SlideShare une entreprise Scribd logo

Наступательная безопасность: шпаргалка заказчика тестов на проникновение

Télécharger en tant que PPTX, PDF
Vlad Styran
Vlad Styran

Презентация Berezha Security в рамках PCWeek Security Day 2015

Technologie
1  sur  30
Атакующий маркетинг: как заставить клиента заплатить за то, что ему не нужно Василий Пупкин вице-президент по развитию бизнеса ООО «Ройсь-копайсь»
Содержание • Кто мы такие • Страшилки-пугалки • Какие мы умные и красивые • Еще страшилки • Как вы без нас раньше жили? • Еще пугалки • Деньги оставлять вот здесь 25.03.2015 Berezha Security 2
Наступательная безопасность: шпаргалка заказчика тестов на проникновение Владимир Стыран директор по операциям
О чем поговорим • Продукт • Процесс • Сложности • Критерии отбора 25.03.2015 Berezha Security 4
Продукт A penetration test, or the short form pentest, is an attack on a computer system with the intention of finding security weaknesses, potentially gaining access to it, its functionality and data. -Wikipedia Обычные характеристики - Сроки - Цель - Модель угроз - Доступность информации www.spiguard.com 25.03.2015 Berezha Security 5
Процесс привычный • RFI – Сбор информации о компетенциях участников рынка • RFP – Формальный или не очень запрос предложений • «Тендер», конкурс или редукцион – Широкое разнообразие видов хаотической деятельности • Проект – Консалтинговый проект со всеми характерными горестями и невзгодами • Follow-up – Опциональная проверка результатов исправления 25.03.2015 Berezha Security 6
Процесс грамотный 1. Осведомленность – Домашняя работа заказчика 2. Исследование – А вот теперь RFI 3. Обоснованный выбор – RFP отобранным поставщикам 4. Покупка, повторная покупка, референс 25.03.2015 Berezha Security 7
О чем • Продукт • Процесс • Сложности • Критерии отбора 25.03.2015 Berezha Security 8
Неосведомленность заказчика http://insideops.com/rljacobs/trade-secrets-and-the-shift-to-transparency/ 25.03.2015 Berezha Security 9
«Лимонный рынок» ИБ • Условия: – Высокий и низкий уровень качества услуг – Асимметричность информации • Действия: – Продавцы «лимонов» завышают качество с сохранением цены – Продавцы «слив» не получают адекватную цену • Итог: – Средняя цена на рынке стремится вниз – Качество выравнивается по уровню цены 25.03.2015 Berezha Security 10
Непонимание целей и результатов • Содержание отчета – Резюме – Ход тестирования – Уязвимости – Рекомендации – Доказательства 25.03.2015 Berezha Security 11
Непонимание значений уровня риска 25.03.2015 Berezha Security 12
Некомпетентные исполнители 25.03.2015 Berezha Security 13
25.03.2015 Berezha Security 14
25.03.2015 Berezha Security 15
О чем • Продукт • Процесс • Сложности • Критерии отбора 25.03.2015 Berezha Security 16
Критерии отбора 25.03.2015 Berezha Security 17
Критерии отбора • Цена – Нередко решающий фактор • Шаблоны – Зачастую их просто нет, из наличия – выбираем • Методологии – Кто больше впишет в КП • Инструменты – Кто больше, кто дороже • Сертификаты – Без углубления в то, что они означают 25.03.2015 Berezha Security 18
Хорошие критерии отбора • Цена • Шаблон отчета • Методологии • Инструменты • Сертификаты 25.03.2015 Berezha Security 19
Цена • Cхема ценообразования • Рейты специалистов • «Коммерческая тайна»? Следующий! • Есть ли «сезонная» скидка? 25.03.2015 Berezha Security 20
Цена Открытое объявление бюджета Бонусная система вознаграждения 25.03.2015 Berezha Security 21
Шаблоны • Должны быть наготове • EL || GTFO • «Обезличивание» отчетов работает • Структура и метод оценки риска в отчете • NDA? Следующий! 25.03.2015 Berezha Security 22
Методологии 25.03.2015 Berezha Security 23
Методологии 25.03.2015 Berezha Security 24 • PTES • OSSTMM • OWASP • NIST • ISO • ISACA • PCI DSS • DREAD
Инструменты 25.03.2015 Berezha Security 25
Инструменты Free and Cheap • BurpSuite • SET • NeXpose • Metasploit • Maltego • Kali • Acunetix Pricy or Stolen • CORE Impact • Immunity Canvas • Metasploit Pro 25.03.2015 Berezha Security 26
Сертификаты 25.03.2015 Berezha Security 27
Сертификаты • Offensive Security • SANS GIAC 25.03.2015 Berezha Security 28 • EC-Council CEH • ISACA CISA • (ISC)2 CISSP
Бинарный анализ рисков • Инструмент нахождения консенсуса • Отлично подходит для результатов пентестов • Очень прост в применении • Основан на известном проекте Binary Risk Assessment • Доступен на украинском 25.03.2015 Berezha Security 29
Спасибо за внимание! @berezhasecurity sapran@berezhasecurity.com 25.03.2015 Berezha Security 30

