SlideShare ist ein Scribd-Unternehmen logo

#root это только начало

Vlad Styran
Vlad Styran

Презентация на Cisco ERC Security Day 2015

Technologie
1 von 28
Downloaden Sie, um offline zu lesen
#root это только начало Владимир Стыран
почему я? • Специалист по ИБ с 2005 г. • Работодатели: • интеграторы, телеком операторы, финансовые услуги, ИТ-компании • Клиенты: • банки, страховые, телеком, нефте- и газодобыча, промышленность • Руковожу практикой Application Security в крупной ИТ-компании • Являюсь сооснователем Berezha Security – поставщика качественных и доступных пентест-услуг
почему я? “Доктор, я очень хочу root-а.”
что происходит?
у всех проблемы сложности!
сложности клиента
сложности клиента • Более 2/3 взломов выявляются спустя 9+ мес. от компрометации • В 96% случаев жертва узнает о взломе “со стороны” • Объективно оценить защищенность собственными силами невозможно • Выбрать качественного поставщика очень непросто • И еще тысяча и одна сложность
сложности рынка • Дефицит информации о потребностях клиента • аналитика – прогнозирование тенденций на основе истории • показания клиента – часто не имеют отношения к реальности • вендоры ПО и услуг – редко объективны • Итого: пилоты, “тестирования”, консультации и т.д., и после этого…
сложности пентестера
сложности пентестера • Скоуп пентеста зачастую не отражает реальные потребности клиента • Большинство пентестов “умирают” сразу после завершения • Системные уязвимости не исправляются. Никогда. • Мы не можем исправлять собственные находки
почему пентесты? • Пентест – самый эффективный способ проверить уровень защищенности системы, приложения или организации • быстрый – несколько недель • недорогой – масштабируется по скоупу • продуктивный – actionable результат • После завершения пентеста аргументы в пользу выбора средств защиты становятся очевидны… ну почти
хороший пентест • Не-бинарный результат • Дает достаточно информации о рисках • Дает достаточно информации о защите • Нацелен на результат… в хорошем смысле
как это происходило?
как это происходит сейчас?
как это происходит? • Целью пентеста является выявление возможности нарушения или обхода политики ИБ с высокой вероятностью • наличие уязвимости • отсутствие или слабость контроля (средства защиты) • простота эксплуатации • доступность бюджета/средств для атаки
как это происходит?
как пентест поможет поставщику? • Выявление реальных потребностей и ожиданий клиента • Демонстрация эффективности средств защиты в ходе пилота/ демо тестирования • Возможность проверки средств защиты после внедрения • Маркетинговый потенциал
выявление потребностей • Качественный отчет о пентесте содержит • Общее заключение • Обобщенные результаты • Системные рекомендации • Описание уязвимостей • Подробные рекомендации
выявление потребностей • Качественный отчет о пентесте содержит • Общее заключение • Обобщенные результаты • Описание успешных атак • Системные рекомендации • Описание уязвимостей • Подробные рекомендации
перед внедрением и после • Ручные или автоматические атаки на средство защиты для визуализации состояний “до” и “после” с внятной статистикой • Привлечение “независимых экспертов” для проверки и подтверждения эффективности внедренного контроля • Генерация ответов на вопросы клиента типа “а что если…”
маркетинговый потенциал
“классический” подход Клиент Поставщик Домашняя работа Пресейл, маркетинг RFI Индикативное предложение RFP Коммерческое предложение Тестирование Пилот
“классический” подход Клиент Поставщик Тендер Боль “Отжим” скидки Боль Согласование с юристами Боль Внедрение Боль Поддержка Боль
давайте по-другому!
(pen)test-driven подход 1. Отчет о пентесте, оценка качества 2. Нет отчета? Давайте сделаем! 3. Дополнительные вводные • регуляторный режим • миссия, визия, ценности • внутренние требования • удобство, удобство, удобство 4. КП? С гарантией защиты стресс-тестированием 5. Пилот? С симуляцией действий атакующего 6. Высокая цена? Прямая демонстрация качества
примеры? • Симуляция уже известного инцидента, произошедшего в прошлом • Выявление инцидента “in action” в ходе пентеста • Выбор и демонстрация SIEM для визуализации методов раннего обнаружения • Клиент-сайд атака на теле-сотрудника • Демонстрация средств NAC для исключения слабого звена до достижения нужного уровня защищенности • DDoS-диверсия во время более серьезной атаки • Интеграция Cyber Threat Defence, SIEM/SOC и средств защиты от DDoS для выявления аномального поведения
что дальше?
спасибо за внимание! • sapran@berezhasecurity.com • twitter.com/saprand • securegalaxy.blogspot.com

