1 июня, понедельник 20:31
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Пен Тесты. Кто как выкручивается?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Пен Тесты. Кто как выкручивается?

    Коллеги, назрела тема тестирования на проникновение перед проверкой.
    Ценник предлагают в 750 за периметр, контур БДО и контур ПСБР. (как раз охватить 382-П. 672-П и 683-П).

    Остается не решенным вопрос, а действительно-ли необходимо нанимать лицензиата?




  • #2
    КМК, можно самим, если квалификация позволяет. Не понял, каким боком тут 672-П?
    Мне предлагали, вроде бы, за 850.
    и ДБО.

    Комментарий


    • #3
      Нет таких требований, можно делать самим.

      Комментарий


      • #4
        Для формального выполнения требования конечно можно и самим (хотя без опыта и когда не видел ниразу, как это делается настоящим пентестером - фигня получится). Риски признания такого пентеста ерундой при аудите остаются. Для реальной ИБ лучше потратить на это средства - это на самом деле полезно (если нормального пентестера привлекать). Гораздо полезнее, чем средства, вложенные в защиту биометрии. И если бюджета нет - лучше отобрать его с биометрии и вложить сюда.

        Комментарий


        • #5
          Сообщение от Berckut Посмотреть сообщение
          можно делать самим.
          У вас есть соответствующая экспертиза?
          Насколько я знаю, в банках спецов по пен-тестам обычно не держат, ну и какая будет ценность от такого самостоятельно проведенного пен-теста?

          Комментарий


          • #6
            Сообщение от ost Посмотреть сообщение

            У вас есть соответствующая экспертиза?
            Насколько я знаю, в банках спецов по пен-тестам обычно не держат, ну и какая будет ценность от такого самостоятельно проведенного пен-теста?
            Сэкономленные деньги.
            Тут всё от руководства зависит. Кому-то шашечки, кому-то ехать.
            Если шашечки, то ИБэшник попадает, потому что да, 90% ибэшников это не сделают. Но руководство это интересовать не будет, потому что оно считает, что раз платит зарплату, то он должен уметь всё.

            Комментарий


            • #7
              Я делал с помощью OpenVAS.
              Ценность этого отчёта равна нулю, потому что самое главное, это правильно интерпретировать результаты и сделать выводы, но на 0,5 при оценке соответствия точно хватит.

              Комментарий


              • #8
                Сообщение от Berckut Посмотреть сообщение
                на 0,5 при оценке соответствия точно хватит.
                Тоже метод.

                Комментарий


                • #9
                  Сообщение от Berckut Посмотреть сообщение
                  Я делал с помощью OpenVAS.
                  Это с большой натяжкой лишь половина работы Т.е. вроде как поиск уязимостей (даже без анализа). А пентест это попытка эксплуатации уязвимости для реализации какой-то угрозы. Не все уязвимости можно удачно эксплуатировать.

                  Комментарий


                  • #10
                    Александр Четвертый
                    А думаю, что для начала сойдет, а потом можно будет определиться: или бабло на внешний пен-тест дадут или на курсы кого отправить.
                    Последний раз редактировалось saches; 26.07.2019, 13:48.

                    Комментарий


                    • #11
                      Сообщение от Александр Четвертый Посмотреть сообщение

                      Это с большой натяжкой лишь половина работы

                      Требований к пентесту пока нет. Поэтому на данном этапе OpenVAS я думаю подходит.

                      Комментарий


                      • #12
                        Сообщение от saches Посмотреть сообщение
                        для начала сойдет, а потом можно будет определиться: или бабло на внешний пен-тест дадут или на курсы кого отправить
                        Возможно. Но учитывая, что ЦБ у нас не очень любит "самооценки" и "самоаудит", то и "самопентест", скорее всего, будет ожидать та же участь.

                        Сообщение от Rubaka Посмотреть сообщение
                        Требований к пентесту пока нет. Поэтому на данном этапе OpenVAS я думаю подходит.
                        Я к тому, что после получения набора уязвимостей Вы должны как-то их всех оценить и написать, что критчно (требует мер), что некритично и почему. А это та еще "радость". Ну и какую-то писульку иметь итоговую для ЦБ.

