Marek Šottl – Hackitect #2: Testujte bezpečnost v reálném čase

Po seznámení s Hackitectem Markem Šottlem, které proběhlo v prvním díle minisérie našich rozhovorů, je načase se z brouzdaliště přesunout hlouběji do tématu. Ptáme se na Markovy současné projekty, na technologie, které ho bavína certifikace, které se nabízejí security engineerovi na začátku jeho kariéry. 

  

Jaké technologie v cyber security tě teď nejvíce zajímají? 

Poslední dobou jsem hodně ponořený do Amazonu a GCP (Google Cloud Platform). Zaměstnavatel mi to vyloženě zadal jako projekt a pro mě je fajn, že se naše zájmy tímhle způsobem protínajíJako osobní krátkodobý cíl jsem si pak dal být „multi-cloud, tedy být schopný rozumět několika cloudovým platformám současně a znát jejich bezpečnostní charakteristiky.  

Kdybych to ale měl vzít trochu víc zeširoka, moje primární zaměření je teď DevSecOps – přístup, který propojuje Development, Security a Operations. Vymýšlím nové produkty postavené na Dockeru nebo Kubernetes technologiíchkteré podporují práci s kontejnery, což jsou balíčky mikroservisů (mikroslužeb). Kontejnery můžu pomocí znalosti nástrojování skládat do serverless řešení nebo Docker řešení a volat je z pipeline, případně z nějakého workflow processing enginu v Amazonu nebo GCP. To mě baví. Vzít nástroj, který skenuje kód, dát ho do pipeline, ideálně vcloudu. Volám u toho Nmap (network mapping tool) pracuji s ním jako s dílkem lega, který vkládádo skládačky. 

Všechny informace z mikroslužeb, tedy z těch malých balíčků, můžu posílat do jednoho úložiště a provádět na nich datovou analýzu. Tím se celý proces najednou povýší na jinou úroveň – představte si statistickou analýzu nad takovým objemem dat. S ní mám jako firma možnost predikovat, ve které části aplikace se s jakou pravděpodobností může vyskytnout chyba a bezpečnostní hrozba. 

 

Pokud tedy firma vyvíjí webovou aplikaci postavenou jako multicloud, budmoci použít tvoje nástroje k automatickému testování zabezpečení? 

Ano a věřím, že tfirma to opravdu ocení. Jednak proto, že takový nástroj může být za rozumnou cenu, jednak proto, že i do budoucna ušetří spoustu nákladů. Umožní totiž něco, čemu se říká „shift left“ v pipelinetedy posun od řešení security ve stresu na poslední chvíli před vydáním aplikace k tomu, že se kód automaticky testuje developerovi pod rukama už v průběhu vývoje.  

Ve chvíli, kdy vývojář píše kód, můžu pomocí automatizačních nástrojů v jeho IDEčku (vývojářském rozhraní) v reálném čase zobrazit, že zrovna napsal bezpečnostní díru. Mám totiž rád developer-centric přístup, kdy vývojáři nebo testeři do ruky dostanou maximální množství informací, volně s nimi operují a dělají na základě nich ve svém prostředí chytré změny 

Jak to v praxi může vypadat? 

Například s ním nástroj může komunikovat: Právě jsi nasadil security groupu vcloudu (něco jako firewall) a ta vystavuje SSH (protokol) – chceš, nebo nechceš ho vystavit do internetu? Tam může developer dostat možnost se rozhodnout. Nebo jde nástroj integrovat přímo do IDE, aby vývojář okamžitě viděl, že vznikla bezpečnostní chyba. 

Mám taky v hlavě jeden nástroj, který bude vytvářet různé typy testůSpolečnosti často ani nevědí, že by je měly provádět. Chtěl bych, aby vývojář mohl psát front-end webové aplikace, testovat ji v testovacím prostředí a provádět dynamické skeny, ale taky aby ji mohl s určitými parametry pro daný typ aplikace přesunout ze svojí pipeline do CI/CD pipeline (Continuous Integration, Continuous Delivery / Deployment), nastavit testy a nasimulovat útoky, které by mohl teoreticky provést někdo zvenku. To mu dá další zpětnou vazbu, kterou může hned zabudovat do kódu, než se přesune o krok dál ve vývoji. 

 

Bavíme se o nástrojích, které by v portfoliu měly mít velké firmy jako Amazon? 

Zrovna Amazon už leccos nabízí. Má Amazon Inspector, což je jejich vlastní vulnerability scannera taky existuje řada toolů od třetích stran. Pokud o něčem přemýšlím já, v Amazonu už to určitě někoho napadlo taky a budou mít brzy náskok. Mají na všechno víc inženýrů a vědí, po čem je zrovna poptávka, protože mají perfektní přehled o službách, které se do AWS cloudu implementují.  

