Этичные хакеры стандартизируют тест на проникновение

Эксперты со всего света, проводящие аудит систем защиты, объединились, чтобы создать свод правил с целью повысить качество работы этичных хакеров, трудящихся на договорной основе.

Пентестеры со всего мира сообща разрабатывают Стандарт выполнения тестов на проникновение (Penetration Testing Execution Standard — PTES), чтобы снабдить клиентов эталоном, который определит качество испытаний, осуществляемых исследователями.

«Этичные» или «белые» хакеры ломают голову над задачей как выявить уязвимости и слабые места в системе защиты информации, которые могут быть использованы злоумышленниками.

По оценке Криса Никерсона, исследователя систем защиты из Денвера, возглавляющего процесс разработки стандарта, 80% пентестеров не выполняют даже простых испытаний, требуя, однако, высокое вознаграждение за свои услуги.

«Тесты на проникновение стали воронкой, высасывающей деньги из людей, и репутация самой индустрии скачет то вверх то вниз», – сообщил Никерсон, управляющий компанией Lares Consulting.

Испытателям следовало бы передавать доклад об уровне уязвимости системы клиенту, с тем, чтобы слабые места были устранены, но многие доклады на сегодняшний день чересчур упрощены, либо слишком запутаны.

Согласно Никерсону, некоторые худшие представители отрасли одновременно являются крупнейшими и самыми дорогими. Несмотря на то, что это может поправить бизнес небольших тестеров, разработчики стандарта все равно говорят, что это плохо сказывается на репутации отрасли в целом.

Более того, они говорят, что нет определённого четкого способа для клиентов отличить хорошего испытателя от плохого, и получается то, что Брюс Шнайер называет «информационной безопасностью со скрытыми дефектами».

Что касается самого стандарта, то PTES в марте перешел в альфа-стадию «понимания» (mind map) и в него вошло 1800 исправлений, выполненных с тех пор, как началось развитие стандарта в ноябре прошлого года.

«Каждый, кто вносит свой вклад в развитие стандарта, имеет опыт работы с испытаниями на проникновение более десяти лет», — сказал Никерсон, — «и развивает соответствующие компоненты экспертизы».

Релиз проекта должен состояться на конференции BlackHat в Австрии в этом году. Никерсон говорит, что презентация этого проекта в рамках данной конференции осуществляется в качестве первого испытания — с целью улучшения последующих переработок.

Также хотелось бы напомнить, что познакомиться с технологиями этичных хакеров можно в Учебном центре «Эшелон». Ближайшие занятия пройдут в мае.