Есть смысл платить таким компаниям как Контур за Пантест (Пентест)?

Question

[PetrovArtemii29]

Куда обратиться микро-предприятию за качественным тестом на проникновение? Полным, а не до первой теоретической уязвимости типа нелецензионной операционной системы (просто пример).
Есть компании в среднем ценовом сегменте- желательно до 100 000? Стоит ли доверять таким как Контур, Билайн, которые сейчас таким занялись или уровень у них так себе?

Comments

[Василий Банников]

> Контур
А когда он вообще начал этим заниматься?

Если речь действительно про тот контур, который "СКБ Контур", то спецы по безопасности там хорошие, опыт по таким делам есть (Как минимум - очень давно существует внутри команда, которая проводит аудиты безопасности веб-сервисов).
Я бы доверился

[PetrovArtemii29]

Василий Банников, тот самый, да. Сомнения вызывает многопрофильность данной компании и то, что их электронные ключи для сдачи отчетности- самая главная уязвимость : как оказалось, очень многие жалуются на взлом устройств через эту фигню. Они, конечно, не признаются, у них все хорошо.

[PetrovArtemii29]

Василий Банников, спасибо за ответ по существу. Как оказалось, это большая редкость....

[Василий Банников]

PetrovArtemii29,

как оказалось, очень многие жалуются на взлом устройств через эту фигню. Они, конечно, не признаются, у них все хорошо.

Не признаются только из-за того, что ключ может скомпрометировать только сам клиент - очень частая ситуация, когда например бухгалтер постоянно оставляет токен вставленным в комп. Например в самом контуре - оставленный в компе токен без присмотра считается скомпрометированным, и его нужно отозвать.
Со стороны УЦ ему просто негде утекать.

Сомнения вызывает многопрофильность данной компании

Вообще-то у компании лишь один профиль - ИТ сервисы для бизнеса

PS: Сейчас загуглил - реально есть аудит безопасности. Не знал о таком. Видимо это сравнительно новое направление.

[PetrovArtemii29]

Василий Банников, да и куда не плюнь-все побежали заниматься этим. Билайн, кстати еще. Вот и вопросы: понятно, что есть потребность, она растет в геометрической прогрессии. Но вот каково будет качество.. Мы обращались в местную компанию. Она занимается безопасностью, разрабатывает свое ПО, но нам дали понять, что до первой уязвимости типа нелецензионной ОС.

[PetrovArtemii29]

Василий Банников,

Не признаются только из-за того, что ключ может скомпрометировать только сам клиент - очень частая ситуация, когда например бухгалтер постоянно оставляет токен вставленным в комп. Например в самом контуре - оставленный в компе токен без присмотра считается скомпрометированным, и его нужно отозвать.
Со стороны УЦ ему просто негде утекать.

вот этого не знали, спасибо.

[Василий Банников]

PetrovArtemii29, напишите во все компании и узнайте, кто как работает и за какие деньги.
Выбирайте из того, что вам больше подходит.

В принципе можете сразу и закинуть им то, что вы хотели бы получить - вам сразу же продажник ответит, подходит ли вам их продукт.

[PetrovArtemii29]

Василий Банников, страшно соваться... Продукты позитив технолоджис под миллион выходят. Но это защита+ расследование инцедентов, а не единовременный аудит.

Answer 1

[АртемЪ]

Есть смысл платить таким компаниям как Контур за Пантест (Пентест)?

Конечно. Они же документ дадут. А документ это штука важная. Как говориться - чем больше бумаги, тем чище задница.
В случае каких-то проблем вы можете предьявить документ и заявить что сделали все что смогли.

Куда обратиться микро-предприятию за качественным тестом на проникновение?

А что такое качественный тест?

Comments

[PetrovArtemii29]

зачем отвечать на вопрос, когда по существу написать нечего? Слить негатив? что за мода- дерьмом поливать всех вокруг из чувства собственной исключительности?

[PetrovArtemii29]

качественный тест-тест, что покажет все уязвимости, а не до первой выявленной.

[АртемЪ]

PetrovArtemii29, Таких не бывает.
Это попросту невозможно.
Любой тест найдет некоторые уязвимости - а большая часть останется ненайденной.
Найти все невозможно даже в теории.

[PetrovArtemii29]

АртемЪ, ну не все, а по которым проникают. Ну и вообще: что значит- не возможно? Есть же определенный набор данных-ос, настройки сети, ПО, защита- все они составляют какую-то базу, в том числе возможных уязвимостей.
Тест на проникновение по идее же должен имитировать взлом? Следовательно, если проникнуть можно, скорее всего, он выявит уязвимости. Про все-это понятно: от уровня хакеров и их оборудования тоже многое зависит.

