Как получать качественный анализ защищенности?

Основатель Deteact. Специалист по безопасности приложений и тестированию на проникновение. 

Спикер различных конференций (PHDays, ZeroNights, OWASP и т. д.), победитель многих соревнований (в CTF-командах LC↯BC, RDot.Org и индивидуально).

Основал компанию Deteact для разработки продуктов и оказания услуг по ИБ. Преподает практическую безопасность в РТУ МИРЭА.

Рынок пентестов достаточно фрагментирован и при этом не слишком прозрачен с финансовой и технической точек зрения. За одним и тем же названием и даже ТЗ могут скрываться разные услуги как по составу, так и по качеству. 

Для того, чтобы получить максимально качественную услугу анализа защищённости или тестирования на проникновение, необходимо понимать различные нюансы проведения таких работ, критерии оценки качества, разновидности услуг. Без понимания методологии проведения работ отчёт будет малоинформативен, даже если пентестеры обнаружили уязвимости. 

В ходе мастер-класса обсудим эти и другие проблемы и подходы к их решению.

Анализ защищенности

• Как сформулировать вводные данные?
• Какие могут быть цели анализа?
• Чем пентест отличается от анализа защищённости?
• Как отследить методологию работ и покрытие?
• Почему нашлись не все уязвимости?
• Как заранее оценить компетентность исполнителя?
• Что искать в ТЗ?
• Что искать в отчёте?

Область исследования

• Приложение
• Сервис
• Сеть
• Сотрудники
• Компания

Цели тестирования

• Пробив
• Вширь
• Редтиминг

Ограничения

• DoS
• IP-адреса
• Атаки

Контроль исполнителя на этапе выбора и проведения работ

• Команда
• Посредники
• Сертификаты
• Поиск уязвимостей
• Понимание бизнеса
• Знание технологий
• Инструменты
• Чеклисты
• Этапы

Отчет на выходе

• Вода
• Понятность
• Реагирование

Процессы

• Регресс
• DevSecOps
• Red Team