Исследователи, проверяющие системы защиты, объединились, чтобы создать свод
правил с целью повысить качество работы хакеров, трудящихся на договорной
основе.
Пентестеры со всего мира сообща разрабатывают
Стандарт выполнения тестов на проникновение (Penetration Testing
Execution Standard - PTES), чтобы снабдить клиентов эталоном, который определит
качество испытаний, осуществляемых исследователями.
Пентестеры, известные также как "этичные" или "белые" хакеры, ломают голову
над задачей как выявить уязвимости и слабые места в системе защиты информации,
которые могут быть использованы взломщиками.
По оценке Криса Никерсона, исследователя систем защиты из Денвера,
возглавляющего процесс разработки стандарта, 80% пентестеров не выполняют даже
простых испытаний, требуя, однако, высокое вознаграждение за свои услуги.
"Тесты на проникновение стали воронкой, высасывающей деньги из людей, и
репутация самой индустрии скачет то вверх то вниз", – сообщил Никерсон,
управляющий компанией Lares Consulting.
Испытателям следовало бы передавать доклад об уровне уязвимости системы
клиенту, с тем, чтобы слабые места были устранены, но многие доклады на
сегодняшний день чересчур упрощены, либо слишком запутаны.
Согласно Никерсону, некоторые худшие представители отрасли одновременно
являются крупнейшими и самыми дорогими. Несмотря на то, что это может поправить
бизнес небольших тестеров, разработчики стандарта все равно говорят, что это
плохо сказывается на репутации отрасли в целом.
Более того, они говорят, что нет определённого четкого способа для клиентов
отличить хорошего испытателя от плохого, и получается то, что Брюс Шнайер
называет "информационной безопасностью со скрытыми дефектами".
Умные тесты
Согласно Никерсону, имеющему 15-ти летний опыт в данной сфере, понимание
того, как системы должны тестироваться – наиболее очевидный элемент, недостающий
тестам на проникновение. По его мнению испытания должны быть унифицированы,
всеобъемлющи и процессно-ориентированны, а не просто нацелены на идентификацию
уязвимостей, понятных лишь просвещённым.
Доверие тестеров бесплатному сканеру Nmap – вот что заставило Никерсона
начать собирать поддержку для разработки стандарта. Он сообщил, что одно
предприятие обратилось к нему после того, как раскошелилось на десятки тысяч
долларов на найм крупной фирмы, занимающейся испытаниями безопасности, и получив
от них лишь выданный Nmap отчёт.
Крис Гатфорд, директор HackLabs, сказал, что успешный или неудачный тест
всецело зависит от навыков конкретного испытателя. "Крупные организации могут
выполнить как некачественную работу, так и идеальное испытание, это часто
зависит от умений испытателя и может меняться даже от биения сердца", – заметил
он.
Пентесты в идеале должны проводиться двумя испытателями, чтобы они
обменивались идеями друг с другом и совершенствовали свои навыки.
И Гатфорд и Драцен Драцик, управляющий директор Securus Global, сообщают, что
стандартизация испытаний может помочь, но не создаст мгновенного улучшения.
"В конце дня чек-лист не заменит интуиция", – сказал Гатфорд.
Стандарт
PTES в этом месяце перешел в альфа-стадию "понимания" (mind map) и в него
вошло 1800 исправлений, выполненных с тех пор, как началось развитие стандарта в
ноябре прошлого года.
"Каждый, кто вносит свой вклад в развитие стандарта, имеет опыт работы с
испытаниями на проникновение более десяти лет", - сказал Никерсон, - "и
развивает соответствующие компоненты экспертизы".
Релиз проекта должен состояться на конференции BlackHat в Австрии в этом
году. Никерсон говорит, что презентация этого проекта в рамках данной
конференции осуществляется в качестве первого испытания - с целью улучшения
последующих переработок.