Пентест сторонними исполнителями и ГосСОПКА

Котэ (^._.^)ノ, [01.04.19 10:48]
Всем доброе утро! вопрос: скажем заказчик подключен к центру мониторинга и далее к сопке и у него проводятся тесты на проникновение и прочие, то эээ можно в центре мониторинга договорится что за определенное время не отправлять алерты в сопку или вообще как это должно происходить?

Vladimir Minakov, [01.04.19 10:54]
Туплю. Думаю надо уведомлять ФСБ. Причём они просят, чтобы с двух сторон было уведомление (что и те, и другие в курсе).

Котэ (^._.^)ノ, [01.04.19 10:56]
[В ответ на Vladimir Minakov]
при этом я думаю надо будет указать временные рамки проведения тестов и то возникает множетсво других вопросов

Vladimir Minakov, [01.04.19 10:57]
[В ответ на Котэ (^._.^)ノ]
Ай-Пишники по-любому (диапазон хотя бы). Так как при сливе со стороны недобросовестного исполнителя (отдельного сотрудника) времени атаки можно будет под шумок и реальную атаку провести

Котэ (^._.^)ノ, [01.04.19 10:58]
[В ответ на Vladimir Minakov]
вот да:) но и тут еще ряд орг вопросом и документального сопровождения процесса, а кстати в компетенции центра мониторинга входит такой анализ тех объектов что он мониторит или там только наблюдение и отчетность в госсопку?

Dmitry Kuznetsov, [01.04.19 11:13]
[В ответ на Котэ (^._.^)ノ]
Вопрос не совсем понятен, приходится додумывать. Центр ГосСОПКА может принять действия пентнстеров за реальную атаку и вы хотите избежать такого “ложного срабатывания”?

  1. Внешний пентест обычно проводится с фиксированных IP исполнителя, исполнитель сообщает их заказчику именно на этот случай. А то бывает, что действия пентестеров блокируют операторы связи и ФСО :slight_smile: Так что центр ГосСОПКА может понять, где пентест, а где реальная атака.

  2. Одновременно с пентестом может идти и реальная атака - бывало и такое в практике. Поэтому “временно не сообщать” - не вариант. Кроме того, если инцидент произойдет в результате пентеста - это все равно инцидент, о котором субъект обязан сообщить в НКЦКИ.

  3. Одна из функций центра ГосСОПКА - проведение пентестов. Вы можете, конечно, привлечь еще и другого исполнителя, но смысл?

Котэ (^._.^)ノ, [01.04.19 11:15]
[В ответ на Dmitry Kuznetsov]

  1. да
  2. а варинт по выделению айпи с которых будут идти тесты?
  3. тут не могу ответить ибо не залезал в голову к заказчику

временно не сообщать согласен глупо прозвучало, каюсь

Vladimir Minakov, [01.04.19 11:15]
[В ответ на Dmitry Kuznetsov]
А регулярность? Как я их заставлю действовать по моему плану, подписанному у руководителя?

Котэ (^._.^)ノ, [01.04.19 11:19]
[В ответ на Vladimir Minakov]
не очень понял, кого их?

Vladimir Minakov, [01.04.19 11:20]
Вопрос: как заставить ГосСОПКУ проводить пентест по моему плану (время, характеристики, объекты)? Думаю никак. Поэтому я сам планирую свои пентесты, а ГосСОПОчные - внеплановые будут.

Котэ (^._.^)ノ, [01.04.19 11:22]
[В ответ на Vladimir Minakov]
тут наверное надо ставить вопрос спецам из сопки, но вангую что будет зависеть не от наших желаний, а от критичности объектов и возможно при появлении актуальных угроз как то так

Dmitry Kuznetsov, [01.04.19 11:22]
[В ответ на Котэ (^._.^)ノ]
Так они обычно и проводятся с выделенных IP. А сообщать в ГосСОПКА требуется не об атаках, а об инцидентах. Если в ходе теста на проникновение не случился инцидент, сообщать не о чем. Случился - субъект обязан о нем сообщить.

