Dlaczego testy bezpieczeństwa zawsze będą potrzebne – część 1

Felieton Dawida Bałuta, Cyber Security Directora TestArmy, część pierwsza.

Dlaczego praca testerów zabezpieczeń zawsze będzie tak samo potrzebna? Jaka jest przyszłość branży security? Jaki wpływ na poglądy naszego Cyber Security Directora na te kwestie miały początki jego kariery? Na te pytania Dawid Bałut odpowiada pierwszej części swojego felietonu.


 

Dawid Bałut

Pentester i Bug Hunter z dużym doświadczeniem, który dołączył do defensywnej strony mocy i przez ponad pół dekady pracował jako Architekt Bezpieczeństwa dla korporacji  z Doliny Krzemowej. Na co dzień buduje systemy zabezpieczeń, szkoli pracowników i automatyzuje wszelkie procesy  bezpieczeństwa.

 

 

 


Swoją przygodę w świecie IT zacząłem wiele lat temu od najniższych stanowisk. Pracowałem jako technik komputerowy, sieciowiec, programista, sysadmin, aż w końcu zacząłem mocno zagłębiać się w tematy związane z bezpieczeństwem.
Będąc jeszcze programistą, rozwijałem się jako ofensywny badacz bezpieczeństwa i zgłaszałem błędy bezpieczeństwa setkom firm – zarówno popularnym zagranicznym gigantom jak i dużym polskim firmom. Było to w latach, gdy programy Bug Bounty nie były jeszcze popularne i zaledwie garstka ogromnych korporacji miała małe programy wynagradzania researcherów.
Mimo, że minęło parę ładnych lat zanim zacząłem pracować w branży security, to nie żałuję czasu poświęconego w pracy na poprzednich stanowiskach. Przejście tak długiej drogi dostarcza bezcennych doświadczeń, dzięki którym nabrałem szerszej perspektywy. Dobrze rozumiem problemy pracowników na różnych stanowiskach i uwzględniając je, mogę podejmować decyzje lepsze dla firm oraz zespołów z którymi współpracuję.

Długa droga nie tylko nadaje szerszego kontekstu, ale uczy nas pokory i tego jak trudna potrafi być praca na innych stanowiskach. Wiedząc jak skomplikowany jest proces wytwarzania i utrzymania oprogramowania, nabieramy dystansu do problemów i tonujemy swoje komentarze na temat znalezionych problemów.

Branża bezpieczeństwa bardziej niż czegokolwiek innego, potrzebuje profesjonalistów wyrozumiałych, biorących pod uwagę specyficzny dla danej firmy kontekst i umiejących współpracować z innymi bez ostrych komentarzy, powodujących dyskomfort u współpracowników. Potrzebujemy liderów, którzy potrafią budować kulturę bezpieczeństwa w swoich firmach.

Następnych kilka lat spędziłem jako pentester, ale z każdym rokiem nie zmieniało się moje przeświadczenie, że nasza praca ma niewielkie znaczenie w skali globalnej. Co parę miesięcy widziałem u klientów stare błędy pojawiające się znowu jako regresje; w nowym kodzie znajdowałem podatności dokładnie tego samego typu, a świat nie stawał się bezpieczniejszy. Po dziś dzień znajdowane są banalne błędy typu XSS w aplikacjach firm takich jak Microsoft czy Apple. Sam pentesting i bug hunting się po prostu nie skaluje.

Mimo, że jest to zajęcie potrzebne a testy penetracyjne są krytycznym elementem programów bezpieczeństwa, to była to dla mnie wątpliwa ścieżka kariery, jeśli chciałem globalnie zmieniać status quo, którym było bardzo mozolne poprawianie zabezpieczeń i marnowanie pieniędzy na inwestycje o niskim ROI.

Dołączyłem więc do generującej rocznie kilkadziesiąt milionów dolarów amerykańskiej korporacji z sektora security. Jako wewnętrzny inżynier bezpieczeństwa, awansowany do stanowiska głównego architekta bezpieczeństwa byłem odpowiedzialny za budowanie bezpieczeństwa od stóp do głów. Moim celem było skupić się tam nie tylko na szukaniu błędów bezpieczeństwa, ale przede wszystkim zapobiegać ich powstawaniu. W międzyczasie pomagałem innym firmom i specjalistom bezpieczeństwa zabezpieczać ich firmy od środka i zwiększać ROI z testów penetracyjnych oraz programów Bug Bounty.

Współpraca z zespołami bezpieczeństwa kilkudziesięciu firm była dla mnie swego rodzaju konfrontacją z brzydką rzeczywistością.

Od kiedy uznałem, że powinienem skupić się na czymś innym niż pentesting minęło 5 lat i obserwując wydarzenia w branży, każdego roku coraz bardziej zdawałem sobie sprawę, że mocno przeceniłem zdolność firm do implementacji pragmatycznych, pełnych procesów bezpieczeństwa. Myśląc kilka lat temu, że banalne błędy bezpieczeństwa niedługo będą tylko widmem przeszłości, postanowiłem skupić się na czymś większym, myśląc że sporo firm zrobi dokładnie to samo i że za kilka lat większość z nich będzie już miała sensowny poziom zabezpieczeń.

Okazało się jednak, że sektor który opuściłem ma swoje lata świetności dopiero przed sobą. Pentesty, programy bug bounty i wszystko co związane z ofensywą stały się popularniejsze niż kiedykolwiek wcześniej. Mimo ogromnych inwestycji w tego typu działania, nadal ogromna ilość firm jest dziurawa, nadal pentesterzy znajdują w kółko te same błędy które nie powinny mieć prawa bytu w 2018 roku a firmy marnują setki tysięcy dolarów na źle zarządzane programy bug bounty.

 

Wobec tego jak niesatysfakcjonujący jest obraz obecnego stanu bezpieczeństwa na świecie, przyłączam się do Test Army, żeby dołożyć cegiełkę do poprawiania stanu rzeczy, które uważałem że zostaną organicznie rozwiązane do tego czasu.
Chcę wykorzystać swoje doświadczenie by pomóc firmom osiągnąć większy zwrot z inwestycji w bezpieczeństwo. Mamy bardzo dużo pięknych i błyszczących zabawek, jednak wiele z inicjatyw podejmowanych przez firmy nie jest tak efektywnych jak mogą i powinny być.

Druga część felietonu już wkrótce.

Leave a comment

Your email address will not be published. Required fields are marked *