Recommandé

Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Vlad Styran
 
#root это только начало
#root это только начало#root это только начало
#root это только началоVlad Styran
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Uladzislau Murashka
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 

Recommandé

Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Vlad Styran
 
#root это только начало
#root это только начало#root это только начало
#root это только началоVlad Styran
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Uladzislau Murashka
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложенийAlexander Kolybelnikov
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'Positive Hack Days
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)Positive Hack Days
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
Практический опыт реализации собственной антифрод системы
Практический опыт реализации собственной антифрод системыПрактический опыт реализации собственной антифрод системы
Практический опыт реализации собственной антифрод системыSelectedPresentations
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Expolink
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...DLP-Эксперт
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерияAlex Babenko
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Hack Days
 
Семь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяемСемь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяемSelectedPresentations
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 
Про аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииПро аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Целевое управление доступом в сети. Техническое решение для финансовых органи...
Целевое управление доступом в сети. Техническое решение для финансовых органи...Целевое управление доступом в сети. Техническое решение для финансовых органи...
Целевое управление доступом в сети. Техническое решение для финансовых органи...SelectedPresentations
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИОб угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИSelectedPresentations
 
Информационная НЕбезопасность предприятия
Информационная НЕбезопасность предприятияИнформационная НЕбезопасность предприятия
Информационная НЕбезопасность предприятияVasyl Melnychuk
 
Социальные аспекты ИБ
Социальные аспекты ИБСоциальные аспекты ИБ
Социальные аспекты ИБVlad Styran
 
правда про ложь
правда про ложьправда про ложь
правда про ложьVlad Styran
 

Contenu connexe

Tendances

лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложенийAlexander Kolybelnikov
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'Positive Hack Days
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)Positive Hack Days
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
Практический опыт реализации собственной антифрод системы
Практический опыт реализации собственной антифрод системыПрактический опыт реализации собственной антифрод системы
Практический опыт реализации собственной антифрод системыSelectedPresentations
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Expolink
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...DLP-Эксперт
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерияAlex Babenko
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Hack Days
 
Семь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяемСемь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяемSelectedPresentations
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 
Целевое управление доступом в сети. Техническое решение для финансовых органи...
Целевое управление доступом в сети. Техническое решение для финансовых органи...Целевое управление доступом в сети. Техническое решение для финансовых органи...
Целевое управление доступом в сети. Техническое решение для финансовых органи...SelectedPresentations
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИОб угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИSelectedPresentations
 
Информационная НЕбезопасность предприятия
Информационная НЕбезопасность предприятияИнформационная НЕбезопасность предприятия
Информационная НЕбезопасность предприятияVasyl Melnychuk
 

Tendances (20)

лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложений
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSS
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертах
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
 
Практический опыт реализации собственной антифрод системы
Практический опыт реализации собственной антифрод системыПрактический опыт реализации собственной антифрод системы
Практический опыт реализации собственной антифрод системы
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
 
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерия
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Семь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяемСемь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяем
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практике
 
Про аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииПро аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академии
 
Целевое управление доступом в сети. Техническое решение для финансовых органи...
Целевое управление доступом в сети. Техническое решение для финансовых органи...Целевое управление доступом в сети. Техническое решение для финансовых органи...
Целевое управление доступом в сети. Техническое решение для финансовых органи...
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИОб угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
 
Информационная НЕбезопасность предприятия
Информационная НЕбезопасность предприятияИнформационная НЕбезопасность предприятия
Информационная НЕбезопасность предприятия
 

En vedette

Социальные аспекты ИБ
Социальные аспекты ИБСоциальные аспекты ИБ
Социальные аспекты ИБVlad Styran
 
