Сбор информации

Риск утечки информации от пентестеров

Особенно хочу отметить


Вчера товарищество специалистов по ИБ RISC (www.risc.today) провело вебинар совместно с Иваном Новиковым (ONSec) «Тестирование на проникновение: задача, решение и ограничения».



  Ключевые моменты которые я вынес для себя:

    • Пентест это действительно не аудит ИБ компании. Задачи и цели разные. Тестирование на проникновение По сути пентест – попытки преодоления периметра защиты ИС и/или захват контроля над ИС, не претендующие на полноту анализа всех прямых и косвенных аспектов защиты.

    • Пентест хоть и похож на атаку злоумышленников, но не является полным повторением действий злоумышленников.
    • Пентест имеет ряд ограничений в части периметра объекта и в части выполнения требований законодательства.
    • Основной постулат: пентестер, участвующий в конкретном проекте не может выходить за рамки конкретного объекта, и за рамки законодательства
    • Иными словами, злоумышленник может воспользоваться найденными в корпоративной среде данными о сисх, выходящих за рамки объекта, а пентестер нет.

    • Пентест в классическом понимании не включает меры по устранению выявленных уязвимостей.

    • Возможность ознакомления пентестером с информацией личного характера пользователей объекта оценки – проблема такого же порядка, как и при применении DLP систем.



    Особенно хочу отметить момент, который для меня стал некоторым открытием.

    Дело в том, что ряд Заказчиков предпочитают пентесту «системный полный аудит защищенности информации» проводимый Интегратором, обосновывая это тем, что они БОЯТСЯ пентестеров которые в какой-то части выросли из кулхацкеров и могут просто воспользоваться сами выявленными уязвимостями или продать информацию конкурентам Заказчика!


    Но тут есть подвох. сис безопасности сервера данных

    Подвох заключается в количестве и качестве той информации, которой обладает пентестер и интегратор.

    По сути интегратор получает на порядок больше информации о сисх Заказчика и порядке/методах защиты. Пентестер же напротив, находится примерно в таком же положении как атакующий злоумышленник!

    И тут важный момент: пентестер проводя работы использует методы и средства по сути своей доступные хакерам и предоставляет Заказчику информацию по результатам. При этом системы Заказчика еще до проведения пентеста уже могли быть атакованы злоумышленниками

    Злоумышленники возможно не раз пытались преодолеть периметр защиты систем Заказчика и уже, возможно, пользуются результатами успешной атаки

    Получается, что сам по себе пентест дает информацию о возможности успешных атак которые в текущий момент могут проводиться злоумышленниками и без всяких пентестеров! Без предоставления им дополнительной информации.


    РИСК утечки информации от пентестеров НЕ ПРЕВЫШАЕТ риск утечки от Интеграторов! Разница еще и в том, что у Интегратора априори больше информации о сисх Заказчика не только системного, но и прикладного – бизнес уровня.


    По сути миф о пентестерах, который я сам воспринимал всерьез развенчан
    И это не проблематика применения пентеста а проблематика среды в которой и так атаки проводят злоумышленники

    Похожие статьи Pentest

    • Услуга пентест безопасности для сайтов

      Пентест ( Тестирование на проникновение ) это сервис на сайте, который предлогает индивидуальный план тестирования Вашего сайта на безопасность. 1)...

    • Пентест стоимость

      Вот теперь Фрилансеру и пригодились все его знания принципов веб-безопасности. Даром не прошли ни чтение профильного хаба, ни многочисленные статьи из...

    • Пентест wordpress своими руками

      К сожалению, нигде не нашел упоминания в постах на Хабре о замечательной утилите — WPScan, которая просто безумно помогает с пентестом блогов на...

    • Комплексный тест на проникновение

      Тестирование на проникновение ( penetration testing ) метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки...

    • Тест на проникновение

      Тесты на проникновение Тестирование системы защиты – это метод выявления недостатков безопасности с точки зрения постороннего человека (взломщика)....