Вы замечали, что мир IT очень огромен, но при этом в нем как будто нет места для ИБ, несмотря на то, что довольно много, а порой критично много на самом деле нуждающихся в нём?
Многие сейчас создают, развивают продукты, но очень мало кто хочет платить за их безопасность, люди искоса смотрят на такое решение, ведь многие - в основном, конечно, бизнесмены - не хотят и не готовы платить за то, что не принесет им деньги впоследствии, а потенциал "не потерять" для них, по всей видимости, не звучит громко.
Под катом я хотел бы сравнить и провести параллель ( пусть, быть может, местами, это может казаться утрированно) между ведьмаками и пентестерами ( ведьмаками из мира IT).
По моим наблюдениям, мир ИТ сейчас устроен так, что кругом
создается все больше сервисов, больше устройств, больше технологий
- следовательно больше затрат cо стороны пользоватей, при этом ,
внедряя все больше, как правило, платных, подписок и платных
возможностей ( в том числе расширенных ), и многие при этом, думая
лишь о прибыли, забывают думать о защите.
Основные причины - не рассчитали бюджет на это или же
целенаправленно забили на безопасность а-ля "и так сойдет", "да
кому мы нужны".
При этом так же бывают случаи, когда не рассчитали время : У тебя есть определенные обязанности перед инвесторами или же начальством и тебе обязательно нужно уложиться в сроки.
Это удается немногим, но ,уложившись в сроки, люди в итоге
успевают выпускают , "как есть" , обычно поставив безопасность на
последнее место - сделав лишь самый основной функционал, не успев
его должным образом протестировать - но это серьезный просчет, ведь
всегда присутствует человеческий фактор, нельзя не
учитывать сонных , уставших программистов , допустивших (
что , в принципе, не звучит так уж сверхъествественно ) ,
ошибку(-и) в огромном количестве программного кода.
И это только если не считать дефолтных качеств самих программистов
- порой , происходит серьезная халтура, когда бюджет попросту
"пилят" - происходит это так:
-
Выделяется бюджет на тестирование, очень приличный кусок от изначальной цены отламывают и кладут себе в карманы, а оставшееся уже готовы потратить на это самое тестирование.
-
Ищут за оставшуюся цену специалистов в иб.
-
Обычно все же находятся те, кто принимают за эту сумму проведение работ, но сами тем временем ищут тех, кто бы сделал эту работу за меньшую сумму, с учетом того, что те потом сами допишут определенные пункты ТЗ.
-
Эта цепочка движется вниз до тех пор, пока не дойдет до студентов, которые еще вчера "работали за еду" и им бы не помешала практика.
-
В итоге цепочка движется обратно вверх, где каждый на звено выше дописывает что-то от себя.
-
Как результат, в руки заказчику возвращается отчет низкого качества, в чем, собственно, они сами и виноваты.
Что касается добросовестных программистов-разработчиков, они на
то и разработчики, чтобы именно разрабатывать
продукты, а не защищать их.
Да, можно придерживаться принципов безопасной разработки, но никто
не заменит полноценную работу пентестера.
Некоторые компании , разрабатывающие инструменты для автоматизации
проведения пентеста признают, что хоть инструменты могут выручать,
но живую работу пентестера нельзя заменить нечем, а пентестер ,
вооруженный этими самыми инструментами становится еще мощнее.
Но некоторые этого до сих пор не понимают, всегда необходимы
специализированные профессионалы своего дела, эксперты в области
иб, "особый отряд" - пентестеры.
Теперь же поговорим о терминологии.
К пентестерам мы вернемся после описания Ведьмаков, которые тоже представляют собой "особый отряд".
Терминология
Кто такие ведьмаки?
Ведьмаки вымышленные персонажи из вселенной
"Ведьмака" Анджея Сапковского, мутанты со
сверхъестественными способностями, прошедшие специальную
подготовку, чтобы стать профессиональными истребителями чудовищ по
найму.
Считается, что у ведьмаков нет эмоций, хотя это и не совсем так. За
последние годы каста ведьмаков сократилась до горстки действующих
охотников; столь мало их осталось, что мир начинает напоминать
времена, когда их и вовсе не было.
Имунны ко всем болезням и токсинам, объясняется тем, что перед боем ведьмаки принимают токсичные эликсиры, усиливающие их способности на некоторое время, в то время как обычный человек может не перенести эффекта и умереть.
То есть -в общепризнанном смыслеведьмак это профессия. Обычно под этим словом подразумевают наемных охотников на монстров, однако не любых представителей этого ремесла, а прошедших через ряд мутаций и изменений организма, которые делают ведьмаковсверхлюдьми, обладающими невероятными физическими возможностями. Именно эти данные позволяют им быть как нельзя более приспособленными к охоте на различных тварей и существ, и таким образом быть куда эффективнее любых конкурентов.
Отслеживание монстров v.1
Главного харизматичного героя - Геральта из Ривии вы можете знать, как минимум по одной из лучших игр десятилетия - "Ведьмак 3 : Дикая Охота".
Геральт из Ривии
Пентестеры
Пентестеры - особый "отряд" людей, специально обученный и прошедший подготовку, чтобы стать профессиональными истребителями "чудовищ" - проблем (уязвимостей) в IT.
Считается, что у пентестеров ( читай "хакеров") нет эмоций, что это суровые "компьютерщики" хотя это и не совсем так. За последние годы каста безопасников тоже сократилась до горстки действующих охотников; столь мало их осталось, что мир начинает напоминать времена, когда их и вовсе не было - особенно в России.
