Красные флаги при встрече или как не надо знакомиться с пентестами

Информационная безопасность перестала уходить на второй план. Компаниям, которые не хотят столкнуться с утечкой данных, шифрованием инфраструктуры и потерей доверия клиентов, нужно начать заботиться об информационной безопасности и устойчивости собственной инфраструктуры прямо сейчас. Создавать собственную пентест или даже RedTeam-команду — дорогое удовольствие, недоступное большинству компаний. Поэтому работы по тестированию на проникновение отдаются сторонним исполнителям, имеющим штат квалифицированных специалистов. Впрочем, среди них встречаются и не самые ответственные партнеры. Ведущий эксперт по тестированию на проникновение из команды CICADA8 центра инноваций Future Crew Михаил Жмайло расскажет, как понять, что проведенный пентест сделан недостаточно хорошо и когда нужно задуматься о смене подрядчика.

Даже на относительно небольшом рынке информационной безопасности в России присутствует как минимум 40 компаний и больше 100 ИП, готовых осуществить тестирование на проникновение. Такое разнообразие дает возможность, как выбрать партнера с наиболее низкой стоимостью услуг, так и обратиться к топам, которым за неделю работы можно заплатить несколько миллионов рублей. Стоимость пентеста зависит от уровня компетенций исполнителя и грядущего объема работ.

По данным career.habr.com, средняя зарплата Middle-пентестера составляет 171 тыс. руб. В среднем, на достаточно небольшой скоуп (scope —предоставляемый заказчиком объем работ. Например, список доменных имен сайтов, которые следует протестировать) выделяется два специалиста. Если исходить из расчета, что проект будет длиться неделю, то исполнитель только на содержание этих специалистов потратит около 85 тыс. руб. С учетом этих цифр, заказчику не стоит рассчитывать на качественный пентест, если он стоит как несколько обедов в центре Москвы.

Мне известен случай, когда компания, которая только начала знакомиться с миром информационной безопасности, решила отдать исполнение тестирования на проникновение какому-то специалисту с фриланс-сайта. Ничем хорошим это не закончилось. Договор на оказание услуг был оформлен неправильно (иисполнителя можно было даже привлечь по статье 272 УК РФ), во время работ из-за неаккуратности пентестера несколько раз был отключен кластер с «продовой» базой данных, что понесло за собой приостановку критических бизнес-процессов. Сайт не работала большая часть функций, пользователи не могли войти в свои аккаунты, пропала возможность приобретения товаров. Зато ценник за работы был более чем щадящий — 10 тыс. руб. Готовы ли вы лишаться клиентов, терять прибыль и банально тратить нервы, пытаясь сэкономить на столь щепетильной услуге? Не думаю. Ведь при попытке сэкономить пару сотен тысяч рублей, выбрав некачественного исполнителя, есть риск понести многомиллионные убытки. Слишком низкая цена за услуги – первый красный флаг, на который стоит обратить внимание.

Иногда компании решают несколько сэкономить, а иногда наоборот — выделить максимально большой бюджет на ИБ: приобрести лучшие средства защиты, нанять самых крутых профессионалов, одним словом — сразу купить услуги информационной безопасности «бизнес-класса». Такой подход тоже ошибочен. Да, каждая компания хочет раз и навсегда закрыть вопрос со злостными хакерами и быть уверенной, что ее никогда не взломают. И это, к сожалению, невозможно. Но не самые добросовестные игроки, которые гонятся за сиюминутной прибылью, пользуются неопытностью потенциальных заказчиков и обещают за большие деньги раз и навсегда решить ИБ-проблемы. Причем делают это даже зачастую не изучая опыт в ИБ потенциального клиента. Пользы для организации, только начинающей знакомиться с ИБ, от такой работы, как вы понимаете, не будет.

Многолетнее сотрудничество намного выгоднее для обеих сторон, чем сиюминутная прибыль. Как правило компания, которая после качественно проведенного пентеста и отчета по итогам работы выполнила все рекомендации, защищена минимум на год вперед. Соответственно, если сотрудничество ИБ-вендора и заказчика стоит на потоке, то компаний будет защищена постоянно. Так что если потенциальный поставщик обещает за большие деньги решить разом все ИБ-проблемы — это следующий красный флаг.