Nedávno jsme například vytvářeli Kubernetes benchmarking – měřili jsme, jak jsou na tom cloud instance z pohledu security. Měli jsme to postavené na Lambdě, což je serverless řešení, a na Kube-Bench, což je open source. Dneska má benchmarking Amazon jako embeddovanou (vestavěnou) službu a uvádí ji jako součást reportingu v Security Hubu. 

Nebo další příkladNástroje, které Amazon nabízí, nepokrývají úplně celý DevSecOps lifecycle. Hodně jich je specializovaných na source code reviewcož se odehrává na straně vývoje, ale pokulhávají v testovací fázi. Poslední rok v komunitě mluvím o tom, že bychom se mohli zaměřit na chaos testing – a co se nestalo, nedávno Amazon oznámil, že zařadil chaos testing mezi svoje služby. 

Firma by si zkrátka měly uvědomit, že v tom je síla – že opravdu má cenu budovat produkty a nástroje pro cyber security a přijít s nimi jako první. Jinak je velké společnosti dříve nebo později převálcují.   

 

Nějaký konkrétní nástroj, který ti přinesl zajímavý vhled do cyber security? 

Mám jeden, kte není úplně nový, ale je skvělý. Burp Suite – pentest nástroj na hackování webových aplikací. Má API, přes které se dá volat, a dá se použít k DAST (Dynamic Application Security Testing) a kautomatizaci. Pokaždé, když vývojář napíše webovou aplikaci a nasadí si ji na server, v cloudu, on-premise nebo podobně, tak si Burp Suite může nasimulovat průchod uživatele nebo hackera 

Nástroj si udělá mapu aplikace, vytvoří si seznam vstupů do ní a potom do těchto vstupů vkládá známé injekce a testuje odpověď. Porovnává požadavek a odpověď serveru a je schopný potom říct, jestli byla injekcúspěšná v prolomení zabezpečení. 

Další projekty, které se mi líbí, jsou Secure Code Box nebo Pacu, což je nástroj pro ofenzivní testování bezpečnosti, pojmenovaný po jednom druhu pirani v Amazonském pralese, která má téměř lidské zubyJ
 

Je vidět, že nástrojů je opravdu hodně. Má vůbec jednotlivec šanci dotknout se všeho? 

Cyber Security už je dneska obrovská oblast. Je to věda, která se týká databází, vývoje, operations testování. Ncyber security specialistu jsou kladeny nároky, aby byl komplexní. Takoví lidi, kteří by měli pod palcem všechno, jsou ale extrémně vzácní. Chápu, že firmy si nemůžou dovolit zaplatit víc lidí, kde by každý měl určitou specializaci (forenzní analýzu paměti, malware, pen-testy, architekturu…), ale zase nejde chtít po jednom člověku, aby řešil celou cyber securityJá jsem si taky řekl, že budu dělat hands-on architekturu a budu se snažit mít co nejširší záběr, ale lidské síly jsou prostě omezené. 

 

Po jakých certifikátech by se měl začínající security engineer rozhlížet? 

Jak jsme se už bavili, člověk by si měl vybrat defenzivníofenzivní nebo manažerský stream a podle toho se zaměřit na certifikace. CEH je dobrá certifikace pro ty, kteří se chtějí zakousnout do etického hackinguOvšem má taky svoje úskalí a místa, kde bude vyžadovat pokročilé znalosti. Další zajímavá vstupní certifikace je Security +. Naopak bych nezačínal CISSPemto je arci certifikace, kde člověk dostane k naučení 3000 stran o všecmožných technologiích. Je to 6hodinová zkouška se 250 otázkami na případové studie. Aspoň za mě to tak bylo  dnes je tam myslím adaptivní test.  

U těžších zkoušek často navíc existuje požadavek na počet let odpracovaných v cyber security, takže už je to pomalu stejné jako na právech. Musíte mít 5 let pod opaskem a k tomu ještě doporučení od zaměstnavatele. Pokud těch 5 let zatím člověk nemá, dostane tzv. „associate status“ a musí si počkat.  

Nechtěl bych ale zase nikoho odradit. Dá se začít jednoduššími certifikáty a pokračovat podle toho, kam člověka zavede jeho zájem. Vždycky by si měl ukousnout sousto tak akorát – nebo o malinko větší. 

Don’t cry when you don’t understand.  
Cry when you don’t have anything to discover. 

– z Markova blogu Hackitect’s Playground   

V dalším díle se budeme bavit o zodpovědnosti cyber security specialisty za bezpečnostní událost, o Markově pohledu na roli HR v nabírání lidí do oboru a nakonec nakousneme i téma vyhoření. 

Mapa certifikací v cyber security 

Pokud by někoho zajímala přehledná, byť trochu strašidelná mapa certifikací pro security engineera, můžu doporučit jednu ze stránku pauljerimy.com. Interaktivní verze mapy obsahuje i vysvětlivky, kolik která zkouška stojí. 

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Scroll to top