Поговорим о пентестерах — специалистах, которые помогают организациям выявлять уязвимости и защищать информационные ресурсы.
Как стать частью команды пентестеров? Через какие этапы проходит любой ресурс в рамках пентеста? Так ли правдивы стереотипы? Какие личностные и профессиональные качества должен развивать любой пентестер? Об этом и многом другом нам расскажет Ефимова Наталия, специалист по мониторингу и анализу защищенности КСБ-СОФТ.
– Начнём с простого. Кто такие пентестеры? И в чём их отличие от хакеров?
– Пентестеры (white hat) на практике проверяют уровень защищенности информационных ресурсов организации. Они тестируют системы на наличие уязвимостей с разрешения владельцев этих ресурсов. Задача пентестера — выявить уязвимости системы безопасности, которые могут стать целью для настоящих атак, и дать рекомендации по повышению уровня киберзащиты.
Хакеры же действуют без разрешения, и их цели могут быть как преступными (black hat), так и нейтральными (например, исследовательскими) (gray hat).
– Если смотреть на ситуацию со стороны организации, в какой момент компании нужно привлечь команду пентестеров?
– В первую очередь, когда выстраивается инфраструктура и когда внедряется система защиты, чтобы оценить корректность настроек с точки зрения информационной безопасности.
Также когда в инфраструктуре появляются важные системы или компания начинает владеть данными, нарушение целостности, доступности и конфиденциальности которых может привести к большому финансовому ущербу. Либо при разработке нового продукта или запуске критичных для бизнеса сервисов.
Если внедряется что-то новое — время провести пентест.
– И какой цикл работ проводится в рамках одного проекта?
– Звучит как отдельная тема для статьи, попробую рассказать в двух словах.
Если говорить про web-пентесты, то самый первый и самый важный этап – получить разрешение на проведение пентеста от владельца web-ресурса. Затем мы собираем информацию о владельце в интернете. Для этого используем АSМ-сервис (Attack Surface Management). Это продукт, который раскрывает взаимосвязь между доменами, IP-адресами, сервер-сертификатами, киберпреступниками и вредоносным ПО в глобальном цифровом пространстве.
Далее проводится активное сканирование, где также могут быть использованы автоматизированные средства. Данные верифицируются, но 80% работы проводится вручную. Автоматизированные средства чаще всего находят дефолтные вещи по умолчанию.
После анализа отчетов автоматизированных средств и поиска уязвимостей вручную мы определяем векторы атак и выбираем наиболее подходящий для эксплуатации путь. Потому что суть пентеста не найти все уязвимости в web-приложении, а, например, проникнуть в информационную систему через ресурс.
По результатам выполненных работ мы даем аналитический отчет, где фиксируем все, что выявили и даём рекомендации по устранению выявленных уязвимостей и по повышению эффективности систем в информационной безопасности.
– И что же делать в компании после пентеста?
– Это зависит от результата. Не всегда пентест приводит к проникновению в систему. Если организация использует эффективные меры защиты и своевременно обновляет ПО, то не надо удивляться, что пентестеры ничего не нашли. Просто вы молодцы.
Если все же уязвимости и небезопасные конфигурации были найдены, то компании нужно тщательно проанализировать отчет по результатам пентеста и приступить к устранению недочетов.
В рамках пентеста можно привести дополнительную услугу — анализ уязвимостей. Так вы получите общую картину обо всех уязвимостях ваших ресурсов. Основное отличие в том, что пентест фокусируется на реальных действиях злоумышленника, а анализ уязвимостей — на исследовании защищённости информационной системы.
– Интересно узнать, как ты стала пентестером?
– В старшей школе я поняла, что хочу поступить на техническое направление. Готовилась к экзаменам, но с конкретной специальностью не определилась. Когда пришло время подавать документы, заинтересовало направление «Информационная безопасность». «Звучит интересно» – подумала я и поступила. Много училась, углубилась в эту тему.
На втором курсе начала закреплять знания на практике. Устроилась системным администратором на аутсорсе и на практике училась решать задачи, связанные с сетями, серверами и управлением доступом. Старалась привести ИС заказчиков в соответствие с ИБ (парольные политики, небезопасные конфигурации (неподписанный smb, не шифровался FTP, HTTP трафик), обновления уязвимого ПО).