Empfohlen

Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеНаступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеVlad Styran
 
Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Vlad Styran
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Alexey Kachalin
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 

Empfohlen

Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеНаступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеVlad Styran
 
Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Vlad Styran
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Alexey Kachalin
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими рукамиSergey Soldatov
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Expolink
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложенийAlexander Kolybelnikov
 
Целевое управление доступом в сети. Техническое решение для финансовых органи...
Целевое управление доступом в сети. Техническое решение для финансовых органи...Целевое управление доступом в сети. Техническое решение для финансовых органи...
Целевое управление доступом в сети. Техническое решение для финансовых органи...SelectedPresentations
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'Positive Hack Days
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)Positive Hack Days
 
Internal Security (Introduction Course)
Internal Security (Introduction Course)Internal Security (Introduction Course)
Internal Security (Introduction Course)Dmitry Harchenko
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
Pentest requirements
Pentest requirementsPentest requirements
Pentest requirementsGlib Pakharenko
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...
InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...
InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...Expolink
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
Infosecurity management in the Enterprise
Infosecurity management in the EnterpriseInfosecurity management in the Enterprise
Infosecurity management in the EnterpriseSergey Soldatov
 
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерияAlex Babenko
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
Семь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяемСемь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяемSelectedPresentations
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиавтоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиOlesya Shelestova
 
Социальные аспекты ИБ
Социальные аспекты ИБСоциальные аспекты ИБ
Социальные аспекты ИБVlad Styran
 

Weitere ähnliche Inhalte

Was ist angesagt?

Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими рукамиSergey Soldatov
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Expolink
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложенийAlexander Kolybelnikov
 
Целевое управление доступом в сети. Техническое решение для финансовых органи...
Целевое управление доступом в сети. Техническое решение для финансовых органи...Целевое управление доступом в сети. Техническое решение для финансовых органи...
Целевое управление доступом в сети. Техническое решение для финансовых органи...SelectedPresentations
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'Positive Hack Days
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)Positive Hack Days
 
Internal Security (Introduction Course)
Internal Security (Introduction Course)Internal Security (Introduction Course)
Internal Security (Introduction Course)Dmitry Harchenko
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...
InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...
InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...Expolink
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
Infosecurity management in the Enterprise
Infosecurity management in the EnterpriseInfosecurity management in the Enterprise
Infosecurity management in the EnterpriseSergey Soldatov
 
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерияAlex Babenko
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
Семь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяемСемь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяемSelectedPresentations
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 

Was ist angesagt? (20)

Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасности
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими руками
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложений
 
Целевое управление доступом в сети. Техническое решение для финансовых органи...
Целевое управление доступом в сети. Техническое решение для финансовых органи...Целевое управление доступом в сети. Техническое решение для финансовых органи...
Целевое управление доступом в сети. Техническое решение для финансовых органи...
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)
 
Internal Security (Introduction Course)
Internal Security (Introduction Course)Internal Security (Introduction Course)
Internal Security (Introduction Course)
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSS
 
Pentest requirements
Pentest requirementsPentest requirements
Pentest requirements
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
 
InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...
InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...
InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 
Infosecurity management in the Enterprise
Infosecurity management in the EnterpriseInfosecurity management in the Enterprise
Infosecurity management in the Enterprise
 
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерия
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.
 
