Пентест как процесс
312 просмотры
Пентест как процесс.
Юлия Воронова.
Руководитель отдела нормативного соответствия и аудита информационной безопасности. Ростелеком.
На текущий момент рынок Информационной Безопасности России и СНГ уже достаточно зрелый и услуги в сфере ИБ больше не являются привилегией крупного бизнеса. Все больше и больше различных предприятий задумываются о совей безопасности, и как водится для начала хотят получить ответ на вопрос «Можно ли нас взломать?», ответ на вопрос дает тестирование на проникновение. Поэтому многие заказывают услугу Pentest’а и потом не совсем понимают, а что, собственно, делать с этой кипой бумаги дальше. Поэтому для начала стоит осознать, что на завершении тестирования на проникновение все только начинается, и быть морально готовым к большой работе, чтобы деньги не были выброшены на ветер. Какие вопросы Заказчик данной услуге должен задать себе, а какие потенциальному исполнителю? «Зачем мне оно надо?»; «Что я хочу получить в результате?»; «Что мне с этим всем делать дальше?»; «Насколько исполнитель понимает мои задачи?».
Тестирование на проникновение не является аудитом, а является самостоятельным направлением в консалтинге ИБ, задача пентестеров подсветить дыр в безопасности, глядя глазами потенциального злоумышленника. Поэтому не стоит ожидать, что, если закрыть все обнаруженные на Pentest’e уязвимости можно спать спокойно. Если Вы выбрали профессию в сфере информационной безопасности, спокойно спать скорее всего не придется вообще, ибо хакеры не дремлют. Попасть под раздачу можно даже в том случае, если на первый взгляд предприятие не представляет особого интереса для злоумышленников. По нашему опыту ломают не тех кто ценен, а тех кого можно взломать, а бизнеса в котором вообще не секретов не бывает в природе.
Если Вы проводите тестирование из года в год, то не пора ли пересмотреть подход к нему. Возможно, обозначенные ранее модели нарушителя стали уже не актуальны для вашего бизнеса или появились новые. Меняется инфраструктура, меняются угрозы, меняются методы взлома. Современные рынок ИБ готов предложить не только классический Pentest, целью которого является проникновение во внутреннюю сеть и повышение в ней привилегий, но решение более точечных задач, которые стоят перед конкретным Заказчиком, начиная от анализа исходных кодов приложения на наличие в нем уязвимостей и заканчивая тренировкой отдела ИБ по отражению кибератак.
Юлия Воронова.
Руководитель отдела нормативного соответствия и аудита информационной безопасности. Ростелеком.
На текущий момент рынок Информационной Безопасности России и СНГ уже достаточно зрелый и услуги в сфере ИБ больше не являются привилегией крупного бизнеса. Все больше и больше различных предприятий задумываются о совей безопасности, и как водится для начала хотят получить ответ на вопрос «Можно ли нас взломать?», ответ на вопрос дает тестирование на проникновение. Поэтому многие заказывают услугу Pentest’а и потом не совсем понимают, а что, собственно, делать с этой кипой бумаги дальше. Поэтому для начала стоит осознать, что на завершении тестирования на проникновение все только начинается, и быть морально готовым к большой работе, чтобы деньги не были выброшены на ветер. Какие вопросы Заказчик данной услуге должен задать себе, а какие потенциальному исполнителю? «Зачем мне оно надо?»; «Что я хочу получить в результате?»; «Что мне с этим всем делать дальше?»; «Насколько исполнитель понимает мои задачи?».
Тестирование на проникновение не является аудитом, а является самостоятельным направлением в консалтинге ИБ, задача пентестеров подсветить дыр в безопасности, глядя глазами потенциального злоумышленника. Поэтому не стоит ожидать, что, если закрыть все обнаруженные на Pentest’e уязвимости можно спать спокойно. Если Вы выбрали профессию в сфере информационной безопасности, спокойно спать скорее всего не придется вообще, ибо хакеры не дремлют. Попасть под раздачу можно даже в том случае, если на первый взгляд предприятие не представляет особого интереса для злоумышленников. По нашему опыту ломают не тех кто ценен, а тех кого можно взломать, а бизнеса в котором вообще не секретов не бывает в природе.
Если Вы проводите тестирование из года в год, то не пора ли пересмотреть подход к нему. Возможно, обозначенные ранее модели нарушителя стали уже не актуальны для вашего бизнеса или появились новые. Меняется инфраструктура, меняются угрозы, меняются методы взлома. Современные рынок ИБ готов предложить не только классический Pentest, целью которого является проникновение во внутреннюю сеть и повышение в ней привилегий, но решение более точечных задач, которые стоят перед конкретным Заказчиком, начиная от анализа исходных кодов приложения на наличие в нем уязвимостей и заканчивая тренировкой отдела ИБ по отражению кибератак.
Просмотры
- 312 Всего просмотров
- 312 Просмотров Веб-сайта
Действия
- Social Shares
- 0 Лайки
- 0 Дизлайки
- 0 Комментарии
Поделиться счетчик
- 0 Facebook
- 0 Twitter
- 0 LinkedIn
- 0 Google+
-
Эффективный пентест или "Думай как хакер"
1322 Просмотры. -
-
Семиотика в информационной безопасности.
1225 Просмотры. -
10 новых приемов конкурентной разведки в цифровом мире
1217 Просмотры. -
One Identity. Опыт внедрения IDM-решений в СНГ
1160 Просмотры. -
-
-
Кейсы компьютерной криминалистики.
1047 Просмотры. -
История успеха с Fortinet: АО «Банк ЦентрКредит»
1029 Просмотры. -
Как защищать персональные данные в 2020 году: изменения и тренды
1010 Просмотры. -
Эксплуатация средств защиты в недоверенной среде.
983 Просмотры. -
История успеха АО «ЛОЭСК»
970 Просмотры. -
Построение "инхаус" SOC. Цели, этапы, ошибки
965 Просмотры. -
-
-
Буклет Fortinet
926 Просмотры. -
-
-
Web Aplication Firewall Penta Security
911 Просмотры. -
Профайлинг: от управления персоналом до ИБ-защиты.
901 Просмотры.