правда про ложь
правда про ложьправда про ложь
правда про ложьVlad Styran
 
Путевые заметки социального инженера
Путевые заметки социального инженераПутевые заметки социального инженера
Путевые заметки социального инженераVlad Styran
 
Социальная инженерия для инженеров
Социальная инженерия для инженеровСоциальная инженерия для инженеров
Социальная инженерия для инженеровVlad Styran
 
Прелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINTПрелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINTVlad Styran
 
Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016Vlad Styran
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниVlad Styran
 
Next generation pentest your company cannot buy
Next generation pentest your company cannot buyNext generation pentest your company cannot buy
Next generation pentest your company cannot buyVlad Styran
 
Berezha Security
Berezha SecurityBerezha Security
Berezha SecurityVlad Styran
 

En vedette (9)

Социальные аспекты ИБ
Социальные аспекты ИБСоциальные аспекты ИБ
Социальные аспекты ИБ
 
правда про ложь
правда про ложьправда про ложь
правда про ложь
 
Путевые заметки социального инженера
Путевые заметки социального инженераПутевые заметки социального инженера
Путевые заметки социального инженера
 
Социальная инженерия для инженеров
Социальная инженерия для инженеровСоциальная инженерия для инженеров
Социальная инженерия для инженеров
 
Прелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINTПрелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINT
 
Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
 
Next generation pentest your company cannot buy
Next generation pentest your company cannot buyNext generation pentest your company cannot buy
Next generation pentest your company cannot buy
 
Berezha Security
Berezha SecurityBerezha Security
Berezha Security
 

Similaire à Наступательная безопасность: шпаргалка заказчика тестов на проникновение

Watch list screening
Watch list screeningWatch list screening
Watch list screeningcrm2life
 
Открытая лекция для студентов МГТУ ГА (декабрь 2013)
Открытая лекция для студентов МГТУ ГА (декабрь 2013)Открытая лекция для студентов МГТУ ГА (декабрь 2013)
Открытая лекция для студентов МГТУ ГА (декабрь 2013)Pavel Melnikov
 
«Медиасфера»: Маркетинговая платформа для эффективной digital-стратегии
«Медиасфера»: Маркетинговая платформа для эффективной digital-стратегии«Медиасфера»: Маркетинговая платформа для эффективной digital-стратегии
«Медиасфера»: Маркетинговая платформа для эффективной digital-стратегииSPECIA
 
Суперпредложение по украинскому рынку охранных услуг и безопасности
Суперпредложение по украинскому рынку охранных услуг и безопасностиСуперпредложение по украинскому рынку охранных услуг и безопасности
Суперпредложение по украинскому рынку охранных услуг и безопасностиAgency of Industrial Marketing
 
Управление идентификационными данными и правами
Управление идентификационными данными и правамиУправление идентификационными данными и правами
Управление идентификационными данными и правамиКРОК
 
Услуги бизнес-консультирования АДЕКВА
Услуги бизнес-консультирования АДЕКВАУслуги бизнес-консультирования АДЕКВА
Услуги бизнес-консультирования АДЕКВАADEKVA
 
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"Expolink
 
Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организацийAlexey Evmenkov
 
как вовлекать заказчиков в АСУ ТП
как вовлекать заказчиков в АСУ ТПкак вовлекать заказчиков в АСУ ТП
как вовлекать заказчиков в АСУ ТПAPPAU_Ukraine
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаAleksey Lukatskiy
 
Михаил Лукьянов, Дмитрий Шайхатаров, Agile среди водопадов. Использование SCR...
Михаил Лукьянов, Дмитрий Шайхатаров, Agile среди водопадов. Использование SCR...Михаил Лукьянов, Дмитрий Шайхатаров, Agile среди водопадов. Использование SCR...
Михаил Лукьянов, Дмитрий Шайхатаров, Agile среди водопадов. Использование SCR...ScrumTrek
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...Kirill Rubinshteyn
 
Pacifica is outsorcing
Pacifica is outsorcingPacifica is outsorcing
Pacifica is outsorcingDiana Frolova
 
Автоматизация работы с клиентами с помощью CRM-системы
Автоматизация работы с клиентами с помощью CRM-системыАвтоматизация работы с клиентами с помощью CRM-системы
Автоматизация работы с клиентами с помощью CRM-системыSergey Emelyanov
 
Автоматизация работы с клиентами с помощью CRM-системы
Автоматизация работы с клиентами с помощью CRM-системыАвтоматизация работы с клиентами с помощью CRM-системы
Автоматизация работы с клиентами с помощью CRM-системыSergey Emelyanov
 