Семь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяемСемь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяем
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 

Andere mochten auch

автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиавтоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиOlesya Shelestova
 
Социальные аспекты ИБ
Социальные аспекты ИБСоциальные аспекты ИБ
Социальные аспекты ИБVlad Styran
 
Путевые заметки социального инженера
Путевые заметки социального инженераПутевые заметки социального инженера
Путевые заметки социального инженераVlad Styran
 
правда про ложь
правда про ложьправда про ложь
правда про ложьVlad Styran
 
Социальная инженерия для инженеров
Социальная инженерия для инженеровСоциальная инженерия для инженеров
Социальная инженерия для инженеровVlad Styran
 
Прелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINTПрелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINTVlad Styran
 
Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016Vlad Styran
 
Дмитрий Момот - Современные способы атак на сотовые сети, их последствия и пр...
Дмитрий Момот - Современные способы атак на сотовые сети, их последствия и пр...Дмитрий Момот - Современные способы атак на сотовые сети, их последствия и пр...
Дмитрий Момот - Современные способы атак на сотовые сети, их последствия и пр...HackIT Ukraine
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниVlad Styran
 
Next generation pentest your company cannot buy
Next generation pentest your company cannot buyNext generation pentest your company cannot buy
Next generation pentest your company cannot buyVlad Styran
 
Кібер-Шмібер
Кібер-ШміберКібер-Шмібер
Кібер-ШміберVlad Styran
 
Alexey Sintsov - Where do the money lie
Alexey Sintsov - Where do the money lieAlexey Sintsov - Where do the money lie
Alexey Sintsov - Where do the money lieDefconRussia
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
Mobile Device Security
Mobile Device SecurityMobile Device Security
Mobile Device Securityqqlan
 
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процессCodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процессCodeFest
 
Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?beched
 
Kaspersky SAS SCADA in the Cloud
Kaspersky SAS SCADA in the CloudKaspersky SAS SCADA in the Cloud
Kaspersky SAS SCADA in the Cloudqqlan
 
Database honeypot by design
Database honeypot by designDatabase honeypot by design
Database honeypot by designqqlan
 
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"Defcon Moscow
 

Andere mochten auch (20)

автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиавтоматизируем пентест Wifi сети
автоматизируем пентест Wifi сети
 
Социальные аспекты ИБ
Социальные аспекты ИБСоциальные аспекты ИБ
Социальные аспекты ИБ
 
Путевые заметки социального инженера
Путевые заметки социального инженераПутевые заметки социального инженера
Путевые заметки социального инженера
 
правда про ложь
правда про ложьправда про ложь
правда про ложь
 
Социальная инженерия для инженеров
Социальная инженерия для инженеровСоциальная инженерия для инженеров
Социальная инженерия для инженеров
 
Прелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINTПрелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINT
 
Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016
 
Дмитрий Момот - Современные способы атак на сотовые сети, их последствия и пр...
Дмитрий Момот - Современные способы атак на сотовые сети, их последствия и пр...Дмитрий Момот - Современные способы атак на сотовые сети, их последствия и пр...
Дмитрий Момот - Современные способы атак на сотовые сети, их последствия и пр...
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
 
Next generation pentest your company cannot buy
Next generation pentest your company cannot buyNext generation pentest your company cannot buy
Next generation pentest your company cannot buy
 
Кібер-Шмібер
Кібер-ШміберКібер-Шмібер
Кібер-Шмібер
 
Alexey Sintsov - Where do the money lie
Alexey Sintsov - Where do the money lieAlexey Sintsov - Where do the money lie
Alexey Sintsov - Where do the money lie
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
 
Mobile Device Security
Mobile Device SecurityMobile Device Security
Mobile Device Security
 
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процессCodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
 
Avoid the Hack
Avoid the HackAvoid the Hack
Avoid the Hack
 
Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?
 
