УЦСБ. Вячеслав Москвин. "Практический опыт...

г. Екатеринбург6 октября 2016#CODEIB

ПРАКТИЧЕСКИЙ ОПЫТ ТЕСТИРОВАНИЯ НА ПРОНИКНОВЕНИЕ

ВЯЧЕСЛАВ МОСКВИНПЕНТЕСТЕРУЦСБ

EMAIL vmoskvin@ussc.ru

Особенности

• имитация действий реального злоумышленника

• в контролируемых условиях

• демонстрация наиболее серьезных проблем (но охват всех границ работ)

• не только уязвимости, но и рекомендации

Пример

> 250 IP-адресов

Распределенная ИТ-инфраструктура

Разведка

ЗаказчикЗаказчик

СайтыСайты

FTPFTP

ИнтернетИнтернет Внутренняя сетьВнутренняя сетьВнешний периметрВнешний периметр

ЗаказчикЗаказчик

СайтыСайты

FTPFTP

Электронный архив

Разведка

Поиск уязвимостей

ПодборпаролейПодборпаролей

‘ OR ‘1’=‘1admin:admin

Пароли по умолчанию

Не отслеживаются события входа администратора

Выполнениекоманд ОС

Не отслеживаются события

У приложения права локальной системы

Выполнениекоманд ОС

ShellShell

Пароль администратора

Проблемы МЭ

Небезопасные настройки ОС

Внутренняя сеть

Пароль администратора

Реверс-прокси

Контроллер AD

Возможен подбор паролей

Не отслеживаются события

Слабое разграничение ДМЗ

Внутренняя сеть

ion: B

Большая картина

• проблемы в процессах• проблемы в подходе к

организации сетевой безопасности

• отсутствует выявление инцидентов

СПАСИБО ЗА ВНИМАНИЕ!

ВЯЧЕСЛАВ МОСКВИНПЕНТЕСТЕРУЦСБ

EMAIL vmoskvin@ussc.ru

pentest@ussc.ru

УЦСБ. Вячеслав Москвин. "Практический опыт...

Software

Тестирование на проникновение в сетях Microsoft

Дащенко Владимир (УЦСБ) - Практический опыт проведения тестирований на проникновение

Особенности проведения тестов на проникновение в организациях банковской сферы

Фидан Мифтахов (УЦСБ) - Подход к созданию системы мобильного и удаленного доступа

этичный хакинг и тестирование на проникновение (Publ)

ИКТ - ITU · 2013-12-03 · В период между 2009 и 2013 годом проникновение интернета в домашних хозяйствах росло

Москвин Виктор Геннадьевич

PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Тестировани е на проникновение в сетях Microsoft

Илья Яблонко (УЦСБ) - Решение актуальных задач по обеспечению ИБ с использованием унифицированной

Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений это как мыть руки перед едой

УЦСБ. Ольга Зиненко. "Исследования ИБ web-ресурсов банков г. Екатеринбурга "

Компонентный веб. Проникновение в дизайн / Антон Виноградов (АО "Альфа-Банк", Альфа-Лаборатория)

finansuri riskebi da maTi marTvis meTodebidspace.nplg.gov.ge/bitstream/1234/10525/1/Safinanso_ Riskebi.pdf · wignSi Москвин В.А. saxelmZRaveneloze Управление рисками

Юнусов Тимур «Особенности проведения социотехнического тестирования на проникновение»

Гистология. In vivo.Гистология. In vivo. Эндомикроскопия. Глубокое проникновение в клеточную структуру слизистой

Тестирование на проникновение в сетях Microsoft (v.2)

Пост-эксплуатация веб-приложений в тестах на проникновение

6vol new3 TMP compressed · 2009. 9. 27. · лобных отделов мозга (Москвин, 2002), отвечающих за регулятивные процессы (Лурия,

тест на проникновение