...

понедельник, 12 марта 2018 г.

[Перевод] Как быть с «нигилистами в инфобезопасности»

Как часто в своей работе вы сталкиваетесь с ситуацией, когда ответ лежит на поверхности, прямо перед вами или вашими клиентами, но они просто не станут делать то, что вы им рекомендуете? Вы можете дать рекомендации по устранению уязвимостей, но не можете заставить им следовать. Конечно же, эта проблема возникает и в других профессиях (технических и не только), но в информационной безопасности она особенно распространена. Позвольте мне рассказать несколько историй, в которых вы непременно узнаете себя.

Вы — аналитик центра мониторинга информационной безопасности в одной Известной Корпорации. Ваша работа — запускать сканирование на уязвимости, убеждаться в том, что уязвимости с высоким риском устраняются во всей организации, и особенно в системах с выходом в интернет. Ваши сканеры находят в популярной платформе для веб-приложений критическую уязвимость, в результате которой злоумышленник может получить доступ к ящику. Например, при удаленном выполнении кода. Или если для данной уязвимости существует эксплойт. Вы рассказываете о своих выводах, планируете установку патча, пытаетесь выступить с инициативой на встрече по контролю изменений… и ничего не добиваетесь.

Ваше предложение отклонено. Модернизация платформы требует перестройки приложения, тестирования, кучи работы, так что нет, спасибо. Мы решим это позже. У нас есть что-нибудь, что может помочь нам засечь такую атаку? Нет, у вас нет доступа к каким-либо средствам противодействия, позволяющим понять, существуют ли сигнатуры для блокировки или хотя бы ОБНАРУЖЕНИЯ этой атаки. Также нет возможности установить на затронутые серверы какие-либо средства безопасности на основе хостовой системы обнаружения. Вы уверены, что, если уведомить об этом руководителя, найдется кто-нибудь, кто сможет это сделать. Это будет настоящий скандал, если один из ваших ящиков будет взломан и уязвимость окажется первоначальным доступом, обнаруженным спустя несколько месяцев. Поэтому вы сохраняете сообщения и письма, в которых упоминали об уязвимости, чтобы позже использовать их как ПВЗ-материалы (прикрывающие вашу задницу). Хорошо, что вы это сделали, потому что Известную Корпорацию взламывают довольно легко, а уязвимость, из-за которой вы подняли весь шум, действительно оказывается первоначальным доступом. К тому же, когда СЕО песочат за то, что он это допустил, тот перекладывает всю ответственность за инцидент на сотрудников информационной безопасности.

Вы пентестер в компании, оказывающей услуги по оценке уровня безопасности и тестированию на проникновения. Вы уже неделю работаете с крупным клиентом. Вы были готовы впахивать. Ох, как вы были готовы впахивать. В конце задания ваш отчет по толщине может сравниться с большим романом. Руководитель отдела информационной безопасности и менеджеры по управлению рисками просят вас поторопиться с подготовкой отчета. Обычно люди торопятся не для того, чтобы услышать плохие новости от пентестера. Поэтому, положившись на свою удачу, вы спрашиваете: «Что за спешка?». Возможно, они готовятся к грядущему аудиту и должны убедиться, что соблюдают все предписанные правила защиты данных. Возможно, они хотят сократить часть персонала или бюджет на безопасность в конце финансового квартала. Любой из вариантов был бы приемлемым. Вместо этого вы получаете ответ: «Нам нужен отчет, чтобы подписаться под ним и принять все риски». Это означает, что вы только что потратили время на профессиональный отчет (по сертификату OSCP, золотому стандарту пентестинга, который, заметьте, очень тяжело пройти) просто так. Никто не собирается его читать, никто ни о чем из него не узнает, а вы, вернувшись через некоторое время, найдёте всё те же недостатки.

Из всех доступных вариантов вы выбрали «Ничего не делать». «Ничего страшного», — сказали они. Всё работает нормально, поэтому мы не собираемся раскачивать лодку. Сдай отчет, получи свои деньги и иди дальше. В, мягко скажем, немного деморализованном состоянии, вы делаете то, что вам сказали. Ваше соглашение о неразглашении запрещает называть и порицать компанию, которая с таким безразличием относится к значительным рискам.

Вскоре компания получает письмо, в котором написано, что хакеры завладели персональными данными и собираются слить их, если не получат выкуп в виде возмутительной суммы денег. В качестве доказательства они прикладывают скриншоты с информацией из нескольких больших баз данных. Ваше расследование показывает, что инцидент действительно произошел, но вы пока еще не понимаете, как именно им это удалось.

Компании всё равно. «Откупитесь. Никто не должен об этом узнать. Если кто-то спросит, скажите, что это результат вашего bug bounty». Вы понимаете, что это не этично, но не собираетесь лезть из кожи вон, чтобы потерять работу из-за их ошибок. В конце концов, если Сертификация CISSP вас чему-то и научила, так это тому, что ответственность за неверные решения лежит на менеджменте.

Немного похоже на Shadowrun, не так ли? Такие ситуации (и множество других) приводят к тому, что специалисты по инфобезопасности чувствуют себя угнетенными и подавленными. Что происходит, когда человек чувствует, что его работа ничего не значит? Когда ему приходится сталкиваться ежедневно с одной и той же ерундой? Неделя за неделей, месяц за месяцем? Он впадает в апатию. Дело, которое когда-то было его страстью, которому он отдавался душой и телом, превращается в халтуру с 9 до 18, которая нужна лишь для оплаты счетов.

