Оглавление:
OSINT – это не то чтобы методика, это просто разведка по открытым источникам. На самом деле, все очень варьируется; часто, особенно в больших компаниях, продажник просто находит компанию, выбивает какой-то бюджет, и дальше нужно выполнить работы в рамках этого бюджета. И тут, скорее, трудозатраты подгоняются под цену, а не наоборот. Технологиям, сегодня ассоциируемым с «искусственным интеллектом» коммодизация если, и грозит, то не в ближайшее время и уж точно не всем. Падение массового интереса может произойти, если возникнет новый повод для всеобщего хайпа, но на инвестициях и разработках в этой области это едва ли скажется сколько-нибудь существенным образом.
Какие аргументы в таком случае могут перевесить чашу весов в пользу запуска нового продукта с сопутствующими рисками? Это может быть успешный зарубежный опыт, анализ трендов, правильный прогноз изменения среды, вследствие которого изменится и поведение потребителей. Важным аргументом также является профессиональное предпринимательское чутье и уже имеющийся опыт запуска новых продуктов. Это достаточно спорная штука, но это топ-10 уязвимостей в web-приложениях. Есть еще CWE – попытка классификации всех уязвимостей, разбиение их на иерархическую систему. Можно посмотреть, там есть примеры конкретных уязвимостей.
Надо решить, что является вашим продуктом и как он будет продаваться. Где ваши подписчики узнают о данном предложении? Все моменты важно продумать и затем подтянуть под них конкретные инструменты. Нужно определить, какая платформа будет для вас идеальна, и сделать её основной. Вы не сможете одновременно создавать его под каждую (ну или придётся очень заморочиться).
Шаг 1. Понять, о чём говорить с аудиторией
Кстати, есть отличная площадка OverTheWireBandit, где можно хорошо потренировать Bash. А так – достаточно одного языка, которым вы владеете в достаточной мере, чтобы выполнять задачи. Конечно, бывают такие задачи, для которых Python не подойдет – например, если нужно быстро собирать данные с множества хостов по всему интернету. Однако, чем больше языков вы знаете – хотя бы на уровне понимания парадигмы и чтения синтаксиса – тем лучше. В ходе пентестов и аудитов вы будете сталкиваться с разными стеками и с приложениями, написанными на разных языках – нужно уметь понимать, как они работают.
На самом деле, bug bounty – это растущая штука. Есть большие площадки, где много программ. Порог входа для участия в bug bounty для пентестеров – он и низкий, и высокий. Низкий в том смысле, что этих программ bug bounty и ресурсов, которые можно поломать, существует столько, что уж какие-то простые уязвимости найти можно. Но, с другой стороны, можно упереться в какую-нибудь программу, где уже все простые баги нашли, и потратить на копание в ней два месяца, ничего не найдя.
Из той же области — применение «робоэдвайзеров» (Robo-Advisers), цифровой «альтернативы» финансовым консультантам по банковским вопросам и денежным операциям в режиме онлайн. Естественно, технологии ИИ в их нынешней итерации не позволяют — пока? — отказаться от услуг специалистов-людей, зато может сильно упростить им жизнь. Внедряются так активно, что временами возникает вопрос, все ли возможные риски получили адекватную оценку. Доля респондентов, готовых купить диодную лампу, почти не меняется в зависимости от того, знают ли респонденты верное определение понятия «нанотехнологии». Есть ещё один немаловажный момент — чтобы круто вести экспертный блог, желательно быть мастером своего дела.
Я уже говорил, что в пентесте изначально не детерминирован объем работы, но и результат тоже не детерминирован. Вы можете заказать пентест за 6 миллионов рублей и получить отчет, состоящий из слов «уязвимостей не нашли». Как проверить, что работа была выполнена, причем качественно? Для того, чтобы это точно проверить, нужно практически провести всю эту работу заново. Вы можете пытаться мониторить логи, чтобы следить, что от пентестеров действительно шла сетевая активность, но это все сложно. А по-простому проверить качество работы невозможно.
Но достаточно велик пласт людей, которые зарабатывают хотя бы десятки тысяч в год. То есть, уже не единицы и десятки человек, а сотни. Это – причины, по которым компании обращаются к пентестерам, и мы проводим тесты. А вот с качеством, на самом деле, очень сложно.
Спрос
В общем, почитайте, я не буду все перечислять. Какой софт нужен для защиты – это огромная тема. Какой софт нужен для атакующих – это хороший вопрос, потому что это зависит от того, о каких работах мы говорим. Если мы говорим об анализе ПО, web-сервисов, то практически никакое ПО не требуется. Достаточно такого швейцарского ножа, как инструмент Burp Suite. Платная версия стоит $400 и содержит практически все необходимые инструменты.
