#ТестированиеНаПроникновение #Пентест #PenetrationTesting
Запись прямого эфира онлайн-конференции AM Live ([ Ссылка ]), проходившей 30 июня 2021 года, на которой эксперты поговорили о тестировании на проникновение (пентест, Penetration Testing).
Модератор:
• Алексей Лукацкий, бизнес-консультант по безопасности Cisco
Участники:
• Артём Мелёхин, старший менеджер по технологической поддержке продаж, Мегафон
• Омар Ганиев, генеральный директор DeteAct
• Вячеслав Васин, руководитель отдела технического аудита, Group-IB
• Александр Колесов, руководитель отдела анализа защищенности Solar JSOC, «Ростелеком-Солар»
• Сергей Зеленский, руководитель лаборатории практического анализа защищенности, «Инфосистемы Джет»
• Александр Зайцев, руководитель центра компетенции по анализу защищенности, «Лаборатория Касперского»
0:00 -- Интро
0:46 — Представление участников
2:00 — Что такое пентест и чем он отличается от других форм анализа защищённости
17:40 — Помогут ли регулирующие документы от государства компаниям, проводящим пентесты
28:42 — С какой мотивацией клиенты приходят за пентестом
42:50 — Бывают ли случаи, когда пентест показывает нулевые результаты
54:55 — Как выбирать пентестера
1:09:00 — Какие бывают пентесты и чем они отличаются друг от друга
1:17:05 — Сколько в среднем длится пентест
1:27:00 — Имеет ли право исполнитель пентеста раскрыть детали уязвимости
1:40:30 — Что должен содержать отчёт о пентесте
1:45:50 — Как часто должен проводиться пентест
2:03:03 — Кто должен проводить пентест
2:10:05 — Интересует ли заказчика используемый пентестером инструментарий
2:23:12 — Как пентестом не нанести вред заказчику или третьей стороне
2:32:10 — Заключительное слово участников эфира
Ключевые вопросы:
1. Цели и задачи тестирования на проникновение
• Что такое пентест и чем он отличается от простого умения запускать сканер уязвимостей?
• Для чего нужно проводить тестирование на проникновение?
• Какие стандарты и требования регуляторов включает в себя обязательное проведение тестирований на проникновение?
• Чем отличается внутреннее и внешнее тестирование на проникновение?
• Чем пентест отличается от Red Teaming и аудита ИБ?
• Какой квалификацией и опытом должны обладать пентестеры?
• Можно ли провести полноценный пентест своими силами?
• Насколько субъективными являются результаты пентеста? (зависят от конкретных исполнителей)
• Какие параметры являются определяющими при выборе поставщика услуг пентеста?
• Что показывают результаты пентеста? Является ли успешное прохождение пентеста гарантией высокого уровня защищенности организации?
2. Методы и особенности проведения тестирования на проникновение
• Какие методики проведения пентестов бывают и чем они отличаются?
• Должен ли хороший пентест максимально покрывать все возможные векторы атаки?
• Что отличает продвинутый и дорогой пентест?
• С какой периодичностью нужно проводить пентест?
• Каковы основные каналы (направления) пентестов?
• Какие инструменты используют пентестеры и важно ли это для заказчика?
• Какая возможна автоматизация процесса проведения пентеста?
• Как гарантировать, что пентест не повлияет на бизнес-процессы организации?
• Как гарантировать, что результаты пентеста не будут использованы против заказчика?
• В каком виде заказчику должны быть представлены результаты пентеста и какова должна быть их детализация?
3. Практика проведения пентестов
• Как правильно составить договор с поставщиком услуг по проведению пентестов?
• Как правильно составить ТЗ и разработать методику проведение пентеста? Кто это должен делать?
• Как верифицировать результаты пентеста, оценить их достоверность?
• Как правильно оценивать результаты пентеста и устранять найденные проблемы?
4. Тренды и прогнозы развития рынка
• Как будет развиваться данное направление в ближайшие 3-5 лет?
• Какие стандарты и требования регуляторов будут стимулировать рынок пентестов?
• Заменят ли пентесты системами Breach and Attack Simulation (BAS)?
Записи других прямых эфиров AM Live
[ Ссылка ]
Подписывайтесь на наш канал
[ Ссылка ]
Присоединяйтесь к нам в соцсетях!
[ Ссылка ]
[ Ссылка ]
[ Ссылка ]
[ Ссылка ]
