Случаи, когда инструментальных средств недостаточно

Случаи, когда инструментальных средств недостаточно

Нет сомнения в том, что инструментальные средства сканирования уязвимости изменили лицо тестирования на проникновение и заняли свою нишу. Но в то же время они не являются палочкой-выручалочкой из всех бед нарушения безопасности. Если сможете, то возразите автору. Он хочет поделиться своим опытом, который он приобрел во время работы в большой аутсорсинговой (outsourcing – привлечение внешних ресурсов для решения собственных проблем, например для разработки проекта) организации и отвечал за внутреннюю безопасность ее сети. Один из новых клиентов организации, у которого была большая распределенная сеть, состоящая из многих систем и платформ, решил воспользоваться услугами независимого консультанта для выполнения теста на проникновение в свою сеть. Описываемые события происходили в 1998 году, когда мистика хакерской культуры привлекала всеобщее внимание и тесты на проникновение только начинали приобретать популярность.

Клиент, о котором идет речь, выбрал компанию, оказывающую услуги по тестированию сети на проникновение откуда-то из Сан-Франциско, и предоставил им необходимую информацию для тестирования своих систем сети, взаимодействующих с внешним миром. По прошествии нескольких дней консультант клиента прислал курьером итоговый отчет. К отчету был приложен их счет на сумму что-то около 10 000 долл. К сожалению, будучи внешним соисполнителем, у автора не было возможности просмотреть отчет, присланный независимым консультантом. Он смог его увидеть только тогда, когда менеджер по информатизации (CIO) клиента вызвал автора в свой офис и попросил объяснить ему, почему приглашенный извне консультант, выполнивший тест на проникновение в их сеть, нашел свыше 50 различных уязвимостей в их Web-серверах. Конечно, автор был потрясен. Он думал, что хорошо выполнял свои обязанности, сохраняя в безопасности сервер на уровне всех последних найденных уязвимостей и патчей. Автор даже выполнял свой собственный мини-тест на проникновение для контроля самого себя. И ни разу не было обнаружено чего-то такого, что свидетельствовало бы о каких-либо недочетах. Автор попросил познакомить его с отчетом независимого консультанта. И как только менеджер по информатизации вручил его автору, он сразу же заметил на нем логотип одного из производителей коммерческих сканеров уязвимости. В процессе дальнейшего изучения отчета было обнаружено, что высокооплачиваемый независимый консультант просто применил коммерческий продукт (использование которого можно было легко оплатить за указанную им цену) для тестирования нужных систем, распечатал отчет и отослал его вместе со счетом. Для автора было ясно, что этот так называемый независимый консультант, выполнивший тест на проникновение, не удосужился каким-либо образом проверить результаты тестирования. В конечном счете, для того чтобы убедить менеджера по информатизации в недостоверности предоставленного ему отчета, пришлось вызвать независимого консультанта в офис для очной встречи всех заинтересованных сторон. После просмотра всего отчета стало ясно, что консультант не понял содержимое отчета и лишь прочитал его перед отправкой. Из переданных клиенту автора более 400 страниц отчета только десять были действительно полезными.

Автор уверен, что многие из читателей сами смогли бы привести похожие примеры коварных скользких коммивояжеров, приходящих вооруженными несколькими коммерческими, а в некоторых случаях и свободно распространяемыми инструментальными средствами и выставляющих огромные счета за небольшие или вообще никакие дополнительные услуги. Следует понять, что хотя все из рассмотренных в этой главе инструментальных средств могут оказаться полезными для тестирования на проникновение, тем не менее для того, чтобы добиться наибольшего эффекта от их использования, все равно потребуются какие-то знания. Выбирая организацию, предоставляющую услуги по тестированию на проникновение, узнайте, в какой степени в своих исследованиях они полагаются на коммерческие, свободно распространяемые средства и собственные разработки. Если читатель увидит, что при тестировании в основном используются коммерческие инструментальные средства, то вполне возможно, что он захочет поискать другую компанию, занимающуюся тестированием на проникновение. Если читатель сам занимается тестированием на проникновение, то ему следует позаботиться о наличии в его арсенале достаточного числа инструментальных средств, скриптов и знаний общих уязвимостей.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг:

2.8. Вопросы, системы и концептуальные случаи

Из книги автора

2.8. Вопросы, системы и концептуальные случаи «Вопросы являются следствием определенных точек зрения, они проистекают из чего-то такого, что помогает выяснять неясные моменты, формулировать ответы и уточнять проблематичные вещи. Не следует думать, что наши взгляды на


3.23. Как отключить сообщение о том что недостаточно свободного места на диске?

Из книги автора

3.23. Как отключить сообщение о том что недостаточно свободного места на диске? Создайте в реестре, по пути HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explоrer Ключ типа DWORD под названием NoLowDiskSpaceChecks, и присвойте ему значение 1.


Недостаточно места на диске

Из книги автора

Недостаточно места на диске Если Windows постоянно выводит сообщения о том, что на диске мало места, то в разделе реестраHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplоrer создайте параметр NoLowDiskSpaceChecks типа DWORD со значением, равным 1, – и windows заткнется :-)


Какой метод интернет-рекламы выбрать, если денег недостаточно

Из книги автора

Какой метод интернет-рекламы выбрать, если денег недостаточно Как мы уже упоминали, существуют два основных инструмента для привлечения потенциальных клиентов на сайт:? контекстная реклама;? поисковая оптимизация.Предположим, ваш бюджет на данный момент настолько


4.3. Общие случаи использования отсечения

Из книги автора

4.3. Общие случаи использования отсечения Мы можем выделить три основных случая использования отсечения.Первый связан с ситуациями, когда мы хотим указать Пролог-системе, что она нашла нужное правило для заданного целевого утверждения. В этом случае отсечение означает:


Лучший, средний и худший случаи

Из книги автора

Лучший, средний и худший случаи Помимо всего прочего, необходимо рассмотреть еще один вопрос. О-нотация относится к среднему случаю. Вернемся к нашим экспериментам, связанным с поиском элемента в массиве. Если бы фамилия "Smith" всегда была первым элементом в массиве,


Когда недостаточно ALTER TABLE

Из книги автора

Когда недостаточно ALTER TABLE Иногда бывает нужным произвести изменение столбца, которое нельзя совершить с помощью ALTER TABLE. Примером может быть случай, когда столбец, хранящий международные элементы языка, имеет набор символов NONE, который нужно заменить на другой набор


Случаи потери информации и принципы восстановления

Из книги автора

Случаи потери информации и принципы восстановления Отдельные главы книги посвящены восстановлению информации с различных типов носителей. В каждой главе, кроме первой, будут рассмотрены сходные ситуации. От причин и места потери данных зависит тактика их


Отдельные случаи восстановления

Из книги автора

Отдельные случаи восстановления Ранее был рассмотрен долгий путь восстановления данных из RAID-массива: подключение дисков к обычному контроллеру по-одному, создание их образов, сборка виртуального массива и извлечение из него файлов. Это универсальная, наиболее


Применение автоматизированных инструментальных средств для тестирования на проникновение

Из книги автора

Применение автоматизированных инструментальных средств для тестирования на проникновение Автоматизированные инструментальные средства, несмотря на некоторые их недостатки, – широко приветствуемое дополнение при выполнении тестирования на проникновение.


Телефон на все случаи жизни [121]

Из книги автора

Телефон на все случаи жизни [121] Для того чтобы компания эффективно работала, необходимо сокращать затраты на управление и на предоставляемые услуги. При этом качество услуг должно повышаться, а их спектр – расширяться. Эти противоречивые требования не возможно