А после получения диплома я вернулась в Чебоксары и устроилась в «КСБ-СОФТ». Тут стала заниматься анализом уязвимостей и пентестом web-приложений.
– Стереотипы о пентестерах. Как часто ты встречаешься с ними?
– Оказывается, стереотипов не так мало. Пришлось даже подготовить список:
1. Часто ИБ-специалистов путают с программистами. Я не программист. Ну если только чуть-чуть. Могу, например, написать скрипт.
2. «Взломай мой ВК». Этим мы тоже не занимаемся, если что. Не знаю, почему у людей такая логическая цепочка «Ты занимаешься пентестом — ты хакер — ты мошенник». Нет, мы не мошенники. Всё в рамках закона.
3. И самое частое: пентестеры, да и в целом ИТ-шники и ИБ-шники — это закрытые молчаливые люди в мешковатой одежде. Мы обсуждали в отделе этот момент, получился примерный портрет пентестера:
На самом деле, всё это заблуждение. Мы не все интроверты (да, такие люди у нас есть, но их не больше, чем в других компаниях). Мы работаем в команде, общаемся, выступаем на форумах. А значит, социализированы не меньше остальных.
Большую роль в создании образа айтишников, конечно, сыграло кино. На мой взгляд, один из самых популярных сериалов про информационную безопасность — это «Мистер Робот». Главный герой неразговорчивый и замкнутый. В своём деле он гениален, но его социализация оставляет желать лучшего. Он вечно ходит в толстовке с капюшоном и уверен, что единственный доступный для него способ коммуникации — взаимодействие через всемирную сеть. И как после успеха этого фильма не поверить, что все программисты такие?
Смотрела его в восьмом или в девятом классе. Кстати, возможно, у меня отложилось это в памяти, и через несколько лет выбор специальности пал на информационную безопасность не просто так. Раньше об этом не задумывалась.
– Есть стереотип, что технические специальности обычно выбирают мужчины. Легко ли быть девушкой в сфере информационной безопасности?
– Думаю, быть девушкой в сфере информационной безопасности так же нелегко, как и быть мужчиной в сфере ИБ. Как говорит мой начальник, на работе мы все специалисты, у нас нет гендерной принадлежности. Поэтому и отношение к нам практически одинаковое, независимо от пола. Но от некоторых людей более старшего поколения можно услышать такое предубеждение. В общем, стереотип ещё есть, но с каждым годом статистика девушек в технических специальностях растёт.
Помню, у меня начальник на собеседовании спросил: «Как ты относишься к мужскому коллективу». Тогда я еще не представляла, что меня ждет, сложно было ответить. Зато сейчас привыкла. У нас в отделе работают две девочки. Я очень рада. Нам бы ещё девушек)
– Здорово) Тогда следующий вопрос: как стать частью команды пентестеров?
– Во-первых, естественно, нужно желание: желание много учиться, постоянно практиковаться.
Учите языки программирования. Хотя бы один надо понимать, а лучше даже писать. Они, в принципе, очень похожи. Я писала на Python, в университете на C#, даже на Assembler. В любом случае, если ты знаешь хотя бы один высокоуровневый язык программирования, ты сможешь читать код и находить в нём уязвимости.
Ещё нужно понимать принципы работы операционной системы, пользоваться командной строкой в Bash, PowerShell.
Ну и более узкое направление — это знание методов атак и защита от них.
– Ну и последний вопрос, скажи, какие качества нужно развивать хорошему пентестеру?
– Из неочевидного, мне кажется, у пентестера должно быть творческое мышление. Хорошо, если ты умеешь действовать по регламенту, и прекрасно, если ты можешь мыслить креативно.
Нужно быть терпеливым и внимательным. Когда кажется, что вы уже всё изучили, выявили все возможные уязвимости, это обычно правда «кажется». Поэтому терпение, усидчивость и внимание к деталям! Конечно, это работает не всегда, но перепроверьте, пока есть возможность.
Стрессоустойчивость. Мне обязательно сказали это сказать. В общем, мы много стрессуем, похоже.
Коммуникабельность. Да, как я и говорила, мы общаемся с заказчиками, коммуницируем между отделами, участвуем в форумах... Поэтому надо уметь правильно доносить свои мысли.
Вот. И желание учиться. Много трудиться. Но мне кажется, любой профессии ты не должен стоять на месте.