[АртемЪ]

PetrovArtemii29, Уязвимость это возможность несанкционированного влияния на систему, или доступа к данным.
Можно проверить по списку известных вам уязвимостей и убедиться что известных вам уязвимостей там нет.
А неизвестные вам есть.
Вот и все.

[Saboteur]

PetrovArtemii29, Не существует такого теста, который покажет все-все уязвимости. Качественный тест может выполнить более качественный специалист/контора, которая может быть проверит больше, может быть проверит адекватнее. Но тест это не есть полноценный внутренний аудит всего и анализ, который может сделать свой отдел безопасности, если в нем есть хорошие специалисты, зарплата, полномочия и время хотя бы пару лет.
А тест, даже если он длиться не день а целую неделю - это тест на довольно базовые известные уязвимости.

Answer 2

[ValdikSS]

«Полный» тест называется аудитом, а не пентестом. Пентест, как правило, показывает, что может найти злоумышленник за фиксированное время, а аудит подразумевает глубокое исследование систем, ПО, оборудования, их взаимодействия.

Советую вам начать с обсуждения ваших систем и построения модели угроз с профильным консультантом. Рекомендую обращаться в https://dsec.ru/

Answer 3

[Zamanbek Zhaxylykov]

самое главное правило это чтобы расходы на аудит (пентест входит сюда) не превосходили потенциальные потери при вскрытии потенциальной проблемы. + нужно что после аудита найденные дыры сами собой не закроются для того чтоб избавиться от них нужны свои спецы (или придется снова обращаться к сторонней компание). после того как посчитаете расходы уже можно размышлять нужно ли вам это.

Answer 4

[ComodoHacker]

Главный вопрос — что вы будете делать с результатами? Ну, найдут кучу всего, вы броситесь все исправлять? Это может обойтись гораздо больше, чем 100К. А если нет, то зачем тестирование?

Еще важные вопросы. Чем занимается "микропредприятие"? Как вы изначально подошли к вопросу? Есть ли у вас свой специалист? Есть ли модель угроз?

Comments

[PetrovArtemii29]

нас взламывают регулярно. Известно кто и даже как: человек написал и признался, что загрузил нам драйвера, которые обновляются раз в 4 часа и это похоже на правду: приходят обновления винды, а после этого появляются левые файлы, например в такой папке как program data. Шантаж, требование денег, но это отмаза, чтобы мы не копали дальше, а откупились деньгами, так как мы знаем, кто это делает. Но это уже кульминация всей истории, а наблюдаем мы эту дискотеку уже более полугода.
В общем есть цель найти лазейки проникновения. Своего it-специалиста нет. Были сис. админы, какие-то вообще смешные, которые по одному взгляду заявляли, что все у нас нормально.

[CityCat4]

PetrovArtemii29,

а наблюдаем мы эту дискотеку уже более полугода

И до сих пор не переставили свою винду? Ну йопт остановите вы свое "микропредприятие" на день, снесите нахрен всю винду с форматированием дисков, поставьте все заново, выбросите нахрен роутер и купите другой.
Вас полгода дрючат, а вы только позу поудобнее принимаете :) Не нужен вам никакой пентест, вас уже взломали и вам нужно предпринимать меры по восстановлению.

[Андрей Сабуров]

PetrovArtemii29, Жесть!
Нужно ситуацию исправлять. Исправить сложившуюся ситуацию и сразу начать прогнозировать развитие ИБ в организации.

[PetrovArtemii29]

CityCat4, переставляли и не раз. Одно и то же все. меняли имя пк, Касперский лицензионный везде- все одно и то же: присылаются обновления и загружается хня какая-то. Уже даже отключали все возможности обновлений, любого удаленного управления- в общем все службы, кроме необходимых, были отключены- все то же.
Сеть полностью меняли, включая провайдера.

[PetrovArtemii29]

Андрей Сабуров, понять бы, как ее исправлять. Доступного софта для расследования инцидентов нет: там ценник везде с 6-ю нулями. Правда мы не везде мониторили.

[CityCat4]

PetrovArtemii29, Значит либо не так переставляете, либо ленитесь и недоделывыаете что-то, либо у вас "крыса" внутри. Хотя скорее всего переставляете по некоей методике, которая экономит на чем-то и не устраняет дыру.
Сколько у Вас машин? Как они обьединены в сеть? Как выходят в тырнет? Кто админит машины? Есть ли у юзеров права админа?

[Андрей Сабуров]

PetrovArtemii29, если есть возможность и желание то можем обсудить ваш кейс и подсказать первые шаги. Я не ради рекламы или продажи все это Вам пишу, просто чет ужаснулся после слов о полугодовой дискотеке.......)))
Пишите на почту, созвонимся и более предметно пообщаемся.