Kaspersky SAS SCADA in the Cloud
Kaspersky SAS SCADA in the CloudKaspersky SAS SCADA in the Cloud
Kaspersky SAS SCADA in the Cloud
 
Database honeypot by design
Database honeypot by designDatabase honeypot by design
Database honeypot by design
 
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
 

Ähnlich wie #root это только начало

Три кита в обслуживании телекоммуникационных систем
Три кита в обслуживании телекоммуникационных системТри кита в обслуживании телекоммуникационных систем
Три кита в обслуживании телекоммуникационных системКРОК
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Alexey Kachalin
 
Опыт совместной работы хостера (Webzilla) и клиента (CityADS) над достижением...
Опыт совместной работы хостера (Webzilla) и клиента (CityADS) над достижением...Опыт совместной работы хостера (Webzilla) и клиента (CityADS) над достижением...
Опыт совместной работы хостера (Webzilla) и клиента (CityADS) над достижением...Ontico
 
на пути к 100% аптайму - доклад с HighLoad 2015 совместно с Станиславом Осип...
на пути к 100% аптайму - доклад с HighLoad 2015 совместно с Станиславом Осип...на пути к 100% аптайму - доклад с HighLoad 2015 совместно с Станиславом Осип...
на пути к 100% аптайму - доклад с HighLoad 2015 совместно с Станиславом Осип...Игорь Мызгин
 
Суперпредложение по украинскому рынку охранных услуг и безопасности
Суперпредложение по украинскому рынку охранных услуг и безопасностиСуперпредложение по украинскому рынку охранных услуг и безопасности
Суперпредложение по украинскому рынку охранных услуг и безопасностиAgency of Industrial Marketing
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьVsevolod Shabad
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаAleksey Lukatskiy
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаInfoWatch
 
Clouds NN 2012 Антон Коробейников Nvision Group
Clouds NN 2012 Антон Коробейников Nvision GroupClouds NN 2012 Антон Коробейников Nvision Group
Clouds NN 2012 Антон Коробейников Nvision GroupClouds NN
 
Ставим инновации на поток: Positive Technologies с решением PT Application Fi...
Ставим инновации на поток: Positive Technologies с решением PT Application Fi...Ставим инновации на поток: Positive Technologies с решением PT Application Fi...
Ставим инновации на поток: Positive Technologies с решением PT Application Fi...Vsevolod Petrov
 
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...Kirill Rubinshteyn
 
Cisco Services: новый взгляд, веяния, тенденции
Cisco Services: новый взгляд, веяния, тенденцииCisco Services: новый взгляд, веяния, тенденции
Cisco Services: новый взгляд, веяния, тенденцииCisco Russia
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Рекомендации по подбору подрядчиков обслуживания ИТ услуг
Рекомендации по подбору подрядчиков обслуживания ИТ услугРекомендации по подбору подрядчиков обслуживания ИТ услуг
Рекомендации по подбору подрядчиков обслуживания ИТ услугDanil Dintsis, Ph. D., PgMP
 

Ähnlich wie #root это только начало (20)

Три кита в обслуживании телекоммуникационных систем
Три кита в обслуживании телекоммуникационных системТри кита в обслуживании телекоммуникационных систем
Три кита в обслуживании телекоммуникационных систем
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
 
Опыт совместной работы хостера (Webzilla) и клиента (CityADS) над достижением...
Опыт совместной работы хостера (Webzilla) и клиента (CityADS) над достижением...Опыт совместной работы хостера (Webzilla) и клиента (CityADS) над достижением...
Опыт совместной работы хостера (Webzilla) и клиента (CityADS) над достижением...
 
на пути к 100% аптайму - доклад с HighLoad 2015 совместно с Станиславом Осип...
на пути к 100% аптайму - доклад с HighLoad 2015 совместно с Станиславом Осип...на пути к 100% аптайму - доклад с HighLoad 2015 совместно с Станиславом Осип...
на пути к 100% аптайму - доклад с HighLoad 2015 совместно с Станиславом Осип...
 
