь, все устранить» и в плане поставить галочку, что тестирование на проникновение проведено.
И очень часто возникает ситуация, когда при проведении тестирования на проникновение, предупрежденная команда защиты начинает «вредительствовать» (блокировать IP-адреса пентестеров, срочно менять конфигурации и т.д.), чтобы не получить нагоняй от начальства.
Также большинство заказчиков не понимает, чего они хотят. Знают модное слово «пентест» и хотят отчет. Или вообще не понимают зачем им подобного рода проверки безопасности, если у них стоят дорогущие средства защиты.
Можно, конечно, всем сказать — берите RedTeam как услугу и все. Но не все на это готовы морально и финансово. Поэтому цель статьи — показать, что даже при выборе тестирования на проникновение, заказчик может получить значительно больше плюсов, чем просто отчет об уязвимостях и недостатках информационной системы. Можно сидеть и не мешать, пока работают пентестеры, а можно не мешать, но делать выводы и таким образом учить команду BlueTeam. К сожалению, большинство просто ждет отчета, чтобы «потом, когда-нибудь, все устранить» и в плане поставить галочку, что тестирование на проникновение проведено.
Sign up to leave a comment.
А ну его, ваш пентест