Кто победит в сражении пиратов и ниндзя? Я знаю, вы думаете: «Какое, к чёрту, это имеет отношение к безопасности?» Читайте дальше, чтобы узнать, но сначала выберите: Пираты или Ниндзя?
Перед тем, как сделать такой выбор, нужно узнать их сильные и слабые стороны:
Пираты |
|
|---|---|
| Сильные стороны | Слабые стороны |
| Мощные | Громкие |
| Хороши в атаках с применением грубой силы | Пьяные (некоторые считают, что это может быть преимуществом) |
| Хороши в грабеже | Могут быть неосторожны |
| Дальнобойные | |
Ниндзя |
|
| Сильные стороны | Слабые стороны |
| Быстрые | Нет доспехов |
| Скрытные | Маленькие |
| Призваны обучать | |
| Мастера ближнего боя | |
Всё сводится к тому, что полезнее в той или иной ситуации. Если вы ищете клад на затерянном острове и рискуете нарваться на Флот Её Величества, ниндзя вам вероятно не понадобятся. Если же вы готовите покушение, то пираты — не те, на кого можно положиться.
Та же история с пентестом и редтимингом. Оба подхода имеют как сильные, так и слабые стороны, что делает один из них более предпочительным в зависимости от условий. Для получения максимальной отдачи нужно определить цели, а затем решить, что лучше им соответствует.
Penetration Testing
Пентест обычно путают с другими методами оценки безопасности: поиск уязвимостей и редтиминг. Но хотя у этих подходов есть общие компоненты, они всё же отличаются и должны использоваться в разных контекстах.
По сути, настоящий пентест заключается в выявлении максимального числа уязвимостей и ошибок конфигурации за отведённое время, а также в их эксплуатации для определения уровня риска. Это не обязательно должно включать поиск зеродеев, чаще всего — это поиск известных незакрытых уязвимостей. Как и в случае с поиском уязвимостей пентест предназначен для выявления уязвимостей и проверки на ошибки первого рода (ложнопозитивные срабатывания).
Однако при проведении пентеста проверяющий идёт дальше, пытаясь осуществить эксплуатацию уязвимости. Это может быть проделано множеством способов, и когда уязвимость проэксплуатирована, хороший пентестер не останавливается. Он продолжает искать и эксплуатировать другие уязвиости, объединяя атаки, чтобы достичь цели. Все организации ставят эти цели по-разному, но обычно они включают доступ к персональным данным, медицинской информации и коммерческой тайне. Иногда это требует доступа на уровне администратора домена, но зачастую можно обойтись и без этого, либо даже доступа такого уровня бывает недостаточно.
Кому нужен пентест? Некоторые госорганы требуют его, но организации, которые уже проводят регулярные внутренние проверки, тренинги и мониторинг безопасности, обычно готовы к такому испытанию.
Red Team Assessment
Редтиминг во многом похож на пентест, но более направлен. Цель красной команды не в поиске максимального числа уязвимостей. Цель — проверить возможности организации по выявлению и предотвращению вторжения. Нападающие получают доступ к чувствительной информации любым доступным способом, стараясь остаться незамеченными. Они эмулируют направленные атаки злоумышленника, похожие на APT. Кроме того, редтиминг, как правило, более длителен, чем пентест. Пентест обычно занимает 1-2 недели, в то время как редтиминг может продолжаться 3-4 недели и дольше, задействуя несколько человек.
В ходе редтиминга не производится поиск кучи уязвимостей, а лишь тех, что нужны для достижения цели. Цели обычна те же, что и при пентесте. В ходе редтиминга используются такие методы, как социальная инженерия (физическая и электронная), атаки на беспроводные сети, внешние активы и т.д. Такое тестирование — не для всех, а лишь для организаций со зрелым уровнем информационной безопасности. Такие организации обычно уже прошли пентесты, запатчили большинство уязвимостей и уже имеют опыт успешного противодействия тестам на проникновения.
Редтиминг может проходить следующим образом:
Член красной команды под видом почтальона проникает в здание. Попав внутрь, он подключает устройство к внутренней сети организации для удалённого доступа. Устройство устанавливает сетевой туннель, используя один из разрешённых портов: 80, 443 или 53 (HTTP, HTTPS или DNS), обеспечивая C2-канал для красной команды. Другой участник команды, используя этот канал, начинает продвижение по сетевой инфраструктуре, используя, например, незащищённые принтеры или другие устройства, которые помогут скрыть точку проникновения в сеть. Таким образом красная команда исследует внутреннюю сеть, пока не достигнет поставленной цели, стремясь остаться ниже радаров.
Это лишь один из множества методов, которыми может воспользоваться красная команда, но он является неплохим примером некоторых тестов, которые мы проводили.
Так… Пираты или Ниндзя?
Вернёмся к пиратам против ниндзя. Если вы предположили, что пентестеры — пираты, а редтимеры — ниндзя, вы угадали. Кто из них лучше? Часто — это одни и те же люди, использующие различные методы и техники для разных обследований. Настоящий ответ в поиске лучших такой же, как и в случае с пиратами и ниндзя: не обязательно кто-то лучше. Каждый более полезен в определённых ситуациях. Вам не нужны пираты для тайных операций, как и ниндзя для того, чтобы бороздить моря в поисках сокровищ. Так же не сто́ит использовать пентест для оценки реагирования на инциденты и редтиминг для того, чтобы найти уязвимости.