Для любых технологий, окружённых таким уровнем хайпа, как «искусственный интеллект», будущее возможно только в трёх вариантах. Второй — падение массового интереса из-за отсутствия средств адекватной реализации — как лет 25 назад случилось с предтечами нынешних VR-технологий. Опять же, их использование не означает возможность отказа от штатных специалистов по ИБ, но помогает повысить эффективность их работы, в том числе, связанную непосредственно с борьбой с кибератаками.
Шаг 7. Продумать оформление
4 показана структура спроса на диодную лампу со стороны жителей Москвы. Доля жителей, готовых купить лампу, составляет 89%. Это самый высокий показатель из 5-ти нанотоваров, рассматриваемых в исследовании 2009 года. Таким образом, очевидно, что покупка нового оборудования для нарезки хлеба — решение не только выгодное, но и давно назревшее. Ну, сейчас вообще все на удаленке работают, даже большие компании. Понятно, что, если вы рассматриваете чисто удаленный вариант, то могут быть сложности.
А потом его еще раз проверят, и будет отслеживаться тренд – например, год назад 50% сотрудников повелись на фишинг, а теперь только 5%. Конечно, полностью избавиться от опасности фишинга почти невозможно. Сейчас команда More Smoked Leet Chicken, членом которой является Омар, состоит из энтузиастов, работающих в разных компаниях и странах, и это сильнейшая в России и одна из сильнейших в мире CTF-команд. Живу рядом с этим магазином, иногда захожу за продуктами, и уже не первый раз натыкаюсь на просроченный товар. Очередной пример когда переписали дату уже на старый хлеб.
Можно просто брать текущий или прошедший месяц и год, пройтись по всем учетным записям – кто-нибудь да поломается. В целом, в bug bounty много людей, которые зарабатывают большие деньги, не обладая при этом уникальными и выдающимися знаниями. Либо им повезло пару раз, либо они поняли фишку bug bounty и научились находить программы и ресурсы, в которых будут простые уязвимости.
Два подхода к оценке спроса на новые товары и услуги
Одна команда, допустим, пропускает одну уязвимость, а другая – заметит ее, но может пропустить другую. В силу этого не бывает полной монополии – чтобы одна команда засела, и пентесты покупали только у нее. Возможные меры, кроме слежения за активностью – просить подробные отчеты о том, что делается, просить артефакты, отчеты от сканеров и прочие логи, например, от инструмента Burp.
Качество, которое убивает бизнес
Теперь нужно понять, кто будет составлять ядро ваших подписчиков. Попробуйте представить три-четыре портрета и пропишите, какой контент может нравиться каждому типу. Личный опыт спортсмена, который смог продвинуть свой блог, — это очень ценно. Учимся у теннисистки Анастасии Пивоваровой по ссылке.
Если человека заставляют делать так, то он не может запомнить пароль. Если он не пользуется менеджером паролей со случайными паролями, то он иногда просто пишет текущий месяц с большой буквы (типа «December2020»). На самом деле, это очень распространено во всех типовых корпоративных инфраструктурах – представьте Active Directory, сотни сотрудников с Windows на машинах.
Во-вторых, если говорить с утилитарной точки зрения – для работы в сфере пентеста, для того, чтобы стать пентестером и устроиться на работу, порог входа ниже, чем для разработки. Потому что для того, чтобы начать приносить пользу в разработке, нужно хотя бы уметь программировать и знать какие-то технологии. А для того, чтобы начать хоть что-то делать в пентесте – хотя это и может быть «иллюзия деятельности» — достаточно научиться пользоваться парой инструментов и интерпретировать результаты этой работы. Для того, чтобы действительно круто прокачаться в пентесте, потребуется уже больше усилий, чем для разработки.
Вообще, надо подписываться в Twitter на людей; большинство пентестеров пишет на английском, в том числе русскоязычные пентестеры. Мы стараемся дублировать – и на русском пишем, и на английском. Я информацию получаю из Twitter – подписываюсь на интересных людей, которые рано или поздно репостят все интересное, поэтому можно не следить специально за блогами, а получать все через Twitter. Могу добавить насчет стоимости и востребованности. По моим оценкам, размер российского рынка пентестов – около одного-полутора миллиардов рублей. Имеется ввиду, что именно столько российские компании тратят на пентесты.
Комментариев нет
You can leave the first : )