                        Комментарий


                        • #13
                          Сообщение от Александр Четвертый Посмотреть сообщение
                          Но учитывая, что ЦБ у нас не очень любит "самооценки" и "самоаудит", то и "самопентест", скорее всего, будет ожидать та же участь.
                          Сколько времени продержалось требование про самооценку по 382-П до того как трансформироваться во внешнюю оценку? Вопрос риторический. Максимум во что может трансформироваться требование к пентесту, это в "оценку с привлечением лицензиата ФСТЭК с типовым набором пунктов в лицензии". Вот как требование появится так и будем думать как его исполнять.

                          Сообщение от Александр Четвертый Посмотреть сообщение
                          Я к тому, что после получения набора уязвимостей Вы должны как-то их всех оценить и написать, что критчно (требует мер), что некритично и почему. А это та еще "радость". Ну и какую-то писульку иметь итоговую для ЦБ.
                          Поскольку требование к результату пентеста не формализовано, думаю, что при обсуждаемом формальном подходе, можно ограничиться и протоколом работы сканера.

                          Комментарий


                          • #14
                            Сообщение от Александр Четвертый Посмотреть сообщение

                            Это с большой натяжкой лишь половина работы Т.е. вроде как поиск уязимостей (даже без анализа). А пентест это попытка эксплуатации уязвимости для реализации какой-то угрозы. Не все уязвимости можно удачно эксплуатировать.
                            Я уже как-то приводил логику руководства в региональных банках:
                            - Нам нужно проводить пентест.
                            - Сколько?
                            - От 800 тыс. Не менее одного раза в год.
                            - Да вы охренели! Мы можем это сделать сами?
                            - Требований о том, что он должен быть проведён внешними аудиторами нет.
                            - Отлично, значит делайте сами.
                            - У нас нет таких специалистов. Этому надо специально учиться и это может сделать только человек с очень высокой квалификацией. Кстати, можно сэкономить. Мы получаем зарплату 30-40 тыс. В нашем регионе за 50 тыс. можно нанять очень хорошего специалиста. Это 600 тыс. в год против 800, но он сделает этот пентест за 2 месяца и ещё 10 будет приносить пользу по другим работам.
                            - Зарплата специалиста не может быть выше зарплаты начальника отдела и тем более начальника управления. Найдите кого-нить за 30 тыс, а мы подумаем.
                            - Это невозможно!
                            - Значит подучите мат. часть и сделайте сами. Мы зачем вам зарплату платим?

                            Комментарий


                            • #15
                              Давайте говорить прямо: ИБэшники в банках не способны это сделать.
                              Не каждый готов это признать перед руководством. Ещё меньше готовы объяснить почему. Уже несколько лет растёт число тех, кто приходит в банки, поднимает свой скилл и сваливает из этого бумажного болота, потому что хорошие специалисты тут не нужны. В банках нужны те, кто умеет писать нормативку и делать красивые отчёты, прежде всего для ЦБ, во вторую очередь для остальных регуляторов и уже потом, если осталось время (а его гарантированно не останется), заниматься делом.
                              При этом ИБэшник в принципе не может реализоваться в области ИТ-безопасности. Обратите внимание, кто участвует в соревнованиях CTF? Студенты со специальностей по ИТ, в основном будущие сисадмины. Вы крайне редко увидите там студента по специальности ИБ, потому что первого учат решать практически задачи, а второго настравить устаревшее сертифицированное ПО и писать соответствующие акты. А когда эти студенты выйдут из универа, куда их наймут? Правильно, решать проблемы оформления документов по ПДн, безопасности КИИ и т.п., потому что для решения практических вопросов уже были наняты админы.
                              Тогда, может быть логично было нанять сисадмина с уклоном в ИБ? Да, логично, но только с теоритической точки зрения. Сколько человек может быть в отделе ИБ в региональном банке? Один, кому несказанно повезло - два. Сколько надо человек с образованием по ИБ для получения лицензии СКЗИ? Два. Всё, штат заполнен! Вы не можете взять для этого админа, потому что его образование не пододёт для лицензии.
                              Нанять этого человека в службу ИТ? Нереально. Там задачи обеспечения работоспособности и настройки сети, а решение вопросов, которые в колесо этой сети палки вставляют, всегда будут второстепенными. А если ещё и это надо будет бумагой оформить, то это никогда сделано не будет.

