Александър Свердлов

Доколкото съм запознат с дейността на колеги занимаващи се с тестове на възможности за проникване в информационните системи или т.нар. Penetration Testing (извън България) - тези, които си вършат работата честно, я вършат само 2 пъти - третия път това вече не е работа по проверка за пробиваемост, а просто помощ на клиента да премине поредната годишна сертификация - защото първия път се намират всички логически и практически уязвимости в системата и се предлага решение на проблемите, втория път се проверява изпълнението на тези препоръки, а третия и всеки следващ тест са само за профилактика... и до голяма степен, това е заради най-важната и най-ефективната препоръка на... да ги наречем, честните pentest компании.

Whitelisting

Всички знаем какво е blacklist - всеки забранен за посещение отвътре външен ресурс, и всеки външен адрес на който му е забранен достъп до нашата мрежа. Проблемът е, че само в Китай имаме стотици хиляди нови потребители месечно, съответно, ако блокираме индивидуални "злосторници", само за "хакерите" от тази огромна държава ще трябва да отделим цял отдел занимаващ се с въвеждане на адреси... просто е неефективно. Това се отнася за зловредни сайтове, такива които принципно не би трябвало да се посещават в работно време, програми за чат и аудио- и видео- разговори, игри, и тн.

Какво е решението? Да, разбира се - Whitelisting. На защитната стена и на проксито се създава много проста конфигурация - всичко е забранено, освен... На уеб проксито изключително лесно може да се направи настройка, препращаща към вътрешна интранет страница всеки път, щом потребител въведе непознат за системата адрес в браузъра си - с поле в което да попълни мотива за посещение на този уеб адрес към администратора на проксито - да, първия месец ще има недоволни, администратора ще е буквално затрупан от подобни съобщения - но на втория, третия месец, когато потребителите свикнат, а най-необходимите им адреси са въведени и одобрени, страстите ще утихнат, а вашата организация ще е неимоверно по-защитена отколкото ако ползваше blacklist логика на защита.

Една кратка 15 минутна презентация под формата на видеоклип за причините за това нововъведение, придружена от кратко текстово обяснение ще е достатъчна за повечето хора да осъзнаят целта на упражнението и важността му за целостта на информацията в компанията, както и за продуктивността на хората в работно време. И аз лично, не се сещам за разумен довод някой да е недоволен - все пак, няма цензура - всички сайтове които ще помогнат на човек да бъде продуктивен, нямат причина да не бъдат одобрени. Кой е първият доброволец, който ще поиска да му бъде позволен достъп в работно време към сайт за запознанства?

И какво общо има penetration testing-а с казаното до тук?

Когато става въпрос за проникване отвън, изключително рядко се случва атаката да дойде от одобрен, доверен ресурс. Обикновено, оторизираните тестове на сигурността преодоляват защитите от непознати адреси, експлоитите които пращат се свързват с непознати за системата адреси... ако позволявате достъп от и до само одобрени ресурси, просто няма начин някой да направи пробив отвън. Дори и да проникне вирус в системата, той няма да може да изнесе информация от компанията. Затова, когато един pentest екип препоръча whitelist и компанията го въведе като практика, третият тест е вече обикновена формалност - смисъла на един тест за пробиви е да се осъществи пробив - а след въвеждането на политика за одобрени ресурси, единствените пробиви могат да бъдат осъществени с пробив във физическата сигурност или чрез измама на служител...

Продуктивност на служителите, непробиваемост на системите отвън - това са фактори, които могат да надделеят над първоначалната трудност при убеждаване на хората да приемат това решение. И ми е много интересно, ако го въведете, коя pentest компания ще успее да направи пробив в информационните ви системи? Да не забравим - на такива компании се плаща само и единствено ако успеят да направят пробив. Ако ще плащате за репорт на сигурността, както винаги съм казвал - просто си свалете безплатния Nessus и сканирайте мрежата си с него.