22:08
6/3/2011

Na jednej z konferencji bezpieczeństwa zrodził się pomysł, aby nieco uporządkować “zasady” związane z przeprowadzaniem testów penetracyjnych. W wyniku burzy mózgów, powstała ta oto mapa myśli, próbująca ustandaryzować dość “nieokiełznany” proces jakim jest test penetracyjny.

Jak przeprowadzić pentest?

Standard prowadzenia testu penetracyjnego

Standard wykonania testu penetracyjnego (propozycja)

Osobiście z dystansem podchodzę do wszelkich “sztywnych” zasad i standardów — uważam że produkty bezpieczeństa (w tym pentesty) muszą być ściśle dopasowane do potrzeb klienta. Nie istnieje (i nie powstanie) jeden, uniwersalny i ideany przepis na przeprowadzenie testu penetracyjnego — taki pentest z góry byłby skazany na niepowodzenie (koledzy audytorzy, pamiętajcie proszę że audyt != pentest. Ten drugi to test bezpieczeństwa wykonanym “wszelkimi możliwymi” środkami i metodami — a ubranie tego w standard to nie lada wyzwanie). Należy też zwrócić uwagę, że powyższa propozycja to projekt ludzi z “Zachodu”, a specyfika polskiego rynku od Zachodu mocno odstaje…

Tak czy inaczej, w powyższych standaryzacyjnych staraniach zachodnich kolegów po fachu widzę pewną wartość. Ci pentesterzy, którym brak jest doświadczenia, czy też znajomości metodyk prowadzenia testów bezpieczeństwa na pewno docenią dokument, w którym próbuje się uporządkować czynności wchodzące w skład testów penetracyjnych.

P.S. Pamiętajcie, że jak na razie mamy do czynienia z wersją alpha — jeśli macie uwagi do tego dokumentu lub nie zgadzacie się z jego treścią, możecie go zmienić! Wystarczy wysłać e-maila do twórców tego projektu. My już zwróciliśmy im uwagę na kilka charakterystycznych dla polskiego rynku czynników. Wy też powinniście.

Przeczytaj także:

20 komentarzy

Dodaj komentarz
  1. Na ostatnim spotkaniu OWASP w Krakowie była dyskusja na temat OWASP ASVS – a generalnie o tym czy warto robic standaryzacje testów penetracyjncych i czy to w ogóle możliwe… Temat ciekawy.

  2. Patrzac na tytul poprzedniego po tym spodziewalem sie czego innego…

  3. ” Ci pentesterzy, którym brak jest doświadczenia, czy też znajomości metodyk prowadzenia testów bezpieczeństwa na pewno docenią dokument”
    Owszem, jednak jednocześnie powstaje niebezpieczeństwo powtórki z sytuacji na rynku tłumaczy, gdzie nagle pojawiła się ogromna ilość ludzi, którzy żądali mikroskopijnych cen za tłumaczenia, oferując równie mikroskopijną jakość. Mają jakieś podstawy, tekst faktycznie z angielskiego staje się polski, ale na każdym (serio) kroku wyłazi ten “brak doświadczenia, czy też znajomości metodyk”.
    W przypadku tłumaczenia efektem może być ośmieszenie się w oczach np. kontrahentów. W przypadku pentestów, efektem może być przerobienie sieci firmowej na wspaniały botnet. : )

    • Bardziej obawiałbym się szefów firm, którzy zażądają “pentestu zgodnego ze standardami/metodyką XXX” zupełnie nie wiedząc, że do sprawdzenia ich specyficznego systemu taki schemat bedzie nieodpowiednii / nieefektywny / niewykonalny / itp …

    • @gadulix: albo za chwilę pojawią się “certyfikaty” za przejście pentestu zgodnie z metodyką $foobar — klient będzie chciał certyfikat, a metodyka będzie zawierała testy, które są niemożliwe (w przypadku tego klienta) do wykonania.