Суперпредложение по украинскому рынку охранных услуг и безопасности
Суперпредложение по украинскому рынку охранных услуг и безопасностиСуперпредложение по украинскому рынку охранных услуг и безопасности
Суперпредложение по украинскому рынку охранных услуг и безопасности
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банка
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до ума
 
Clouds NN 2012 Антон Коробейников Nvision Group
Clouds NN 2012 Антон Коробейников Nvision GroupClouds NN 2012 Антон Коробейников Nvision Group
Clouds NN 2012 Антон Коробейников Nvision Group
 
Ставим инновации на поток: Positive Technologies с решением PT Application Fi...
Ставим инновации на поток: Positive Technologies с решением PT Application Fi...Ставим инновации на поток: Positive Technologies с решением PT Application Fi...
Ставим инновации на поток: Positive Technologies с решением PT Application Fi...
 
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
 
Cisco Services: новый взгляд, веяния, тенденции
Cisco Services: новый взгляд, веяния, тенденцииCisco Services: новый взгляд, веяния, тенденции
Cisco Services: новый взгляд, веяния, тенденции
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Zhelnova
ZhelnovaZhelnova
Zhelnova
 
лаф2013
лаф2013лаф2013
лаф2013
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистов
 
Рекомендации по подбору подрядчиков обслуживания ИТ услуг
Рекомендации по подбору подрядчиков обслуживания ИТ услугРекомендации по подбору подрядчиков обслуживания ИТ услуг
Рекомендации по подбору подрядчиков обслуживания ИТ услуг
 

Mehr von Vlad Styran

В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...Vlad Styran
 
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...Vlad Styran
 
The sooner the better but never too late
The sooner the better but never too lateThe sooner the better but never too late
The sooner the better but never too lateVlad Styran
 
Threat Modeling 101
Threat Modeling 101Threat Modeling 101
Threat Modeling 101Vlad Styran
 
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...Vlad Styran
 
Application Security Webcast
Application Security WebcastApplication Security Webcast
Application Security WebcastVlad Styran
 
Sigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software SecuritySigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software SecurityVlad Styran
 
NoNameCon partnership opportunities
NoNameCon partnership opportunitiesNoNameCon partnership opportunities
NoNameCon partnership opportunitiesVlad Styran
 
BruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't SuckBruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't SuckVlad Styran
 
Организация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностьюОрганизация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностьюVlad Styran
 
Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UAVlad Styran
 
Fantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from themFantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from themVlad Styran
 
Berezha Security
Berezha SecurityBerezha Security
Berezha SecurityVlad Styran
 
Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...Vlad Styran
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюVlad Styran
 

Mehr von Vlad Styran (15)

В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
 
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
 
The sooner the better but never too late
The sooner the better but never too lateThe sooner the better but never too late
The sooner the better but never too late
 
Threat Modeling 101
Threat Modeling 101Threat Modeling 101
Threat Modeling 101
 
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
 
Application Security Webcast
Application Security WebcastApplication Security Webcast
Application Security Webcast
 
Sigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software SecuritySigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software Security
 
NoNameCon partnership opportunities
NoNameCon partnership opportunitiesNoNameCon partnership opportunities
NoNameCon partnership opportunities
 
BruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't SuckBruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't Suck
 
Организация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностьюОрганизация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностью
 
Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UA
 
Fantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from themFantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from them
 