Поэтому достаточно предупредить центр ГосСОПКА, что в это время вот с этих IP будет проводиться внешний пентест. Дальше они уже сами разберутся

Mikhail, [01.04.19 11:23]
Обычную путаницу с сопкой и госсопкой вижу я

Vladimir Minakov, [01.04.19 11:24]
[В ответ на Котэ (^._.^)ノ]
Я к чему. Пентест от ГосСОПКА лучше воспринимать как доп, а не как замену пентестам, проводимым по собственной инициативе.

Котэ (^._.^)ノ, [01.04.19 11:26]
[В ответ на Vladimir Minakov]
кстати да, пентест от госсопки может быть не такой глубокий

Dmitry Kuznetsov, [01.04.19 11:28]
[В ответ на Vladimir Minakov]
Это смотря кто для тебя ГосСОПКА :slight_smile:

Если субъекта обслуживает коммерческий центр, то “за ваши деньги - любой каприз”.

С ведомственным чуть сложнее. Да, может субъект и захочет проводить пентесты чаще, чем способен такой центр, тогда придется привлекать стороннего исполнителя. Но на практике в госах инициируют пентесты и создают центры ГосСОПКА одни и те же люди :slight_smile:

Vladimir Minakov, [01.04.19 11:33]
[В ответ на Dmitry Kuznetsov]
Хм. В таком случае нужны юристы, чтобы усилить позищию субъекта КИИ в договорах на обслуживание в рамках управления поставщиками (цепочками поставок), командной работы, и измеримости аутсорсного пентеста

Котэ (^._.^)ノ, [01.04.19 11:38]
[В ответ на Vladimir Minakov]
и желательно наверное чтобы юристы разбирались хоть немного про ойти?

Vladimir Minakov, [01.04.19 11:42]
[В ответ на Котэ (^._.^)ノ]
Очень хорошее определение в wiki в статье IT law. В первом абзаце. Если юрист сможет объяснить о чём там, то это такой подойдёт для задачи написания договора с Центром ГосСОПКА

Dmitry Kuznetsov, [01.04.19 11:43]
[В ответ на Котэ (^._.^)ノ]
Пентест “от госсопки” и пентест “от кутюр” делают одни и те же исполнители (большинство центров сами такой компетенции не имеют, они ее аутсорсят). Но!

В рамках ГосСОПКА проведение пентестов контролирует НКЦКИ. Формы контроля сейчас обсуждаются, от выборочной проверки отчетов до выборочного непосредственного надзора НКЦКИ за ходом работы. Так что рисков тут поменьше.

Но в целом действительно может понадобиться сторонний исполнитель, и тогда достаточно предупредить центр о проведении работы

Котэ (^._.^)ノ, [01.04.19 11:44]
[В ответ на Vladimir Minakov]
спасибо возьму на вооружение

Alexandr Lugantsev, [01.04.19 11:52]
[В ответ на Котэ (^._.^)ノ]
Просят западнее уведомить по срокам и характеру

Mikhail, [01.04.19 11:54]
[В ответ на Dmitry Kuznetsov]
А где почитать про контроль пентестов со стороны НКЦКИ?
И про “лицензирование пентестов” тоже интересно🤔

Котэ (^._.^)ノ, [01.04.19 11:54]
я задал такой же вопрос руководителю одного из центров мониторинга и получил такой ответ: "Я пока не видел соглашения с НКЦКИ, но там должно быть прописано взаимодействие между ЦМ, НКЦКИ и организацией. Т.к. ЦМ и организация уведомят НКЦКИ о своем взаимодействии, то НКЦКИ проведет проверку защищенности обязательно. А вот предупредит ли, это вопрос)))) Но доложить мы (ЦМ) все равно должны будем."я