Вы больше не чувствуете того драйва и увлеченности своим делом. Вам больше не интересно узнавать о новых технологиях, техниках, методах, прокачивать новые навыки, к чему эти хлопоты? Ни одна корпорация не хочет заморачиваться с улучшением своей защиты, так зачем вам заморачиваться с обучением? Вы больше не хотите посещать конференции, потому что они кажутся вам эхо-камерой с постоянными разговорами об улучшениях и о том, как легко можно было предотвратить все эти несанкционированные доступы, когда мы, черт побери, уже обо всем этом знали.

Это называют выгоранием. Итак, отныне вам всё равно. Вы больше не выкладываетесь на 100%. Вы серьезно сомневаетесь в ценности методов информационной безопасности. В конце концов, мы десятилетиями бездумно повторяем 20 элементов управления безопасностью. Мы не можем даже добиться управления патчами и ресурсами — фундаментальными и самыми важными для безопасности вещами. Что на самом деле находится в вашей инфраструктуре и насколько регулярно это обновляется?

OWASP топ-10 существует, по крайней мере, с 2010, и мы по-прежнему ВСЮДУ видим SQLI-уязвимости (внедрение SQL-кода) и уязвимости Command Injection, особенно в интернете вещей и SOHO-роутерах — наиболее широко распространенных, уязвимых устройствах, которые вряд ли будут пропатчены хотя бы раз после установки.

О, и пока мы говорим о такой катастрофе, как интернет вещей, с которой еще и безумно сложно работать, не стоит забывать о том, как ботнет MIRAI положил DNS-серверы Dyn, тем самым убив половину интернета на целый день.

Есть наставления и руководства. Вода чистая и освежающая. Но, тем не менее, лошади под вашей опекой и надзором просто отказываются пить. Вы не можете просто застрелить их и отправить на скотобойню, так что всё, что вы можете — ждать и наблюдать за происходящим. Вам интересно, как вы вообще оказались в этой ситуации, и задумываетесь о смене рода занятий. Но потом понимаете, что в большинстве профессий можете столкнуться с вариантами таких же ситуаций.

Особенно в сфере IT:

  • Сисадмины/администраторы сетей и прочие часто сталкиваются с недостатком инвестиций в резервное копирование или инфраструктуру, но пока системы работают и приносят прибыль, всем наплевать. Кроме того, несмотря на то, что инфраструктуры приносят прибыль, IT по-прежнему рассматривают как «статью затрат». Менеджменту наплевать. Сейчас всё работает, а с проблемами мы разберемся позже.
  • Программистам приходится внедрять уродливые и дерьмовые хаки, потому что не было выделено достаточно времени, чтобы выпустить продукт, в котором разработчики были хотя бы относительно уверены с точки зрения тестирования и QA. Менеджменту всё равно, значение имеют только сроки выполнения проекта и выпуск любого дерьма, за которое будут платить покупатели.

Эта вечная близорукость и гонка на дно порождают апатию и нигилизм, способствующие выгоранию. Поверьте, я прочувствовал это на собственном опыте. Когда вы в следующий раз столкнетесь с апатичным профессионалом-нигилистом с пораженческими настроениями, подумайте, что привело его к этому.

Вы спросите, почему я всё еще здесь, если я выгорел? Мне удалось пережить это. Я понял — независимо от происходящего, я всё еще остаюсь хорошо обученным и способным специалистом. Решения, которые принимают другие люди в ответ на хорошо выполненную мной работу — не моя вина. Меня всё еще раздражает, что люди могут быть такими преступно недальновидными (и эта недальновидность влияет на мою жизнь), но я учусь с этим жить.

Я также начал понимать, что у меня есть многое другое помимо моей профессии. У меня есть семья. Домашние животные. Хобби. Дела. Места, которые хотелось бы посетить. Нужно использовать время, которое мне осталось, чтобы сделать это. Я больше не живу, чтобы работать, я работаю, чтобы жить.

И хотя у меня есть разумная необходимость в том, чтобы быть в курсе последних событий в технологиях и безопасности, но, если я не хочу идти на конференцию или шерстить соцсети, а хочу сходить в кино или уехать в небольшое путешествие с женой, я могу это сделать, и я должен это сделать.

Никто не запомнит вас и не поблагодарит за обнаружение угрозы, сообщение о ней или патчинг. Когда вас не станет, никто не вспомнит, какими крутыми были ваши инструменты, каким представителем профессиональной элиты вы были,. Вас и ваши подвиги будут помнить только ваши друзья и семья. Вам нужно определить для себя самое важное и решить, чему действительно стоит посвящать свое время.

Я посвятил время себе и своей семье, и в итоге вынес из периода выгорания свой смысл жизни. Со временем мой энтузиазм в отношении информационной безопасности вернулся, но с оттенком понимания, насколько всё это нелепо. Некоторым людям это не нравится. Но это не значит, что и вам тоже должно. Это просто мой способ справляться со стрессом, так что можете меня не слушать.

Let's block ads! (Why?)

Комментариев нет:

Отправить комментарий