                              Так что посмотрите на название темы и хватит удивляться, что главный вопрос для обсуждения не как сделать пентест, а как вырутиться и выполнить требование.

                              Комментарий


                              • #16
                                Коллеги, а кто. что скажет по поводу курса CEH, например, на https://www.specialist.ru/course/ceh...21733391480842
                                И,кстати, в инете, достаточно много материалов по этой теме.

                                Комментарий


                                • #17
                                  Сообщение от Berckut Посмотреть сообщение
                                  Так что посмотрите на название темы и хватит удивляться, что главный вопрос для обсуждения не как сделать пентест, а как вырутиться и выполнить требование.
                                  В этом и основноное условие - Вам надо просто выкрутиться (реальной потребности в пентесте нет). А для банков с большой инфраструктурой, торчащей в Интернеты, в т.ч. сотнями веб-сервисов, разработынных за несколько десятилетий - настоящий пентест не просто выполнение требования регулятора, а реальное управление бизнес-риском. И обосновать его необходимость конечно в таком случае проще.

                                  Сообщение от Berckut Посмотреть сообщение
                                  Тогда, может быть логично было нанять сисадмина с уклоном в ИБ?
                                  Сисадмины даже при наличии навыков таким заниматься не любят. Им нравится осваивать миллионы на новые сервера или какие-нибудь хайповые вещи типа блокчейна. Да и вообще админы ничего делать не станут, когда все итак работает.

                                  Сообщение от saches Посмотреть сообщение
                                  И,кстати, в инете, достаточно много материалов по этой теме.
                                  Руководство региональных банков скажет "это мы щас на 100к обучим его, а он потом свалит?".

                                  Комментарий


                                  • #18
                                    Сообщение от Berckut Посмотреть сообщение
                                    главный вопрос для обсуждения не как сделать пентест, а как вырутиться и выполнить требование.
                                    Мне ваши проблемы не близки, у нас деньги на пентесты выделяются. Вообще, кмк, эту проблему надо обсуждать с аудитором, как он ваш пентест оценит так и будет.

                                    Комментарий


                                    • #19
                                      Запросил сегодня у ЦБ их позицию по поводу трактовки требования по пентестам. Джемс ответа.

                                      Комментарий


                                      • #20
                                        У кого нет возможности нанять внешних специалистов, поставить Kali Linux и ознакомиться с книгой "Тестирование на проникновение Kali Linux".
                                        Если все-таки требуется формальное проведение тестирования на проникновение и поиск уязвимостей, можно воспользоваться:
                                        ScanOVAL - ПО от ФСТЭК для поиска уязвимостей, в отчете указаны способы их устранения https://bdu.fstec.ru/scanoval
                                        Nmap - сканер сети, смотреть открытые порты и протоколы, провести анализ и закрыть ненужные.

                                        Комментарий


                                        • #21
                                          Сообщение от ivanov_nv Посмотреть сообщение
                                          У кого нет возможности нанять внешних специалистов, поставить Kali Linux и ознакомиться с книгой "Тестирование на проникновение Kali Linux".
                                          Если все-таки требуется формальное проведение тестирования на проникновение и поиск уязвимостей, можно воспользоваться:
                                          ScanOVAL - ПО от ФСТЭК для поиска уязвимостей, в отчете указаны способы их устранения https://bdu.fstec.ru/scanoval
                                          Nmap - сканер сети, смотреть открытые порты и протоколы, провести анализ и закрыть ненужные.
                                          Только вот сканирование виндовых машин на предмет уязвимостей софта никакого отношения к пентесту не имеет. А сканирование одних только уязвимостей из БДУ - тем более.