Имунны ко всем болезням и токсинам, объясняется тем, что перед боем пентестеры принимают токсичные эликсиры ( большое количество энергетиков, в том числе - кофе ), усиливающие их способности на некоторое время, в то время как обычный человек может не перенести такого количества и соответствующего ему эффекта и умереть.
То есть -в общепризнанном смыслепентестер это профессия. Обычно под этим словом подразумевают наемных охотников на уязвимости и баги, однако не любых представителей этого ремесла, а прошедших через боевую закалку и опыт, и изменений организма, которые делают пентестеровсверхлюдьми, обладающими невероятными физическими возможностями.
А именно эти данные позволяют им выдерживать нагрузку на сердце и быть как нельзя более приспособленными к охоте на различных тварей и существ (вирусы и баги ), и таким образом быть куда эффективнее любых конкурентов - программистов с каким-то уклоном в ИБ.
Отслеживание
"монстров" v.2
"Типичный" пентестер
Помимо этих сходств, ведьмаки, как и пентестеры, сталкиваются с
недовольством тех, кто их нанял, а иногда и просто встречными
прохожими.
На ведьмаков, как и на хакеров смотрят , как на какую-то отдельную
касту людей , где те
"не такие ,как все", и иногда даже опасаются.
Порой, ведьмак , гуляя по городу может услышать от "необразованных"
в свою сторону "мутант, выродок".
Скриншот из игры Ведьмак 3 : Дикая Охота
Пентестер (он же хакер), может услышать - все от тех же "необразованных" - фрик, задрот.
Обоим в "бою" не обойтись без светящейся в темноте "волшебной" штуковины.
Те же, кто "образован" и "в курсе" наоборот, относятся с уважением и почётом, что в мире ведьмака к самим ведьмакам, что в нашем мире IT - к пентестерам, и уважают их ремесло.
Ведьмакам , после убийства ими чудовища на заказ могут сыпаться предъявы, начиная попытками урезать плату за заказ, осознанной заменой на более дешевую плату, заканчивая полным отказом платить, ссылаясь на разные , порой абсурдные причины, за которыми, конечно же, скрывается понесение ущерба репутации и нежелание признавать свой проигрыш.
Пентестеров тоже не любят, тоже порой хотят урезать плату , осознанно заменить плату на более дешевую или не платить вовсе, ссылаясь на разные, порой абсурдные причины, а так же пытаются заткнуть (1, 2) - ибо не хотят нести репутационный ущерб.
Такое порой нередко встречается , что не всегда, даже тем, кто все правильно сделал, не выплачивают награду за найденные баги и уязвимости по программе bugbounty.
Порой с этих слов состоят многие интро к рассказам на различных конференциях , таких как, например, ZeroNights.
Багбаунти
Кстати о багбаунти, в мире IТ это платформа , где , в каком -то смысле "висит" заказ на убийство за которое полагается награда, но для начала это "чудовище" нужно выследить, может даже выманить и затем устранить, но по умолчанию предполагается, что оно есть, так как жителям оно где-то время от времени мешает спокойно жить.
В Ведьмаке 3 Дикая Охота эту функцию просто выполняет доска объявлений.
Ведьмаки, как и пентестеры, как было сказано ранее, созданы для того, чтобы выполнять задачи , с которыми не способны справиться обычные воины и подготовленные рыцари, не смотря на свои силы.
Так же , обучение пентесту, как и обучение в ведьмачьих школах терпит раскол - при обычных обстоятельствах ты не найдешь возможности этого сделать, единственная возможность - делать это подпольно ( онлайн/оффлайн -курсы ) или же тебя настигает судьба самоучки, никакие вузы и школы не предоставят вам в полной мере всех возможностей для становления "элитным убийцей".
К чему же это я это все?..
Во вселенной Ведьмака, само становление ведьмаком требовало адских мук, через которые способны были пройти лишь единицы, что все таки, в последствии, окупало себя в полной мере - никто не мог выполнять работу лучше.
Вот только было множество пренебрежений к работе ведьмаков , что выражалось в неуважении и, пониженной , по меркам рынка , заработной плате со стороны нанимателей и простых жителей привели к упадку ведьмачьих школ, это не считая многих других нюансов и неудобств, которых им приходилось терпеть.
Там жители считали, мол чудовищ осталось не так много и оставшееся количество ведьмаков справится - но на самом деле ошибались, ведь чудовищ много и все они будут продолжать плодиться ( а с чего бы нет? ), быть может, создавая новые виды, а ведьмаки , хоть и сверхбойцы, но все же смертны, а создание новых бойцов либо идет очень медленно в подполье, либо отсутствует вовсе.
С той же проблемой мы сталкиваемся и в реальной жизни. Плохая гигиена в сфере ИБ, пренебрежение, неуважение по отношению к пентестерам, отсутствие качественных курсов(встречаю очень много воды), качественного обучения (многих интересует не желание научить, а лишь коммерция - проводить уроков как можно больше, рассказывая минимально, чтобы растянуть период на подольше и , следовательно, вытащить денег побольше) , а так же отсутствие его вовсе - ведет к вымиранию качественных проведений тестов на проникновение, качественных продуктов.
А ведь на кону наша с вами жизнь и наши персональные данные, если продолжить в том же духе - в будущем защищать страну будет некому.
В мире ведьмака эту проблему никто не собирается исправлять, но мы - еще можем попытаться это изменить.
