Если учесть скорость технологических изменений, развитие киберпреступности и требования к управлению рисками, то тестировщик безопасности — чрезвычайно ответственная работа в сфере ИТ-безопасности. Стоит взглянуть на то, как тестировщики безопасности преодолевают эти проблемы и каким моделям мышления и подходам они следуют.
Экзистенциальный вопрос смысла
Экзистенциальный вопрос в области ИТ-безопасности заключается в том, актуально ли вообще тестирование и исправление. Если существуют тысячи уязвимостей, имеет ли значение обнаружение и исправление десяти, поскольку продукт все равно будет уязвим? Однако это предполагает, что все уязвимости имеют одинаковую серьезность. Для решения этой дилеммы разрабатываются метрики. Например, они предназначены для того, чтобы показать, сколько ошибок приходится на миллион строк кода, сколько из этих ошибок вызывают проблемы с безопасностью и сколько из этих уязвимостей можно использовать в конкретном сценарии угрозы. Однако обоснованная оценка возможна только ретроспективно.
Поэтому на практике основное внимание следует уделять общей цели оборонной безопасности. Попытка состоит в том, чтобы увеличить затраты злоумышленника, чтобы атака того не стоила. Каждая исправленная уязвимость в продукте означает меньшую вероятность того, что злоумышленник обнаружит уязвимость. Это один из способов придать смысл вашей работе перед лицом упомянутых выше неопределенностей.
Тесты безопасности могут иметь решающее значение. Например, в операционной системе Android реализованы дополнительные стратегии сдерживания. К ним относятся улучшение контроля доступа, сокращение поверхностей атак и архитектурная декомпозиция — особенно для частей системы, которые больше всего пострадали от уязвимостей.
Здоровая доза паранойи
Для руководителей служб безопасности оставаться в курсе ежедневных новостей, связанных с безопасностью, уже является проблемой. Даже политические и законодательные новости могут повлиять на тестирование безопасности.
Еще один глубокий вопрос, который должен задать себе каждый тестировщик безопасности при подходе к новой цели тестирования: «Доверять или не доверять?» Информационная асимметрия (навыки и знания соответствующих сторон не разглашаются) между субъектами безопасности создает благодатную почву для мифов и откровенной паранойи. Однако реальность такова, что, учитывая сложность сегодняшних технологий, всегда есть некоторые вещи, которые необходимо принять как основные истины.
Примером этого является криптография. Практически все коммуникационные технологии основаны на стандартизированных криптографических алгоритмах. На практике используются только алгоритмы, которые являются вычислительно безопасными. Это означает, что их невозможно взломать в разумные сроки с разумными ресурсами с точки зрения затрат, затрат энергии и так далее. Поэтому следует верить, что процесс стандартизации гарантирует, что утвержденные алгоритмы подвергаются тщательной проверке множеством независимых экспертов, чтобы ни у кого не было существенного преимущества в расшифровке алгоритмов.
Однако это не освобождает руководителей служб безопасности от необходимости быть в курсе вопросов безопасности, проводить предварительные исследования и поддерживать здоровый уровень паранойи для принятия решений, основанных на доверии. Потому что всегда бывают случаи, подобные случаю Эдварда Сноудена, который на основании просочившихся документов предположил, что недостатки стандартизированного, криптографически безопасного генератора случайных чисел, называемого детерминированным генератором случайных битов с двойной эллиптической кривой, уже были известны, и тем не менее, он все еще был в списках 2006–2014 гг. алгоритмов, утвержденных международно-признанным органом по стандартизации.
Искусство расставлять приоритеты
Какими бы захватывающими ни были мифы и теории заговора, окружающие тестирование безопасности, ограниченные ресурсы для тестирования безопасности требуют прагматизма и бизнес-ориентированных подходов. Если вы посмотрите на поверхность атаки, которую предлагает один только смартфон (например, сложность операционной системы и разнообразие интерфейсов ввода), а затем добавите скорость изменений в мобильной экосистеме, станет ясно, насколько велики проблемы в области безопасность продукта.
Уже стало понятно, что угрозы не бывают черными и белыми, а имеют разные оттенки серого – в зависимости от того, как на них смотреть и кто их судит. Поэтому для обеспечения ясности необходимы некоторые неопровержимые факты. Поэтому тестировщикам следует спросить себя: какую роль тестируемый объект играет в общей ситуации с безопасностью? Как он используется клиентами и какие политики безопасности применяются? Насколько велики усилия по тестированию с учетом имеющихся ресурсов и опыта? Если уязвимость обнаружена, можем ли мы ее исправить? Планируется ли в ближайшем будущем рефакторинг кода или изменение дизайна целевой системы? Можно ли автоматизировать тесты? Какова история тестируемой базы кода и поддерживается ли она? Каковы тенденции в исследованиях уязвимостей?
Помимо тестов безопасности продуктов, в повседневную жизнь тестировщика безопасности также входят тесты на проникновение и безопасность внешних сетей и устройств. Обычно это делается либо в виде тестирования «черного ящика» (без предварительной информации о цели), либо в виде тестирования «серого ящика» (в качестве предварительной информации используется некоторая информация, например документы по ИТ-архитектуре). Обнаружение информации о цели (какие технологии используются, как она настроена, каковы защищаемые активы, а иногда даже и подсказки о мышлении разработчиков) посредством обратного проектирования и разведки само по себе увлекательно.
Но этот подход даже более открыт с точки зрения результатов и ожиданий, чем тестирование безопасности «белого ящика», где доступны подробности большинства частей реализации. Поскольку трудно узнать, насколько хорошо вы выполнили свою работу, например, с точки зрения тестового покрытия, существует постоянное давление на завершение тестирования с ценным результатом — например, обнаружением критической уязвимости в целевой системе.