                                          Т.е. так вы даже формально требование не закроете.

                                          Комментарий


                                          • #22
                                            Сообщение от malotavr Посмотреть сообщение
                                            Только вот сканирование виндовых машин на предмет уязвимостей софта никакого отношения к пентесту не имеет. А сканирование одних только уязвимостей из БДУ - тем более. Т.е. так вы даже формально требование не закроете.
                                            Если к этим 2-м сканированиям прибавить :
                                            - ещё несколько сканирований "внутри" сети (тех самых сегментов..., паролей и др.)
                                            - несколько сканирований "извне" (белые адреса, wifi...)
                                            всё равно даже формально не прикроем... ?

                                            Можете дать штуки 3-и других "направлений"... ?

                                            Комментарий


                                            • #23
                                              Сообщение от idelta Посмотреть сообщение
                                              Если к этим 2-м сканированиям прибавить :
                                              - ещё несколько сканирований "внутри" сети (тех самых сегментов..., паролей и др.)
                                              - несколько сканирований "извне" (белые адреса, wifi...)
                                              всё равно даже формально не прикроем... ?

                                              Можете дать штуки 3-и других "направлений"... ?
                                              Сканирование - это не пентест, это совершенно другая активность.

                                              Посмотрите РС БР ИББС 2.6, я там в приложениях подробно расписывал, что такое пентест.

                                              Комментарий


                                              • #24
                                                Сообщение от idelta Посмотреть сообщение
                                                ....Можете дать штуки 3-и других "направлений"... ?
                                                Выше ссылка на курс CEH, там на сайте выложена программа обучения, можно сориентироваться по используемому ПО и подходам.

                                                Комментарий


                                                • #25
                                                  Сегодня позвонили из ЦБ по запросу о необходимости внешнего пентестирования.
                                                  Сказали что не знают.

                                                  Комментарий


                                                  • #26
                                                    malotavr, saches
                                                    Спасибо !

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Berckut Посмотреть сообщение
                                                      Нет таких требований, можно делать самим.
                                                      Напрямую нет, но есть требование 382-П по анализу уязвимостей, который в свою очередь вытекает из результатов пентеста.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от kirill_1985 Посмотреть сообщение

                                                        Напрямую нет, но есть требование 382-П по анализу уязвимостей, который в свою очередь вытекает из результатов пентеста.
                                                        "Анализ уязвимостей по ГОСТ 15408" и "анализ уязвимостей, найденных при тестировании на проникновение" - это тоже две совершено разные активнсти.
                                                        Первое требует проведения статического и динамического анализа исходных кодов (по крайней мере, в соответствии с проектом профиля защиты для банковских систем), который при тестировании на проникновение не проводится.

                                                        Комментарий


                                                        • #29
                                                          Я хочу сделать реальный пентест на внешний периметр, сайт, осведомленность сотрудников, нанять людей занимающихся этим тестированием и имеющим лицензию, чтобы вскрыть все наши проблемы.
                                                          Но прежде чем просить бабло у бизнеса (а мне его дадут), мне надо четко знать, как на это требования смотрит ЦБ и аудиторы.

                                                          Комментарий


                                                          • #30
                                                            Сообщение от malotavr Посмотреть сообщение

                                                            "Анализ уязвимостей по ГОСТ 15408" и "анализ уязвимостей, найденных при тестировании на проникновение" - это тоже две совершено разные активнсти.
                                                            Первое требует проведения статического и динамического анализа исходных кодов (по крайней мере, в соответствии с проектом профиля защиты для банковских систем), который при тестировании на проникновение не проводится.

                                                            В 382-П нет ссылок на методику по части пентеста и анализа (а к примеру в абзаце про ОУД 4 - есть), поэтому использовать ГОСТ 15408 не обязательно.

                                                            Комментарий

                                                            Обработка...
                                                            X