G управление лидами
G управление лидамиG управление лидами
G управление лидамиAndrey Dovgan
 
Клиентская аналитика pros & cons
Клиентская аналитика pros & consКлиентская аналитика pros & cons
Клиентская аналитика pros & consTania Akinina
 
КАК МАРКЕТОЛОГАМ ПРАВИЛЬНО ОРГАНИЗОВАТЬ ТЕНДЕР
КАК МАРКЕТОЛОГАМ ПРАВИЛЬНО ОРГАНИЗОВАТЬ ТЕНДЕРКАК МАРКЕТОЛОГАМ ПРАВИЛЬНО ОРГАНИЗОВАТЬ ТЕНДЕР
КАК МАРКЕТОЛОГАМ ПРАВИЛЬНО ОРГАНИЗОВАТЬ ТЕНДЕРElena Peday
 

Similaire à Наступательная безопасность: шпаргалка заказчика тестов на проникновение (20)

Watch list screening
Watch list screeningWatch list screening
Watch list screening
 
Открытая лекция для студентов МГТУ ГА (декабрь 2013)
Открытая лекция для студентов МГТУ ГА (декабрь 2013)Открытая лекция для студентов МГТУ ГА (декабрь 2013)
Открытая лекция для студентов МГТУ ГА (декабрь 2013)
 
«Медиасфера»: Маркетинговая платформа для эффективной digital-стратегии
«Медиасфера»: Маркетинговая платформа для эффективной digital-стратегии«Медиасфера»: Маркетинговая платформа для эффективной digital-стратегии
«Медиасфера»: Маркетинговая платформа для эффективной digital-стратегии
 
Суперпредложение по украинскому рынку охранных услуг и безопасности
Суперпредложение по украинскому рынку охранных услуг и безопасностиСуперпредложение по украинскому рынку охранных услуг и безопасности
Суперпредложение по украинскому рынку охранных услуг и безопасности
 
Управление идентификационными данными и правами
Управление идентификационными данными и правамиУправление идентификационными данными и правами
Управление идентификационными данными и правами
 
Услуги бизнес-консультирования АДЕКВА
Услуги бизнес-консультирования АДЕКВАУслуги бизнес-консультирования АДЕКВА
Услуги бизнес-консультирования АДЕКВА
 
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
 
Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организаций
 
как вовлекать заказчиков в АСУ ТП
как вовлекать заказчиков в АСУ ТПкак вовлекать заказчиков в АСУ ТП
как вовлекать заказчиков в АСУ ТП
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасника
 
Михаил Лукьянов, Дмитрий Шайхатаров, Agile среди водопадов. Использование SCR...
Михаил Лукьянов, Дмитрий Шайхатаров, Agile среди водопадов. Использование SCR...Михаил Лукьянов, Дмитрий Шайхатаров, Agile среди водопадов. Использование SCR...
Михаил Лукьянов, Дмитрий Шайхатаров, Agile среди водопадов. Использование SCR...
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
 
Консалтинг и GRC 2014
Консалтинг и GRC 2014Консалтинг и GRC 2014
Консалтинг и GRC 2014
 
Pacifica is outsorcing
Pacifica is outsorcingPacifica is outsorcing
Pacifica is outsorcing
 
Автоматизация работы с клиентами с помощью CRM-системы
Автоматизация работы с клиентами с помощью CRM-системыАвтоматизация работы с клиентами с помощью CRM-системы
Автоматизация работы с клиентами с помощью CRM-системы
 
Автоматизация работы с клиентами с помощью CRM-системы
Автоматизация работы с клиентами с помощью CRM-системыАвтоматизация работы с клиентами с помощью CRM-системы
Автоматизация работы с клиентами с помощью CRM-системы
 
G управление лидами
G управление лидамиG управление лидами
G управление лидами
 
Клиентская аналитика pros & cons
Клиентская аналитика pros & consКлиентская аналитика pros & cons
Клиентская аналитика pros & cons
 
КАК МАРКЕТОЛОГАМ ПРАВИЛЬНО ОРГАНИЗОВАТЬ ТЕНДЕР
КАК МАРКЕТОЛОГАМ ПРАВИЛЬНО ОРГАНИЗОВАТЬ ТЕНДЕРКАК МАРКЕТОЛОГАМ ПРАВИЛЬНО ОРГАНИЗОВАТЬ ТЕНДЕР
КАК МАРКЕТОЛОГАМ ПРАВИЛЬНО ОРГАНИЗОВАТЬ ТЕНДЕР
 