    • @Piotr: A pierwsze pojawią się certyfikaty firm produkujące automatyczne skanery z licencjami po kilka(set) tysięcy $ rocznie, z wykrywalnością podatności rzędu 20%… “droższe == lepsze” :P

      Standardy są OK – ale traktowałbym je raczej jako wskazówki niż schemat działania, bo rutyna w kwestii bezpieczeństwa zazwyczaj kiepsko się kończy…

    • Tak w temacie – http://pentester.jogger.pl/2009/07/04/spojrzenie-na-rynek/ – życie szybko zweryfikuje takich pentesterów. Mógłbym jeszcze raz napisać o tym jak wygląda rynek, jak głupi są niektórzy klienci, co się potem z nimi dziej itp. itd. Ale po co.

  4. A ja powiem tylko, że obrazek jest zjadany przez AdBlock.

  5. jest już coś podobnego:
    http://www.isecom.org/osstmm/

    • I jeszcze parę innych, a każdy z nich ma “różne cele”… I tu zaczyna błędne koło, co znów prowadzi do wniosku: nie ma uniwersalnego przepisu na pentest.

  6. “a specyfika polskiego rynku od Zachodu mocno odstaje…” – ale prace w niektórych dziedzinach idą pełną parą ;)

  7. Normy != bezpieczeństwo.Normy są bliżej związane z audytami. Na pewno jest wielu genialnych pen testerów ale nie ma co odkrywać koła. Anyway aby zignorować standardy i stworzyć coś lepszego trzeba najpierw je poznać, inaczej to tylko płytka ignorancja.Piotrze Konieczny, a ty skąd się nauczyłeś o tym jak przeprowadzać pen-testy? Inni też tak dadzą radę.

    Z jakich powodów nie należy z tego robić normy? Bo zrobi się z tego bardziej “security dupy” (http://pentester.jogger.pl/2009/07/04/spojrzenie-na-rynek/). Odbije się to głównie na aktywnych,innowacyjnych i niezależnych pen-testerach, którzy z tego próbują zarobić na chleb i uczynić branże lepszą. Swoją wiedzą będą oni dotować komercyjne molochy, które będą za “best price my friend, best price” oferować wydruk z automatu (nessus, core itp) obsługiwane przez gościa, który dostał instrukcje i w 3 miesiące miał się nauczyć robić testy penetracyjne zgodnie z normą. Molochy równocześnie mimo tego, że będą tylko powidokiem po wiedzy na której się opierają kreowały się jako najbardziej wartościowe źródło.

    Bardziej wartościowe niż taka norma będzie zorganizowanie jakiś swobodnych spotkań na które można przyjechać,wymienić się wiedzą i poznać się z kolegami z branży osobiście z dala od komercyjnej papki. By później mieć kontakty do tworzenia ciekawych zespołów specjalistów pod konkretne projekty. A przy okazji skierować nowych na odpowiednią drogę.

    • Trafiasz w sedno mój drogi — klient często chce certyfikatu/poświadczenia (zgodnego z XYZ) że jest (już) bezpieczny, a nie *realnej* oceny bezpieczeństwa swojej infrastruktury (raportu z pentestu).
      I dlatego, co podkreśliłem w artykule:
      a) sceptycznie podchodzę do normowania/standaryzowania testu penetracyjnego
      b) zawsze podkreślam że audyt != pentest (różnicy nie czuje ~80% klientów)

      Ale jak zauważyłeś, wiedzę skądś trzeba czerpać. Nie wszyscy mają szansę zaczynać w tym fachu obok osoby “superdoświadczonego wizjonera” ;-)

  8. Tak sobie wspomnę o Common Criteria. To, że coś jest zgodne z tą normą wcale nie oznacza, że jest bezpieczne. Oznacza jedynie, że zastosowane są (i działają) zabezpieczenia zadeklarowane przez producenta. Certyfikat nie jest gwarancją, że ktoś nie złamie tych zabezpieczeń – to tylko potwierdzenie (tak, wiem, powtarzam się) istnienia zabezpieczeń.

  9. Ja mam wrażenie, że jeżeli będzie stosowany powszechny algorytm pentestu, to strasznie ułatwi to pracę kretom.

  10. [OT] w jakim programie jest stworzony ten schemat ?

  11. Freemind świetny – przydaje się też ProjectPlanner
    http://sourceforge.net/projects/openproj/

    Tak aporopos : http://www.pentest-standard.org/ – przestała odpowiadać – konserwacja ? (mało profesjonalna) czy inna (polityczna?) przyczyna?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: