Τα περισσότερα scan findings σου είναι θόρυβος

Ένα PCI DSS scan γυρίζει με σαράντα επτά findings κι ένα κόκκινο «FAIL» στην κορυφή, κι όλη η αίθουσα πανικοβάλλεται. Δεν θα έπρεπε. Ένα scan που περνάει κι ένα posture που μπορείς να υπερασπιστείς είναι διαφορετικά πράγματα, και το κενό ανάμεσά τους είναι σχεδόν εξ ολοκλήρου θόρυβος. Έχουμε δουλέψει και τη μεριά του merchant και τη μεριά του Approved Scanning Vendor, και το πρώτο πράγμα που κάνουμε με μια φρέσκια αναφορά είναι το πιο αφανές: πετάμε το μεγαλύτερο μέρος της, επίτηδες, με στοιχεία.

Ο θόρυβος έρχεται σε προβλέψιμα σχήματα. False positives — ο scanner επισημαίνει ένα header που δεν βλέπει πίσω από το CDN σου, ή ένα CVE για μια έκδοση library που στην πραγματικότητα δεν τρέχεις. Informational findings που είναι «ευρήματα» όπως ο ανιχνευτής καπνού που τσιρίζει στο καμένο τοστ είναι «φωτιά». Και το μεγάλο: duplicates — τριάντα γραμμές που είναι όλες το ίδιο missing patch στο ίδιο host, μετρημένες τριάντα φορές γιατί το εργαλείο μετράει ports, όχι προβλήματα. Κανένα από αυτά δεν είναι vulnerability. Όλα έχουν ένα checkbox.

Η ανάλυση παραπάνω είναι ένα πραγματικό scan, ανωνυμοποιημένο. Από εκατό findings, τα ογδόντα έξι ήταν θόρυβος που μπορούσαμε να κλείσουμε με τεκμηριωμένο λόγο — ένα false-positive review, ένα compensating control, στοιχεία πακεταρισμένα ώστε η ζωή του QSA να είναι εύκολη και το dispute ήδη γραμμένο. Δεκατέσσερα ήταν πραγματικά. Η δουλειά που κερδίζει το pass δεν είναι να βρεις τα δεκατέσσερα· ο scanner τα βρήκε ήδη. Η δουλειά είναι να μπορείς να υπερασπιστείς, γραπτώς, τα ογδόντα έξι που έκλεισες χωρίς να τα αγγίξεις, όταν κάποιος ρωτήσει γιατί.

Αλλά το triage είναι το πρώτο δέκα τοις εκατό της δουλειάς, όχι η δουλειά. Το να βρεις ένα πραγματικό bug — ακόμα κι ένα σοβαρό — είναι το φτηνό κομμάτι· ο scanner το έκανε τζάμπα. Το ακριβό κομμάτι είναι όλα όσα έρχονται μετά το finding, κι αυτό είναι το κομμάτι που οι περισσότερες αναφορές προσπερνούν. Σου δίνουν ένα CVSS score και μια πρόταση συμβουλής και το λένε μέρα. Εμείς μένουμε μέχρι το fix, γιατί ένα finding που δεν το αναλαμβάνει κανείς είναι απλώς ένα finding που θα ξαναδείς στο επόμενο scan.

Η μπάρα παραπάνω είναι εκεί που πάνε πραγματικά οι ώρες σε ένα πραγματικό finding. Δέκα τοις εκατό για να επιβεβαιώσεις ότι είναι αληθινό και να το αναπαράγεις. Μετά το ενενήντα τοις εκατό που κανείς δεν σου κοστολογεί: να ορίσεις την ακτίνα της ζημιάς, να κάνεις threat-modelling για το αν είναι exploitable στο δικό σου περιβάλλον ή μόνο στη θεωρία, να γράψεις το patch, να το περάσεις από code review, και να ξανατρέξεις το scan ώστε να αποδείξεις ότι το πράγμα έκλεισε. Το «το να βρεις το πρόβλημα είναι το πρώτο δέκα τοις εκατό» είναι στη σελίδα της υπηρεσίας μας γιατί είναι η φράση που οι πελάτες θυμούνται έναν χρόνο μετά, συνήθως ενώ πληρώνουν κάποιον άλλον για το υπόλοιπο ενενήντα.

Αυτό που δεν θα σου πουλήσουμε είναι reverse-engineering protection by default. Είναι το πιο εύκολο upsell στην ασφάλεια — obfuscation, anti-tamper, ένα binary που κανείς δεν διαβάζει — και τις περισσότερες φορές είναι πανοπλία σε μια πόρτα που δεν ήταν ποτέ ο τρόπος εισόδου. Θα το scope-άρουμε όταν το threat model το δικαιολογεί: μια app που στέλνει secrets σε εχθρικό client, μια πραγματική επιφάνεια πειρατείας. Δεν θα το βιδώσουμε πάνω σε ένα payment backend του οποίου το πραγματικό ρίσκο είναι ένα υπερβολικά πλατύ cardholder data environment κι ένα ξεχασμένο admin endpoint. Το ειλικρινές scoping είναι φτηνότερο από το scoping που απλώς φαίνεται ειλικρινές, κι επιβιώνει τον επόμενο auditor.

Τι άλλαξε από τότε που αρχίσαμε να το λέμε δυνατά: οι ερωτήσεις έγιναν καλύτερες. Οι πελάτες έρχονταν παλιά ρωτώντας «πώς κάνουμε το scan να περάσει» — μια ερώτηση με μια ανέντιμη απάντηση και μια ακριβή. Τώρα έρχονται ρωτώντας «ποια από αυτά τα σαράντα επτά μετράνε πραγματικά», που είναι ερώτηση που μπορούμε να απαντήσουμε σε ένα απόγευμα και να υπερασπιστούμε για έναν χρόνο. Το scan δεν ήταν ποτέ το ζητούμενο. Το posture από πίσω είναι, και το posture είναι κυρίως τα έξι που αποφάσισες να φτιάξεις.