Наступательная безопасность: шпаргалка заказчика тестов на проникновение

Атакующий маркетинг:как заставить клиента заплатить за то,

что ему не нужно

Василий Пупкин

вице-президент по развитию бизнеса

ООО «Ройсь-копайсь»

Содержание

• Кто мы такие

• Страшилки-пугалки

• Какие мы умные и красивые

• Еще страшилки

• Как вы без нас раньше жили?

• Еще пугалки

• Деньги оставлять вот здесь

25.03.2015 Berezha Security 2

Наступательная безопасность:шпаргалка заказчика

тестов на проникновение

Владимир Стыран

директор по операциям

О чем поговорим

• Продукт

• Процесс

• Сложности

• Критерии отбора


ПродуктA penetration test, or the short form pentest, is an attack on a computer system with the intention of finding security weaknesses, potentially gaining access to it, its functionality and data.

-Wikipedia

Обычные характеристики

- Сроки

- Цель

- Модель угроз

- Доступность информации

www.spiguard.com


Процесс привычный

• RFI– Сбор информации о компетенциях участников рынка

• RFP– Формальный или не очень запрос предложений

• «Тендер», конкурс или редукцион– Широкое разнообразие видов хаотической

деятельности

• Проект– Консалтинговый проект со всеми характерными

горестями и невзгодами

• Follow-up– Опциональная проверка результатов исправления


Процесс грамотный

1. Осведомленность

– Домашняя работа заказчика

2. Исследование

– А вот теперь RFI

3. Обоснованный выбор

– RFP отобранным поставщикам

4. Покупка, повторная покупка, референс


О чем

• Продукт

• Процесс




Неосведомленность заказчика

http://insideops.com/rljacobs/trade-secrets-and-the-shift-to-transparency/


«Лимонный рынок» ИБ

• Условия:– Высокий и низкий уровень качества услуг

– Асимметричность информации

• Действия:– Продавцы «лимонов» завышают качество с

сохранением цены

– Продавцы «слив» не получают адекватную цену

• Итог:– Средняя цена на рынке стремится вниз

– Качество выравнивается по уровню цены


Непонимание целей и результатов

• Содержание отчета

– Резюме

– Ход тестирования

– Уязвимости

– Рекомендации

– Доказательства


Непонимание значений уровня риска


Некомпетентные исполнители




О чем

• Продукт

• Процесс




Критерии отбора


Критерии отбора

• Цена– Нередко решающий фактор

• Шаблоны– Зачастую их просто нет, из наличия – выбираем

• Методологии– Кто больше впишет в КП

• Инструменты– Кто больше, кто дороже

• Сертификаты– Без углубления в то, что они означают


Хорошие критерии отбора

• Цена

• Шаблон отчета

• Методологии

• Инструменты

• Сертификаты


Цена

• Cхема ценообразования

• Рейты специалистов

• «Коммерческая тайна»? Следующий!

• Есть ли «сезонная» скидка?


Цена

Открытое объявление бюджета

Бонусная система вознаграждения


Шаблоны

• Должны быть наготове

• EL || GTFO

• «Обезличивание» отчетов работает

• Структура и метод оценки риска в отчете

• NDA? Следующий!


Методологии


Методологии


• PTES

• OSSTMM

• OWASP

• NIST

• ISO

• ISACA

• PCI DSS

• DREAD

Инструменты


Инструменты

Free and Cheap

• BurpSuite

• SET

• NeXpose

• Metasploit

• Maltego

• Kali

• Acunetix

Pricy or Stolen

• CORE Impact

• Immunity Canvas

• Metasploit Pro


Сертификаты


Сертификаты

• Offensive Security

• SANS GIAC


• EC-Council CEH

• ISACA CISA

• (ISC)2 CISSP

Бинарный анализ рисков

• Инструмент нахождения консенсуса

• Отлично подходит для результатов пентестов

• Очень прост в применении

• Основан на известном проекте Binary Risk Assessment

• Доступен на украинском


Спасибо за внимание!

@berezhasecurity

[email protected]


https://twitter.com/berezhasecurity

https://berezhasecurity.com

Technology

Наступательная безопасность: шпаргалка заказчика тестов на проникновение