Вы замечали, что мир IT очень огромен, но при этом в нем как будто нет места для ИБ, несмотря на то, что довольно много, а порой критично много на самом деле нуждающихся в нём?
Многие сейчас создают, развивают продукты, но очень мало кто хочет платить за их безопасность, люди искоса смотрят на такое решение, ведь многие - в основном, конечно, бизнесмены - не хотят и не готовы платить за то, что не принесет им деньги впоследствии, а потенциал "не потерять" для них, по всей видимости, не звучит громко.
Под катом я хотел бы сравнить и провести параллель ( пусть, быть может, местами, это может казаться утрированно) между ведьмаками и пентестерами ( ведьмаками из мира IT).
По моим наблюдениям, мир ИТ сейчас устроен так, что кругом создается все больше сервисов, больше устройств, больше технологий - следовательно больше затрат cо стороны пользоватей, при этом , внедряя все больше, как правило, платных, подписок и платных возможностей ( в том числе расширенных ), и многие при этом, думая лишь о прибыли, забывают думать о защите.
Основные причины - не рассчитали бюджет на это или же целенаправленно забили на безопасность а-ля "и так сойдет", "да кому мы нужны".
При этом так же бывают случаи, когда не рассчитали время : У тебя есть определенные обязанности перед инвесторами или же начальством и тебе обязательно нужно уложиться в сроки.
Это удается немногим, но ,уложившись в сроки, люди в итоге успевают выпускают , "как есть" , обычно поставив безопасность на последнее место - сделав лишь самый основной функционал, не успев его должным образом протестировать - но это серьезный просчет, ведь всегда присутствует человеческий фактор, нельзя не учитывать сонных , уставших программистов , допустивших ( что , в принципе, не звучит так уж сверхъествественно ) , ошибку(-и) в огромном количестве программного кода.
И это только если не считать дефолтных качеств самих программистов - порой , происходит серьезная халтура, когда бюджет попросту "пилят" - происходит это так:
Выделяется бюджет на тестирование, очень приличный кусок от изначальной цены отламывают и кладут себе в карманы, а оставшееся уже готовы потратить на это самое тестирование.
Ищут за оставшуюся цену специалистов в иб.
Обычно все же находятся те, кто принимают за эту сумму проведение работ, но сами тем временем ищут тех, кто бы сделал эту работу за меньшую сумму, с учетом того, что те потом сами допишут определенные пункты ТЗ.
Эта цепочка движется вниз до тех пор, пока не дойдет до студентов, которые еще вчера "работали за еду" и им бы не помешала практика.
В итоге цепочка движется обратно вверх, где каждый на звено выше дописывает что-то от себя.
Как результат, в руки заказчику возвращается отчет низкого качества, в чем, собственно, они сами и виноваты.
Что касается добросовестных программистов-разработчиков, они на то и разработчики, чтобы именно разрабатывать продукты, а не защищать их.
Да, можно придерживаться принципов безопасной разработки, но никто не заменит полноценную работу пентестера.
Некоторые компании , разрабатывающие инструменты для автоматизации проведения пентеста признают, что хоть инструменты могут выручать, но живую работу пентестера нельзя заменить нечем, а пентестер , вооруженный этими самыми инструментами становится еще мощнее.
Но некоторые этого до сих пор не понимают, всегда необходимы специализированные профессионалы своего дела, эксперты в области иб, "особый отряд" - пентестеры.
Теперь же поговорим о терминологии.
К пентестерам мы вернемся после описания Ведьмаков, которые тоже представляют собой "особый отряд".
Терминология
Кто такие ведьмаки?
Ведьмаки — вымышленные персонажи из вселенной "Ведьмака" Анджея Сапковского, мутанты со сверхъестественными способностями, прошедшие специальную подготовку, чтобы стать профессиональными истребителями чудовищ по найму.
Считается, что у ведьмаков нет эмоций, хотя это и не совсем так. За последние годы каста ведьмаков сократилась до горстки действующих охотников; столь мало их осталось, что мир начинает напоминать времена, когда их и вовсе не было.
Имунны ко всем болезням и токсинам, объясняется тем, что перед боем ведьмаки принимают токсичные эликсиры, усиливающие их способности на некоторое время, в то время как обычный человек может не перенести эффекта и умереть.
То есть -в общепризнанном смысле ведьмак — это профессия. Обычно под этим словом подразумевают наемных охотников на монстров, однако не любых представителей этого ремесла, а прошедших через ряд мутаций и изменений организма, которые делают ведьмаков сверхлюдьми, обладающими невероятными физическими возможностями. Именно эти данные позволяют им быть как нельзя более приспособленными к охоте на различных тварей и существ, и таким образом быть куда эффективнее любых «конкурентов».
Главного харизматичного героя - Геральта из Ривии вы можете знать, как минимум по одной из лучших игр десятилетия - "Ведьмак 3 : Дикая Охота".
Пентестеры
Пентестеры - особый "отряд" людей, специально обученный и прошедший подготовку, чтобы стать профессиональными истребителями "чудовищ" - проблем (уязвимостей) в IT.
Считается, что у пентестеров ( читай "хакеров") нет эмоций, что это суровые "компьютерщики" хотя это и не совсем так. За последние годы каста безопасников тоже сократилась до горстки действующих охотников; столь мало их осталось, что мир начинает напоминать времена, когда их и вовсе не было - особенно в России.