Не стоит мелочиться и экономить на пентесте, ровно, как и переплачивать, заказывая вместо стандартного тестирования полноценный Red Team или Purple Team — он не принесет достаточной пользы. Подробнее о том, почему Purple Team не дает компаниям желаемого результата, я написал в колонке для Anti-Malware.

Представим, что компания заключила договор на проведение пентеста по адекватной цене, предоставила исполнителю доступ к инфраструктуре и вдруг у нее начинают отключаться то один, то другой хост. Бухгалтер жалуется на недоступность 1С-сервера, системные администраторы пытаются понять, как загрузка центрального процессора достигла критических значений, а доступ в кабинет директора вообще невозможно получить — СКУД накрылся.

Вполне возможно, что это результат работы неумелых пентестеров, запустивших весь свой «арсенал»: Nessus, Nmap, SharpHound, PowerView. Бонусом они еще и виртуальную машину с роутером создали, чтобы организовать себе VPN-доступ в новые сегменты сети.

Это еще один красный флаг. Если Исполнитель не в состоянии в должной степени обеспечить аккуратность и незаметность (по крайней мере для рядового сотрудника организации) процесс тестирования на проникновение, нарушает бизнес-процессы, мешает работать, то стоит задуматься над тем, что стоит отказаться от подобных услуг и обратиться к профессионалам.

Хороший исполнитель должен вникнуть во внутреннюю логику работы систем организации: понять, как работает сервис, посмотреть потоки данных, вычленить критические хосты и наиболее желаемые для атакующего конечные точки.  Сложно говорить о точных временных промежутках подобных работ. Старайтесь всегда закладывать примерно 30 рабочих дней.

Зачастую результатом любого проекта является отчет в удобном для заказчика формате: PDF, DOCX, папка с бумагами — не важно. Отчет может быть, как на несколько сотен страниц, так и на пару листов. На первый взгляд может показаться, что исполнитель, предоставивший заказчику огромный пакет документов, опытный и крутой. Увы, но первое впечатление обманчиво. Недобросовестные исполнители могут намеренно включать в отчеты «бесполезные уязвимости»

Ярким примером «бесполезных уязвимостей» напрашиваются уязвимости ранних версий протоколов SSL и TLS. Их уровень опасности доходит вплоть до High или даже Critical, но в действительности единицы хакеров будут копать в эту сторону. Этому есть множество причин: сомнительная выгода от эксплуатации уязвимости, отсутствие должного числа технической литературы, наработок. Проще говоря, результат использования недостатка в программном обеспечении никак не оправдывает потраченное время и сложность реализации. Помимо этого, на большинство подобных криптографических уязвимостей отсутствует Proof-Of-Concept, что усложняет их эксплуатацию. Если исполнитель выдал вам большой, но бестолковый отчет по итогам работ – это очередной красный флаг, и работать с таким подрядчиком больше не стоит.

Плохой исполнитель сдаст вам огромную пачку бумаг с бестолковыми уязвимостями, исправление которых вряд ли сделает вашу организацию действительно более защищенной. Хороший — предоставит небольшой аккуратный отчет, но в нем будет присутствовать описание настоящих, действительно важных и требующих решения проблем.

Услуга тестирования на проникновение уже достаточно долго присутствует на рынке информационной безопасности в России. Поэтому с каждым годом увеличивается число организаций, готовых взять на себя ответственность по проведению пентеста вашей компании. Выбор правильного исполнителя в критический момент сыграет решающую роль — вас либо взломают, либо нет. Ошибка может стоить миллионов рублей, потери репутации и всего того, что бизнес создавал годами. Наш центр компетенций по информационной безопасности CICADA8 предоставляет полный спектр услуг, начиная от простого анализа защищенности, заканчивая полноценными Red и Purple Team проектами. Наши эксперты смогут оценить уровень подготовленности вашей организации и подберут нужный формат работ.