2595
Пентест не «для галочки», или совмещаем нужное с полезным
PCI DSS – бумажный или реальный пентест
«Пентест по стандарту PCI DSS» – когда мои коллеги-пентестеры из ИБ-компаний или интеграторов (специалисты по информационной безопасности) слышали это словосочетание, обычно оно не предвещало ничего хорошего. Почему? Потому что, как выяснялось по факту: «результат для заказчика был абсолютно не интересен».
Да, этого не скажут в лицо, но все будет понятно по отношению и к процессу, и к результатам. Работа специалистов в этом пространстве будет восприниматься как формальность и не более того. Заказчик просто подождет пока вы наконец уйдете, пока работы на его объекте не закончатся. Максимум внимания к специалистам – уточнят, когда будет готов итоговый отчет. Только он и нужен. Заказчику важен лишь факт проведенных работ.
Более того, со стороны заказчика возможно грубое противодействие, хотя по правилам оно должно быть исключено. Что может произойти? Специалиста могут посадить в изолированный сегмент сети. Заблокировать его порт на сетевом уровне, сделав вид, что ничего не происходит. Стоять у него за спиной и смотреть за каждым действием. Это самое распространенное с чем сталкивались пентестеры. Да, все это можно исключить, ссылаясь на стандарт проведения работ или на здравый смысл, но не всем хватает мужества и хладнокровия.
Разумеется, в такой ситуации по итогу работ, пентестер даже близко не покажет реальную защищенность или уязвимость заказчика. Впрочем, заказчику это и не нужно – ему нужна только «бумага».
Поэтому можно частично или даже полностью повторить отчет предыдущего года.
А что вообще изменилось после предыдущих работ? Зачастую немногое. Иногда в отчете достаточно просто поменять дату.
Ни одна ранее обнаруженная уязвимость не закрывается? И так продолжается из года в год? А разве это кого-то волнует? Например, именно так происходило в одном из топ-50 банков РФ, где каждый год ни одна уязвимость не исправлялась, а на захват всей сети изнутри даже у неопытного пентестера уходил максимум час. Самый ходовой уязвимостью тогда была ms08-06 – да-да, уязвимость аж 2008 года, но актуальная для многих еще несколько лет назад!
А зачем делать работу, которая никому не нужна?
Механизм, который не работает
Но почему тогда подобные работы вообще заказывают и платят за это хорошие деньги? Зачастую просто потому, что должны отчитаться по тому же стандарту, и уже привыкли, забюджетировали на каждый год одни и те же работы у одного и того же подрядчика. Пентест по PCI DSS – один из многих механизмов оценки, который оценивает QSA (Qualified Security Assessor) для выдачи сертификата, а VISA и Mastercard не интересуют его результаты. Все вопросы решает только QSA. А что, если QSA не будет лоялен заказчику? Если в соответствии со стандартом, как он и должен поступать, примет решение не выдавать сертификат по результатам провального пентеста? Заказчик просто сменит QSA, найдет более «понятливого», а компания принципиального и честного QSA просто потеряет постоянного клиента. Часто многие даже не стеснялись сказать это в лицо, тем самым устраивая откровенный шантаж.
В результате сложилась ситуация, когда заказчик платит за подписанную бумажку, а QSA вместо реальной оценки защищенности, эту бумажку просто продает. Зачем навязывать заказчику «реальную безопасность», указывать на существующие проблемы и предлагать какие-то решения, когда достаточно «бумажного» результата пентеста.
Именно поэтому на российском рынке подобных услуг, очень быстро появились те, кто понял: раз покупают бумажку, а не реальный результат проведенных работ, то эти самые работы можно исполнять чисто формально. Сформировался рынок услуг PCI DSS, в основу которых лег откровенный демпинг, когда вложившиеся в статусы QSA и ASV (Approved Scan Vendor) компании стали продавать свои экспертные заключения, а также пустые или практически пустые, но непременно успешные сканы безопасности сервисов, так необходимые по стандарту. Эта прослойка сверхлояльных аудиторов, фактически не проводя работы по стандарту, снизили свои затраты до минимума, и предлагали свои услуги ощутимо ниже их реальной стоимости.
Зачем напрягаться, если можно лишь поменять даты на отчетах и на сканах, где изображают внутренние пентесты просто запуском сканера безопасности, рисуя несколько красивых скриншотов.
Да, такие проверки не давали реальной оценки защищенности, но долгое время результат никого не интересовал. Представители бизнеса были довольны, что киберриски стремятся к нулю. При этом необходимость получать «бумагу» стала своего рода акцизом, дающим возможность предоставлять услуги.
Бумажный щит приходится бросать
Но вот случился февраль 2022 года, Visa и Mastercard прекратили работать в РФ, хотя статусы у компаний-аудиторов не отозвали, но и смысла в работе «для бумажки» стало меньше. Произошло это хотя бы по той причине, что риски информационной безопасности выросли буквально в разы.
В то же время через несколько месяцев, спрос на обычные пентесты вырос, а на пентесты по PCI DSS стали реально обращать внимание. У многих руководителей финансовых организаций открылись глаза и у возник вопрос, который ранее озвучивали их более ответственные коллеги: «Если мы и так заказываем пентест, то может совместим нужное с полезным». Заказчики стали просить презентовать результаты руководству и уточнять рекомендации по устранению уязвимостей. И вот, спустя год, отчеты стали совсем другими! Противодействие же работе специалистов начало сводиться к минимуму, потому что бизнесу наконец-то понадобилась реальная картина уязвимости компаний.
Что же повлияло на ответственность руководителей служб информационной безопасности? Сразу целый ряд факторов, среди которых: волна утечек и взломов, ужесточение штрафов, а также многократно поднявшийся уровень квалификации хакеров.
Таким образом, заказчики поняли, что реальная безопасность им все-таки нужна, а бумажка от удобного «демпера» совершенно не спасает от вполне реальных угроз.
Все ли заказчики успели поменять свое отношение? Отнюдь. Мы уже упоминали про банк с актуальной уязвимостью 2008 года. Так вот, за означенный период эта кредитная организация была успешно атакована. Произошло это потому что, не все хотят перестраиваться: некоторые предпочитают жить как раньше.
Однако стоит отметить, что по большому счету, рынок ИБ-услуг поменялся. Как только бизнес понял, что возможен реальный ущерб, а ситуации со взломами и потерей данных из «гипотетических» угроз превратились во вполне реальные и стали повторяться, «бумажный» PCI DSS начал уходить в прошлое.
В результате резко поднявшегося спроса на реальный пентест обнаружилось, что специалистов не хватает. При этом можно смело предположить, что в ближайшее время больше их не станет. А значит, качественно проводить работы по анализу защищенности в ближайшие годы будет еще сложнее. Поэтому следует сосредоточиться на том, как эффективно проводить работы по анализу защищенности. Но это тема не одной публикации, и мы к ней еще вернемся.
