Специалистом по тестированию на проникновение и изначально называлась Защита от sql-инъекций.

что при

Данная статья отражает личный опыт и мнение её авторов и написана с целью призвать сообщество к обсуждению. Здесь не будут называться имена, ни на кого не будут показывать пальцем.
Мы попытаемся обратить внимание на то, что считаем проблемой современного российского рынка услуг в сфере информационной безопасности.

Чтобы читателям был понятен контекст, мы решили начать с бэкграунда.

Статья написана аналитиком информационной безопасности (мной) и специалистом по тестированию на проникновение и изначально называлась Защита от sql-инъекций.

Работая с заказчиками, мы систически сталкиваемся с непониманием сути оказываемых нами услуг. Нередко это непонимание вызвано тем, что оно перенеслось на заказчика от компании, которая оказывала эти услуги.

Однажды в ходе проведения внутреннего пентеста повышение привилегий и устранение средств защиты на предоставленной заказчиком офисной машине вызвало недоумение у начальника службы ИБ.
Далее в ходе обсуждения выяснилось, что до этого под названием «пентест» заказчику продавали сканирование внутренней сети при помощи «nmap» с параметром «--script vuln».

Естественно, в очередной раз заказчик ожидал от пентестеров подобного поведения и искренне удивился, когда они начали захватывать его контроллер домена.

Временами случается, что при проведении работ отдельным этапом выделяют контроль устранения уязвимостей, выявленных в ходе предыдущего исследования. проверка сайта на безопасность яндекс А также случается, что для этого заказчик предоставляет отчёт об этом самом предыдущем исследовании.

Глядя в такой отчёт, иногда дивишься находчивости коллег по рынку.

Автоматизированное сканирование уязвимостей временами продают хоть как пентест, хоть как анализ защищённости. В таких условиях неудивительно, что приходится слышать от заказчиков нечто вроде «Взломайте нас, чтобы было красиво».

В какой-то момент мы поняли, что мы далеко не первые, кто это заметил:

Оставляем читателю для размышления вопрос — почему нет четкого понимания заказываемых услуг и их результата? Из-за некомпетентности участников рынка инфосек-услуг? Или они намеренно водят клиентов за нос, продавая более простые услуги под видом комплексных и дорогих?

Поскольку нас ни одна из двух опций не радует, мы почувствовали в себе желание поделиться собственным видением и сформировали небольшой CheatSheet по услугам в сфере практической информационной безопасности.

Давайте рассмотрим пять различных работ:

Тестирование на проникновение (Penetration Testing)

Редтиминг (Red Team Assessment)

Анализ защищенности (Security Analysis)

Сканирование уязвимостей (Vulnerability Scanning)

Аудит безопасности (Audit)

Всю информацию, касающуюся перечисленных выше работ, для удобства мы разделили на два уровня:

Базовый (в основном теле статьи)

Расширенный (спрятан под спойлером для тех, кто хочет узнать больше)

Определить, может ли текущий уровень защищённости инфраструктуры выдержать попытку вторжения потенциального злоумышленника с определённой целью.
Достижение поставленной задачи.

При этом вопрос полноты обнаруженных уязвимостей не стоит, но отражаются все уязвимости, причастные к векторам атаки.

Результаты: Факт и/или вероятность взлома (проникновения) и получения информации злоумышленником.

В какой-то момент мы поняли, что мы далеко не первые, кто это заметил:

Давайте рассмотрим пять различных работ:

Всю информацию, касающуюся перечисленных выше работ, для удобства мы разделили на два уровня:

Похожие статьи Pentest

Пентест

Защита

Контакты

Stay Connected