Пентест как процесс
225 просмотры
Пентест как процесс.
Юлия Воронова.
Руководитель отдела нормативного соответствия и аудита информационной безопасности. Ростелеком.
На текущий момент рынок Информационной Безопасности России и СНГ уже достаточно зрелый и услуги в сфере ИБ больше не являются привилегией крупного бизнеса. Все больше и больше различных предприятий задумываются о совей безопасности, и как водится для начала хотят получить ответ на вопрос «Можно ли нас взломать?», ответ на вопрос дает тестирование на проникновение. Поэтому многие заказывают услугу Pentest’а и потом не совсем понимают, а что, собственно, делать с этой кипой бумаги дальше. Поэтому для начала стоит осознать, что на завершении тестирования на проникновение все только начинается, и быть морально готовым к большой работе, чтобы деньги не были выброшены на ветер. Какие вопросы Заказчик данной услуге должен задать себе, а какие потенциальному исполнителю? «Зачем мне оно надо?»; «Что я хочу получить в результате?»; «Что мне с этим всем делать дальше?»; «Насколько исполнитель понимает мои задачи?».
Тестирование на проникновение не является аудитом, а является самостоятельным направлением в консалтинге ИБ, задача пентестеров подсветить дыр в безопасности, глядя глазами потенциального злоумышленника. Поэтому не стоит ожидать, что, если закрыть все обнаруженные на Pentest’e уязвимости можно спать спокойно. Если Вы выбрали профессию в сфере информационной безопасности, спокойно спать скорее всего не придется вообще, ибо хакеры не дремлют. Попасть под раздачу можно даже в том случае, если на первый взгляд предприятие не представляет особого интереса для злоумышленников. По нашему опыту ломают не тех кто ценен, а тех кого можно взломать, а бизнеса в котором вообще не секретов не бывает в природе.
Если Вы проводите тестирование из года в год, то не пора ли пересмотреть подход к нему. Возможно, обозначенные ранее модели нарушителя стали уже не актуальны для вашего бизнеса или появились новые. Меняется инфраструктура, меняются угрозы, меняются методы взлома. Современные рынок ИБ готов предложить не только классический Pentest, целью которого является проникновение во внутреннюю сеть и повышение в ней привилегий, но решение более точечных задач, которые стоят перед конкретным Заказчиком, начиная от анализа исходных кодов приложения на наличие в нем уязвимостей и заканчивая тренировкой отдела ИБ по отражению кибератак.
Юлия Воронова.
Руководитель отдела нормативного соответствия и аудита информационной безопасности. Ростелеком.
На текущий момент рынок Информационной Безопасности России и СНГ уже достаточно зрелый и услуги в сфере ИБ больше не являются привилегией крупного бизнеса. Все больше и больше различных предприятий задумываются о совей безопасности, и как водится для начала хотят получить ответ на вопрос «Можно ли нас взломать?», ответ на вопрос дает тестирование на проникновение. Поэтому многие заказывают услугу Pentest’а и потом не совсем понимают, а что, собственно, делать с этой кипой бумаги дальше. Поэтому для начала стоит осознать, что на завершении тестирования на проникновение все только начинается, и быть морально готовым к большой работе, чтобы деньги не были выброшены на ветер. Какие вопросы Заказчик данной услуге должен задать себе, а какие потенциальному исполнителю? «Зачем мне оно надо?»; «Что я хочу получить в результате?»; «Что мне с этим всем делать дальше?»; «Насколько исполнитель понимает мои задачи?».
Тестирование на проникновение не является аудитом, а является самостоятельным направлением в консалтинге ИБ, задача пентестеров подсветить дыр в безопасности, глядя глазами потенциального злоумышленника. Поэтому не стоит ожидать, что, если закрыть все обнаруженные на Pentest’e уязвимости можно спать спокойно. Если Вы выбрали профессию в сфере информационной безопасности, спокойно спать скорее всего не придется вообще, ибо хакеры не дремлют. Попасть под раздачу можно даже в том случае, если на первый взгляд предприятие не представляет особого интереса для злоумышленников. По нашему опыту ломают не тех кто ценен, а тех кого можно взломать, а бизнеса в котором вообще не секретов не бывает в природе.
Если Вы проводите тестирование из года в год, то не пора ли пересмотреть подход к нему. Возможно, обозначенные ранее модели нарушителя стали уже не актуальны для вашего бизнеса или появились новые. Меняется инфраструктура, меняются угрозы, меняются методы взлома. Современные рынок ИБ готов предложить не только классический Pentest, целью которого является проникновение во внутреннюю сеть и повышение в ней привилегий, но решение более точечных задач, которые стоят перед конкретным Заказчиком, начиная от анализа исходных кодов приложения на наличие в нем уязвимостей и заканчивая тренировкой отдела ИБ по отражению кибератак.
Просмотры
- 225 Всего просмотров
- 225 Просмотров Веб-сайта
Действия
- Social Shares
- 0 Лайки
- 0 Дизлайки
- 0 Комментарии
Поделиться счетчик
- 0 Facebook
- 0 Twitter
- 0 LinkedIn
- 0 Google+
-
Эффективный пентест или "Думай как хакер"
1142 Просмотры. -
-
One Identity. Опыт внедрения IDM-решений в СНГ
928 Просмотры. -
-
-
-
10 новых приемов конкурентной разведки в цифровом мире
808 Просмотры. -
История успеха с Fortinet: АО «Банк ЦентрКредит»
793 Просмотры. -
-
Построение "инхаус" SOC. Цели, этапы, ошибки
769 Просмотры. -
Web Aplication Firewall Penta Security
763 Просмотры. -
-
Семиотика в информационной безопасности.
732 Просмотры. -
История успеха АО «ЛОЭСК»
728 Просмотры. -
Эксплуатация средств защиты в недоверенной среде.
717 Просмотры. -
Буклет Fortinet
698 Просмотры. -
Кейсы компьютерной криминалистики.
690 Просмотры. -
-
Работа с инцидентами и операционная модель SOC
689 Просмотры. -