[Андрей Сабуров]

CityCat4, думаю что грызун с 90% вероятностью есть

[CityCat4]

Андрей Сабуров, Скорее всего да. Методика простая - чел сносит все нах, все ставит заново. Грызун заново ставит то, что стояло раньше, система снова скомпроментирована. Мыло да мочала - начинай сначала...

[PetrovArtemii29]

CityCat4, исключительно рабочих компов всего 2, еще два ноута и домашний пк. Крыс внутри точно нет, так как работают три человека-члены одно семьи и у всех помимо ПК, взломаны еще и телефоны, прослушиваются звонки( это точно, так как клиенты потом резко отваливаются и не берут трубки, а постоянные клиенты спрашивают, как можно связаться по безопасным каналам связи). Так как сим, операторы, сами устройства были тоже заменены, но все равно проблема не исчезла, то есть подозрения на какое-то спец оборудование, которое через моб устройство взламывает и рядом находящиеся ПК: новые планшеты были взломаны сразу при первом же включении ( была установлена ПО удаленного доступа).

Компы в есть не объединены, на каждом локальная. Делали несколько пользователей- админ и обычные, работали через обычных. И на работе и дома компы через вай фай выходит в сеть.
Есть подозрение, что в бух базу данных что-то могли впихнуть. Потому что только она переходит из устройства в устройство после переустановления.

[ComodoHacker]

Похоже, вам для начала нужен грамотный админ, а не пентест. Вас уже "протестировали".
Назовите город, может кто откликнется.

Кстати, а винду переставляли с готовых сборок, с Офисом и "полным фаршем"?

[PetrovArtemii29]

ComodoHacker, да, это понятно давно, но в нашем городе сис админов хороших, видимо, нет.

Винду переставляли через сервисные компании. А вот как, не знаю.

[CityCat4]

PetrovArtemii29, По-моему, Вы тут уже параноите.

есть подозрения на какое-то спец оборудование, которое через моб устройство взламывает и рядом находящиеся ПК

Это не то, чтобы полный бред - может быть такое и бывает, но мне кажется, вы не того уровня люди, чтобы ради Вас применять такую технику.
Цель-то у всего этого какая? Денег стрясти? Не слишком ли сложно?

Винду переставляли через сервисные компании.

То есть фактически не переставляли. Отсюда и паранойя - винду переставляли, ничего не изменилось. А ничего не изменилось, потому что ничего и не делали :)

( была установлена ПО удаленного доступа).

Какое ПО, как Вы его определили, что оно не было и вдруг появилось?

В общем, пока Вы сами лично либо некто в Вашем присутствии не снесете винду с форматированием диска и не поставите ее с официального дистриба - вся эта история мне кажется сказкой про "черный-черный дом". Тут не так давно девушка была, рассказывала такую же историю - не Ваша коллега? Ее тоже беднягу вдоль и поперек ломали.

[PetrovArtemii29]

CityCat4, дело в том, что мы знаем, кто это делает. Потому как всей этой истории предшествовал давний конфликт с бывшим франчайзером. Из общения с так же бывшими его франчайзи ( когда-то мы работали все вместе), стало понятно, что он со всеми выкидывает фентеля. Материальной заинтересованности у этого человека нет: денег там более чем предостаточно, зато есть несколько видов бизнеса, а один из которых-веб-разработка и есть большая ненависть к нам, обусловленная желанием занять рынок соседнего региона и злостью за то, что мы не сильно меняли свое название после разрыва отношений и даже суд занял нашу сторону. В связи с этим человек перепродал франшизу еще раз нашему же региону, а франчайзи, видимо из-за похожести названия, работать не смогли.

[PetrovArtemii29]

CityCat4, возможно моя. Но, к сожалению, это правда. Нам самим не хотелось в это долгое время верить, однако вы бы видели, что происходит с завидной регулярностью: блокируются звонки и смс и ничего не помогает-просто регулярно приходит сообщение, что номером кто-то третий управляет. % телефонов- со всеми одно и то же. ios еще как-то держалась, а вот андроид можно просто на помойку: и сбрасывали настройки, перепрошивали, шифровали данные, ставили антивир, меняли сим, покупали кнопочные, сменили операторов- блокировка продолжается. Сбрасываешь настройки- все норм, а потом опять. Как-вопрос. Как управляют кнопочным.
Сидишь в инете в библиотеке, там начинают выключаться компы, блокироваться доступ к сайтам, поднимаешься в it-они не в курсе происходящего. В банках отказываются работать банкоматы- сам смеялся и злился, пока своими глазами не увидел, как на соседнем банкомате дублировалась наша транзакция...
Ну правда там задействовано оборудование. Думали уже, может нас ФСБ проверяет, обратились через знакомых - ничего подобного. Только так можно обнаружить комп, когда ему поменяли и имя и сеть, все перестановили, но рядом лежат телефоны. Все-есть контакт.