Plus de Vlad Styran

В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...Vlad Styran
 
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...Vlad Styran
 
The sooner the better but never too late
The sooner the better but never too lateThe sooner the better but never too late
The sooner the better but never too lateVlad Styran
 
Threat Modeling 101
Threat Modeling 101Threat Modeling 101
Threat Modeling 101Vlad Styran
 
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...Vlad Styran
 
Application Security Webcast
Application Security WebcastApplication Security Webcast
Application Security WebcastVlad Styran
 
Sigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software SecuritySigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software SecurityVlad Styran
 
NoNameCon partnership opportunities
NoNameCon partnership opportunitiesNoNameCon partnership opportunities
NoNameCon partnership opportunitiesVlad Styran
 
BruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't SuckBruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't SuckVlad Styran
 
Организация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностьюОрганизация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностьюVlad Styran
 
Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UAVlad Styran
 
Fantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from themFantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from themVlad Styran
 
Кібер-Шмібер
Кібер-ШміберКібер-Шмібер
Кібер-ШміберVlad Styran
 
Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...Vlad Styran
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюVlad Styran
 

Plus de Vlad Styran (15)

В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
 
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
 
The sooner the better but never too late
The sooner the better but never too lateThe sooner the better but never too late
The sooner the better but never too late
 
Threat Modeling 101
Threat Modeling 101Threat Modeling 101
Threat Modeling 101
 
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
 
Application Security Webcast
Application Security WebcastApplication Security Webcast
Application Security Webcast
 
Sigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software SecuritySigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software Security
 
NoNameCon partnership opportunities
NoNameCon partnership opportunitiesNoNameCon partnership opportunities
NoNameCon partnership opportunities
 
BruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't SuckBruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't Suck
 
Организация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностьюОрганизация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностью
 
Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UA
 
Fantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from themFantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from them
 
