Данная статья отражает личный опыт и мнение её авторов и написана с целью призвать сообщество к обсуждению. Здесь не будут называться имена, ни на кого не будут показывать пальцем.
Мы попытаемся обратить внимание на то, что считаем проблемой современного российского рынка услуг в сфере информационной безопасности.
Чтобы читателям был понятен контекст, мы решили начать с бэкграунда.
Статья написана аналитиком информационной безопасности (мной) и специалистом по тестированию на проникновение и изначально называлась Защита от sql-инъекций.
Работая с заказчиками, мы систически сталкиваемся с непониманием сути оказываемых нами услуг. Нередко это непонимание вызвано тем, что оно перенеслось на заказчика от компании, которая оказывала эти услуги.
Однажды в ходе проведения внутреннего пентеста повышение привилегий и устранение средств защиты на предоставленной заказчиком офисной машине вызвало недоумение у начальника службы ИБ.
Далее в ходе обсуждения выяснилось, что до этого под названием «пентест» заказчику продавали сканирование внутренней сети при помощи «nmap» с параметром «--script vuln».
Естественно, в очередной раз заказчик ожидал от пентестеров подобного поведения и искренне удивился, когда они начали захватывать его контроллер домена.
Временами случается, что при проведении работ отдельным этапом выделяют контроль устранения уязвимостей, выявленных в ходе предыдущего исследования. проверка сайта на безопасность яндекс А также случается, что для этого заказчик предоставляет отчёт об этом самом предыдущем исследовании.
Глядя в такой отчёт, иногда дивишься находчивости коллег по рынку.
Автоматизированное сканирование уязвимостей временами продают хоть как пентест, хоть как анализ защищённости. В таких условиях неудивительно, что приходится слышать от заказчиков нечто вроде «Взломайте нас, чтобы было красиво».
Оставляем читателю для размышления вопрос — почему нет четкого понимания заказываемых услуг и их результата? Из-за некомпетентности участников рынка инфосек-услуг? Или они намеренно водят клиентов за нос, продавая более простые услуги под видом комплексных и дорогих?
Поскольку нас ни одна из двух опций не радует, мы почувствовали в себе желание поделиться собственным видением и сформировали небольшой CheatSheet по услугам в сфере практической информационной безопасности.
Тестирование на проникновение (Penetration Testing)
Редтиминг (Red Team Assessment)
Анализ защищенности (Security Analysis)
Сканирование уязвимостей (Vulnerability Scanning)
Аудит безопасности (Audit)
Базовый (в основном теле статьи)
Расширенный (спрятан под спойлером для тех, кто хочет узнать больше)
Определить, может ли текущий уровень защищённости инфраструктуры выдержать попытку вторжения потенциального злоумышленника с определённой целью.
Достижение поставленной задачи.
При этом вопрос полноты обнаруженных уязвимостей не стоит, но отражаются все уязвимости, причастные к векторам атаки.
Результаты: Факт и/или вероятность взлома (проникновения) и получения информации злоумышленником.
Привет, ламеры: )) сайт взломан
E malware В общем что ящики будут паролей и секретных вопросов Взлом и Софт hwp Почта утекла хакер на заказ начинающему хакеру защита от взлома паролей...
Комплексный тест на проникновение
Комплексное тестирование защищенности систем аудит защищенности информационных систем, включающий в себя инвентаризацию ресурсов, ручной и...
Комплексный тест на проникновение
Зачем тратить деньги компании на информационную безопасность? Как определить, оправданы ли затраты на информационную безопасность, и если да, то какие и...
Применение автоматизированных инструментальных средств для тестирования на проникновение
Применение автоматизированных инструментальных средств для тестирования на проникновение Delphi site : daily Delphi-news, documentation, articles,...
Анализ угроз информационной безопасности 2016-2017
Мы часто слышим в новостях о том, что постоянно случаются какие-то инциденты информационной безопасности. проверить настройки безопасности И хотя...