Модерировал я вчера эфир AM Live про тестирование на проникновение, всю запись которого можно посмотреть на Youtube (
https://youtu.be/JDPYRHLfKEA). Пересказывать ее нет смысла, но по уже сложившейся традиции, некоторые наблюдения, замечания, тезисы с эфира я опишу:
1. Четкого определения пентеста, а точнее его отличий от redteaming, так и нет. Ну разве что, пентест - это всегда люди (в отличие от сканера безопасности или решений BAS) и почти всегда это технические вектора атаки (у redteaming вектора могут быть и физические - флешку подбросить, телефон в кафе хакнуть, охрану обойти и т.п.).
2. Пентест сложно формализуем и поэтому пока никакой искусственный интеллект ему не угрожает. Поэтому и решения BAS (а про них спрашивали часто) пентест не заменят, хотя могут помочь автоматизировать некоторые типовые и простые сценарии.
3. Большинство слушателей эфира (а был поставлен рекорд за все время проекта - больше 2000 просмотров в прямом эфире) по-прежнему, в основном (48%), используют сканеры уязвимостей, как основной метод анализа защищенности. Red team на втором месте; пентесты (14%) - на четвертом.
4. Нахождение уязвимостей или успешного вектора атак - не является самоцелью и может быть ситуация (хотя такого почти никто и не припомнит), что ничего найдено не будет. Чем уже scope, тем выше вероятность ничего не найти.
5. Для многих профессиональных пентестеров одной из проблем являются "мамкины хакеры", которые демпингуют и за пентест выдают запуск обычного сканера. Однако на вопрос: "Как отделить хорошего пентестера от новичка?" четкого ответа так и не последовало. Да, участники говорили , что надо смотреть профиль компании и все такое, но четких критериев "хороший/плохой" так и не было. Вообще прозвучало, что в нашем регионе не больше 70-80, а если поднатужиться, то не больше 200-300 квалифицированных пентестеров.
6. Участие в CREST является интересным мерилом качественного пентестера, так как хотя бы подтверждает выстроенные процессы (но такая позиция была только у одного участика, компания которого сейчас как раз подалась в CREST).
7. Сертификация пентестеров - это все фигня, хотя сегодня популярной является OSCP. Время GPEN от SANS прошло. CEH - это отстой. Остальные сертификации не упоминались.
8. Своими силами проводить пентесты можно (так делает 37% слушателей), но глаз быстро замыливается и поэтому лучше привлекать внешние команды, которые еще и ротировать (сами компании тоже внутри себя ротируют специалистов).
9. Пентестерам хотелось бы интересных проектов, но почему-то многие заказчики приходят с желанием пентеста по требованиям ЦБ или ФСТЭК. И это скучно. Кто-то отказывается от такого (могут себе позволить). Слушатели же утверждают, что на их первое обращение к пентестам полияли не регуляторика, не инцидент, не интегратор предложил попробовать, а бизнес (41%). Инцидент - это вторая с конца причина обращения к пентестам в первый раз.
10. Пентест отличается от сканирования или краудсорсингового Bug Bounty тем, что выдается рекомендации по устранению выявленных проблем. Не детальные, но либо архитектурные, либо на уровне типов средств защиты. Это, кстати, очень важно, но про это редко говорят, упоминая пентесты, которые часто воспринимаются просто как "мы вас взломаем". Рекомендации по нейтрализации, наряду с executive summary и списком findings - это основа любого отчета по пентесту.
11. MITRE ATT&CK и тем более ТТУ ФСТЭК в отчетах не требуют.
12. Длительность самого пентеста (хотя все зависит от scope, конечно) обычно занимает 3-4 рабочих недели. Еще недели 2-3 занимает написание отчета. Самое длительное в пентесте - подписание NDA и договора. Может и 2-3 месяца процедура длиться. Чем крупнее заказчик, тем дольше процедура.
13. Нерешенная проблема - LoA (Letter of Authorization), которое дает право на проведение пентеста, но юридически этот документ очень специфичен и статус его висит в воздухе, а разделить ответственность и четко прописать весь scope, особенно для облаков и иных разделяемых сред или холдинговых структур, ооооочень сложно. Все ходят под статьей.