Имунны ко всем болезням и токсинам, объясняется тем, что перед боем пентестеры принимают токсичные эликсиры ( большое количество энергетиков, в том числе - кофе ), усиливающие их способности на некоторое время, в то время как обычный человек может не перенести такого количества и соответствующего ему эффекта и умереть.
То есть -в общепризнанном смысле пентестер — это профессия. Обычно под этим словом подразумевают наемных охотников на уязвимости и баги, однако не любых представителей этого ремесла, а прошедших через боевую закалку и опыт, и изменений организма, которые делают пентестеров сверхлюдьми, обладающими невероятными физическими возможностями.
А именно эти данные позволяют им выдерживать нагрузку на сердце и быть как нельзя более приспособленными к охоте на различных тварей и существ (вирусы и баги ), и таким образом быть куда эффективнее любых «конкурентов» - программистов с каким-то уклоном в ИБ.
Помимо этих сходств, ведьмаки, как и пентестеры, сталкиваются с недовольством тех, кто их нанял, а иногда и просто встречными прохожими.
На ведьмаков, как и на хакеров смотрят , как на какую-то отдельную касту людей , где те
"не такие ,как все", и иногда даже опасаются.
Порой, ведьмак , гуляя по городу может услышать от "необразованных" в свою сторону "мутант, выродок".
Пентестер (он же хакер), может услышать - все от тех же "необразованных" - фрик, задрот.
Обоим в "бою" не обойтись без светящейся в темноте "волшебной" штуковины.
Те же, кто "образован" и "в курсе" наоборот, относятся с уважением и почётом, что в мире ведьмака к самим ведьмакам, что в нашем мире IT - к пентестерам, и уважают их ремесло.
Ведьмакам , после убийства ими чудовища на заказ могут сыпаться предъявы, начиная попытками урезать плату за заказ, осознанной заменой на более дешевую плату, заканчивая полным отказом платить, ссылаясь на разные , порой абсурдные причины, за которыми, конечно же, скрывается понесение ущерба репутации и нежелание признавать свой проигрыш.
Пентестеров тоже не любят, тоже порой хотят урезать плату , осознанно заменить плату на более дешевую или не платить вовсе, ссылаясь на разные, порой абсурдные причины, а так же пытаются заткнуть (1, 2) - ибо не хотят нести репутационный ущерб.
Такое порой нередко встречается , что не всегда, даже тем, кто все правильно сделал, не выплачивают награду за найденные баги и уязвимости по программе bugbounty.
Порой с этих слов состоят многие интро к рассказам на различных конференциях , таких как, например, ZeroNights.
Багбаунти
Кстати о багбаунти, в мире IТ это платформа , где , в каком -то смысле "висит" заказ на убийство за которое полагается награда, но для начала это "чудовище" нужно выследить, может даже выманить и затем устранить, но по умолчанию предполагается, что оно есть, так как жителям оно где-то время от времени мешает спокойно жить.
В Ведьмаке 3 Дикая Охота эту функцию просто выполняет доска объявлений.
Ведьмаки, как и пентестеры, как было сказано ранее, созданы для того, чтобы выполнять задачи , с которыми не способны справиться обычные воины и подготовленные рыцари, не смотря на свои силы.
Так же , обучение пентесту, как и обучение в ведьмачьих школах терпит раскол - при обычных обстоятельствах ты не найдешь возможности этого сделать, единственная возможность - делать это подпольно ( онлайн/оффлайн -курсы ) или же тебя настигает судьба самоучки, никакие вузы и школы не предоставят вам в полной мере всех возможностей для становления "элитным убийцей".
К чему же это я это все?..
Во вселенной Ведьмака, само становление ведьмаком требовало адских мук, через которые способны были пройти лишь единицы, что все таки, в последствии, окупало себя в полной мере - никто не мог выполнять работу лучше.
Вот только было множество пренебрежений к работе ведьмаков , что выражалось в неуважении и, пониженной , по меркам рынка , заработной плате со стороны нанимателей и простых жителей привели к упадку ведьмачьих школ, это не считая многих других нюансов и неудобств, которых им приходилось терпеть.
Там жители считали, мол чудовищ осталось не так много и оставшееся количество ведьмаков справится - но на самом деле ошибались, ведь чудовищ много и все они будут продолжать плодиться ( а с чего бы нет? ), быть может, создавая новые виды, а ведьмаки , хоть и сверхбойцы, но все же смертны, а создание новых бойцов либо идет очень медленно в подполье, либо отсутствует вовсе.
С той же проблемой мы сталкиваемся и в реальной жизни. Плохая гигиена в сфере ИБ, пренебрежение, неуважение по отношению к пентестерам, отсутствие качественных курсов(встречаю очень много воды), качественного обучения (многих интересует не желание научить, а лишь коммерция - проводить уроков как можно больше, рассказывая минимально, чтобы растянуть период на подольше и , следовательно, вытащить денег побольше) , а так же отсутствие его вовсе - ведет к вымиранию качественных проведений тестов на проникновение, качественных продуктов.
А ведь на кону наша с вами жизнь и наши персональные данные, если продолжить в том же духе - в будущем защищать страну будет некому.
В мире ведьмака эту проблему никто не собирается исправлять, но мы - еще можем попытаться это изменить.