Berezha Security
Berezha SecurityBerezha Security
Berezha Security
 
Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностью
 

#root это только начало

  • 2. почему я? • Специалист по ИБ с 2005 г. • Работодатели: • интеграторы, телеком операторы, финансовые услуги, ИТ-компании • Клиенты: • банки, страховые, телеком, нефте- и газодобыча, промышленность • Руковожу практикой Application Security в крупной ИТ-компании • Являюсь сооснователем Berezha Security – поставщика качественных и доступных пентест-услуг
  • 3. почему я? “Доктор, я очень хочу root-а.”
  • 7. сложности клиента • Более 2/3 взломов выявляются спустя 9+ мес. от компрометации • В 96% случаев жертва узнает о взломе “со стороны” • Объективно оценить защищенность собственными силами невозможно • Выбрать качественного поставщика очень непросто • И еще тысяча и одна сложность
  • 8. сложности рынка • Дефицит информации о потребностях клиента • аналитика – прогнозирование тенденций на основе истории • показания клиента – часто не имеют отношения к реальности • вендоры ПО и услуг – редко объективны • Итого: пилоты, “тестирования”, консультации и т.д., и после этого…
  • 10. сложности пентестера • Скоуп пентеста зачастую не отражает реальные потребности клиента • Большинство пентестов “умирают” сразу после завершения • Системные уязвимости не исправляются. Никогда. • Мы не можем исправлять собственные находки
  • 11. почему пентесты? • Пентест – самый эффективный способ проверить уровень защищенности системы, приложения или организации • быстрый – несколько недель • недорогой – масштабируется по скоупу • продуктивный – actionable результат • После завершения пентеста аргументы в пользу выбора средств защиты становятся очевидны… ну почти
  • 12. хороший пентест • Не-бинарный результат • Дает достаточно информации о рисках • Дает достаточно информации о защите • Нацелен на результат… в хорошем смысле
  • 15. как это происходит? • Целью пентеста является выявление возможности нарушения или обхода политики ИБ с высокой вероятностью • наличие уязвимости • отсутствие или слабость контроля (средства защиты) • простота эксплуатации • доступность бюджета/средств для атаки
  • 17. как пентест поможет поставщику? • Выявление реальных потребностей и ожиданий клиента • Демонстрация эффективности средств защиты в ходе пилота/ демо тестирования • Возможность проверки средств защиты после внедрения • Маркетинговый потенциал
  • 18. выявление потребностей • Качественный отчет о пентесте содержит • Общее заключение • Обобщенные результаты • Системные рекомендации • Описание уязвимостей • Подробные рекомендации
  • 19. выявление потребностей • Качественный отчет о пентесте содержит • Общее заключение • Обобщенные результаты • Описание успешных атак • Системные рекомендации • Описание уязвимостей • Подробные рекомендации
  • 20. перед внедрением и после • Ручные или автоматические атаки на средство защиты для визуализации состояний “до” и “после” с внятной статистикой • Привлечение “независимых экспертов” для проверки и подтверждения эффективности внедренного контроля • Генерация ответов на вопросы клиента типа “а что если…”
  • 22. “классический” подход Клиент Поставщик Домашняя работа Пресейл, маркетинг RFI Индикативное предложение RFP Коммерческое предложение Тестирование Пилот
  • 23. “классический” подход Клиент Поставщик Тендер Боль “Отжим” скидки Боль Согласование с юристами Боль Внедрение Боль Поддержка Боль
  • 25. (pen)test-driven подход 1. Отчет о пентесте, оценка качества 2. Нет отчета? Давайте сделаем! 3. Дополнительные вводные • регуляторный режим • миссия, визия, ценности • внутренние требования • удобство, удобство, удобство 4. КП? С гарантией защиты стресс-тестированием 5. Пилот? С симуляцией действий атакующего 6. Высокая цена? Прямая демонстрация качества
  • 26. примеры? • Симуляция уже известного инцидента, произошедшего в прошлом • Выявление инцидента “in action” в ходе пентеста • Выбор и демонстрация SIEM для визуализации методов раннего обнаружения • Клиент-сайд атака на теле-сотрудника • Демонстрация средств NAC для исключения слабого звена до достижения нужного уровня защищенности • DDoS-диверсия во время более серьезной атаки • Интеграция Cyber Threat Defence, SIEM/SOC и средств защиты от DDoS для выявления аномального поведения
  • 28. спасибо за внимание! • sapran@berezhasecurity.com • twitter.com/saprand • securegalaxy.blogspot.com