Кібер-Шмібер
Кібер-ШміберКібер-Шмібер
Кібер-Шмібер
 
Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностью
 

Наступательная безопасность: шпаргалка заказчика тестов на проникновение

Notes de l'éditeur

  1. Освежим, что из себя представляет продукт. Обозначим процесс выбора поставщика и выполнения проекта. Укажем на наиболее важные типичные сложности. Подумаем над тем, какие критерии отбора помогут нам с ними справиться.
  2. Можно воспринимать как практический интерактивный аудит защищенности ИТ-систем и персонала путем прямого участия исполнителя в процессах безопасности заказчика. Сроки проведения редко связываются с объективными факторами, но обычно «как можно быстрее». Цель может быть банальной как комплаянс или сложной как решение провести пентест после инцидента. Очень редко цель ставится четко и ее достижение приносит пользу. Модель угроз описывает мотивы, ресурсы и цели потенциального злоумышленника, а также его расположение относительно объекта тестирования и методы их взаимодействия. Отсюда термины «вектор» и «канал» тестирования. Доступность информации обычно связывают с разнообразными цветами ящиков. Cnhfyyjзанятие.
  3. Лимоны = качественные подержанные машины Сливы = некачественные
  4. Есть два уровня качества услуг: высокий и низкий. Асимметричность информации создает условия, в которых продавец обладает знанием о качестве, а покупатель – нет. Как следствие, продавцы качественных услуг не могут получить адекватную цену, потому что продавцы некачественных услуг завышают свое качество (например, позиционируя услугу как «эксклюзивную») и занижают цену. То есть, неосведомленность заказчика наиболее рискованна в части определения уровня качества и адекватного ценообразования. Лимонный рынок с ассиметричной информацией является прямым следствием неосведомленности заказчика.
  5. Вопрос в аудиторию: какая самая непонятная часть отчета? Уязвимости, потому что они содержат информацию о рисках, полученную «свыше», без обсуждения с клиентом. Да и вообще риски это слабое место любых коммуникаций между бизнесом, ИТ и ИБ. Поэтому мы обращаем ваше внимание на отличный проект БРА, результаты которого мы перевели на украинский и вы можете найти его в материалах участника. Там все просто, но я немного подробнее расскажу о том, как этим пользоваться, в конце выступления.
  6. Непонимание результатов пентеста приводит к тому, что приоритеты по исправлению находок определяются неверно. Как следствие это приводит к неприятным последствиям.
  7. Пентесты может делать кто угодно. Я встречал случаи когда в команду пентестеров предлагали перевести операторов техподдержки или инженеров внедрения. В больших бухгалтерских фирамах, которые почему-то занимаются ИБ и в частности пентестами, на такие позиции часто определяют ИТ-аудиторов, которые иногда являются совсем недавними фин. аудиторами. На самом деле пенетстер может получиться из кого угодно, главное желание и практика. Но до момента, когда мне нестрашно будет подпустить его к клиенту, пройдет очень немало времени.
  8. Непонимание целей и результатов пентеста, Непонимание значений уровня риска, Невозможность выбрать компетентного исполнителя – все это является следствием отсутствия предварительного исследования предметной области.
  9. Без подготовки невозможно сделать осознанный выбор. Соответственно, в ход идет главный объективный критерий.
  10. Предлагается составить список критериев отбора, которые помогут нам справиться с задачей правильного выбора поставщика услуг по пентестам.
  11. Лучший отбор, конечно же, естественный. Можно просто сесть и подождать, пока на рынке не останутся только конкурентоспособные поставщики. Однако, как мы знаем из теории асимметричности информации, в нашем случае это может не сработать. Плюс, вы можете быть ограничены во времени.
  12. Какие критерии отбора существуют в настоящее время. Бюджеты не имеют отношения к реальности. Шаблоны редко готовятся, еще реже предоставляются быстро. Методологии пишутся в КП с потолка или по принципу «когда-то читал». Инструменты обычно просто добавляют для количества. Сертификаты это отдельная, очень больная тема в отрасли ИБ.
  13. На самом деле, чтобы не выдумывать ничего нового, можно взять все эти критерии и немного их изменить.
  14. Показывать клиенту рейты это нормально.
  15. Оптимальный вариант выбора поставщика на основании стоимости услуг: выбрать бюджет и огласить его всем участников торгов. Пусть посоревнуются в том, какой объем работы они предоставят в рамках этого бюджета. Бонусная система у нас не очень популярна, но все более распространена на Западе. Вы договариваетесь с поставщиком о стоимости «зеленого» отчета, то есть о цене пентеста, в котором он потенциально ничего не найдет. Эта цена максимально приближена к себестоимости проекта с наименьшими сроками и усилиями. Но: в случае обнаружения серьезных рисков и успешной их эксплуатации исполнитель получает бонус – заранее оговоренную сумму, отражающую нанесенную вам непоправимую пользу. Чем больше бонус, тем больше у вас шансов получить эффект от пентеста. И еще, как следствие выбора таких ценовых стратегий вы получите в разы больше участников конкурса.
  16. Black box, white box, pink box, blue box…
  17. Есть целая куча методологий, которые пентестеры с удовольствием используют в своей работе. Но не стоит спрашивать, какие из них они используют конкретно. Плохие поставщики ответят «любые» или «какие пожелаете». Хорошие обычно используют некий гибрид, разработанный на основании предыдущего опыта, но без привязки к конкретной методике или стандарту. Методика нужна вам для того, чтобы провести максимально объективный пентест в случае, если вы решите сделать это самостоятельно. Хорошему поставщику услуг строгая привязка к методике только мешает. Лучше попросите поставщика описать его обычные действия в ходе пентеста. И опишите цели, которые вы перед ним ставите. Это поможет подобрать методы и средства автоматизации наилучшим образом и гарантирует вам оптимальный результат.
  18. Инструменты в пентесте не главное. Главное в пентесте это пентестеры. Если вам нужен инструмент, лучше купите себе или возьмите в аренду. Инструменты нужны для того, чтобы автоматизировать рутину и выдать вам лучший продукт за меньшее время и соответственно деньги. К сожалению, в реальности все немного иначе: покупка инструментов залатывает дыры в навыках пентестеров и увеличивает себестоимость проекта.
  19. Не забывайте, что есть такие монстры, как CORE Impact, Immunity Canvas, Rapid7 Metasploit Pro etc.
  20. Мало кто из заказчиков может адекватно оценить ценность того или иного сертификата и его влияние на уровень качества пентеста.
  21. Существует немало сертификатов, которые типа подтверждают знания по ИБ. Некоторые из них утверждают, что это знания, достаточные для проведения пентестов. К сожалению, это не так.
  22. Очень интересно знать, помогли ли Вам наши советы. Пожалуйста, не стесняйтесь обращаться за советом.