[CityCat4]

PetrovArtemii29, Чудес не бывает, а Вы какие-то чудеса рассказываете. У обычных людей нет и не может быть таких возможностей. Вы понимаете что такое, например захватить управление сетью банкоматов? :) Здесь явно не техническая проблема - либо вы поцапались с местным "смотрящим", у которого есть люди везде, где надо, либо все-таки у вас "крыса".

[Андрей Сабуров]

CityCat4, странно что человек задавший вопрос о пентесте не понимает что такое социнжа или же домашний грызун....

[CityCat4]

Андрей Сабуров, Возможно, понимает, но не хочет верить :) Когда сталкиваешься с ситуацией, когда тебя кидает человек, который по всем понятиям не мог, не должен был этого делать - в это просто не хочется верить...

[PetrovArtemii29]

Андрей Сабуров, ну причем тут домашний грызун? их нет. Странно, когда единственную вероятную причину считают единственной. Это исключено, потому что это точно не я, дочь работает в другом городе, не частно бывает вообще, но ее телефон тоже взломан, мама наша, которая работает одна и с которой это все происходит. Все.
До того, как это все стало происходить, сторонних людей вообще не было. Только клиенты, почта Яндекс, мобильные, ПК. Все. Налоги и отчетность сдавали сами. Все началось во время пандемии, как выяснилось в ноябре по информации о входах в рабочие и личные аккаунты.

[PetrovArtemii29]

CityCat4, кто вам сказал про обычных людей? Человек на обложке журнала Форбс печатался как заработавший за один год миллиард. У него есть и целая куча возможностей. Нам сейчас it-юристы помогают, так они тоже странно улыбались и косились, пока не стали ежедневно работать с нами и не видеть происходящее своими глазами: например очередной сис админ выключает комп, а он сам по себе включается и так не один раз, а регулярно.

[CityCat4]

PetrovArtemii29, Ладно, в общем. Полез я обратно в свою пещеру, а то даже мои каменные мозги уже ехать начинают. Человек с обложки журнала Форбс не стал бы морочиться такой ерундой - он бы скупил Ваше "микропредприятие" на корню, поскольку Вы ему точно вот никак не конкурент.
Это все равно, как если бы я заявил, что вот я мешаю Лаборатории Касперского делать бизнес в нашем городе тем, что у меня "микропредприятие" торгующее Dr.Web-ом :)

Интересно, что Вы до сих пор ни одного факта не привели - все сплошное блабла, из чего я делаю вывод, что это все "художественная проза". Вымысел, иначе говоря. Не знаю, правда зачем, не так давно тут девушка такую же жуткую историю про то, что ее бедную ломают постоянно - но там хотя бы чисто теоретически есть к чему стремиться, даже миллиардеру из Форбса.

[PetrovArtemii29]

CityCat4, не понятно, какие вам нужны факты. Думать, что человек стал бы или не стал делать-не возможно. Как финансист вам заявлю: бизнес просто так никто купить не даст, сейчас не 90-ые, заставить не работать никого нельзя.
Есть виды бизнеса, привязанные к местности, поэтому сравнению с компания по разработке ПО не уместно. Интересно, какие должны быть доказательства-чистосердечное признание? У меня есть переписка с Майкрософт, где они подтверждают, что загруженные файлы к ним отношения не имеют.
Не отрицаю, что есть комплекс мер по взлому и управлению несколькими устройствами, фактов, кроме того, что мы сделали все, что было в наших силах, у меня тоже почти нет. С компами там все ясно более-менее. А вот с телефонами-нет. На нас уже в банке косо смотрят: когда приходим, так все отваливаться начинает.

[CityCat4]

PetrovArtemii29,

не понятно, какие вам нужны факты.

Мне - никакие, я ж сказал - утомила меня эта ненаучная фантастика - я такую и сам пишу...

Answer 5

[Андрей Сабуров]

Главное четко поставить задачи и понимать цели которые вы преследуете.
Нужна ли будет помощь в устранении уязвимостей/дыр?
Но не советовал бы обращаться в Контур и тп, эти конторы пользуются чаще всего аутсорсом(знаем, так как являемся исполнителями).
Обращайтесь, поможем бесплатной консультацией - as@scanfactory.io

Answer 6

[Владимир]

Ну закажите тогда у проверенных и надежных. В компетентности Доктор Веб, надеюсь, вы не сомневаетесь? Запросите ком. предложение, может не так все и страшно. https://antifraud.drweb.ru/expertise/scope

Comments

[PetrovArtemii29]

спасибо за инфу, обязательно уточним.