Upload
vlad-styran
View
1.623
Download
3
Embed Size (px)
Citation preview
Атакующий маркетинг:как заставить клиента заплатить за то,
что ему не нужно
Василий Пупкин
вице-президент по развитию бизнеса
ООО «Ройсь-копайсь»
Содержание
• Кто мы такие
• Страшилки-пугалки
• Какие мы умные и красивые
• Еще страшилки
• Как вы без нас раньше жили?
• Еще пугалки
• Деньги оставлять вот здесь
25.03.2015 Berezha Security 2
Наступательная безопасность:шпаргалка заказчика
тестов на проникновение
Владимир Стыран
директор по операциям
О чем поговорим
• Продукт
• Процесс
• Сложности
• Критерии отбора
25.03.2015 Berezha Security 4
ПродуктA penetration test, or the short form pentest, is an attack on a computer system with the intention of finding security weaknesses, potentially gaining access to it, its functionality and data.
-Wikipedia
Обычные характеристики
- Сроки
- Цель
- Модель угроз
- Доступность информации
www.spiguard.com
25.03.2015 Berezha Security 5
Процесс привычный
• RFI– Сбор информации о компетенциях участников рынка
• RFP– Формальный или не очень запрос предложений
• «Тендер», конкурс или редукцион– Широкое разнообразие видов хаотической
деятельности
• Проект– Консалтинговый проект со всеми характерными
горестями и невзгодами
• Follow-up– Опциональная проверка результатов исправления
25.03.2015 Berezha Security 6
Процесс грамотный
1. Осведомленность
– Домашняя работа заказчика
2. Исследование
– А вот теперь RFI
3. Обоснованный выбор
– RFP отобранным поставщикам
4. Покупка, повторная покупка, референс
25.03.2015 Berezha Security 7
О чем
• Продукт
• Процесс
• Сложности
• Критерии отбора
25.03.2015 Berezha Security 8
Неосведомленность заказчика
http://insideops.com/rljacobs/trade-secrets-and-the-shift-to-transparency/
25.03.2015 Berezha Security 9
«Лимонный рынок» ИБ
• Условия:– Высокий и низкий уровень качества услуг
– Асимметричность информации
• Действия:– Продавцы «лимонов» завышают качество с
сохранением цены
– Продавцы «слив» не получают адекватную цену
• Итог:– Средняя цена на рынке стремится вниз
– Качество выравнивается по уровню цены
25.03.2015 Berezha Security 10
Непонимание целей и результатов
• Содержание отчета
– Резюме
– Ход тестирования
– Уязвимости
– Рекомендации
– Доказательства
25.03.2015 Berezha Security 11
Непонимание значений уровня риска
25.03.2015 Berezha Security 12
Некомпетентные исполнители
25.03.2015 Berezha Security 13
25.03.2015 Berezha Security 14
25.03.2015 Berezha Security 15
О чем
• Продукт
• Процесс
• Сложности
• Критерии отбора
25.03.2015 Berezha Security 16
Критерии отбора
25.03.2015 Berezha Security 17
Критерии отбора
• Цена– Нередко решающий фактор
• Шаблоны– Зачастую их просто нет, из наличия – выбираем
• Методологии– Кто больше впишет в КП
• Инструменты– Кто больше, кто дороже
• Сертификаты– Без углубления в то, что они означают
25.03.2015 Berezha Security 18
Хорошие критерии отбора
• Цена
• Шаблон отчета
• Методологии
• Инструменты
• Сертификаты
25.03.2015 Berezha Security 19
Цена
• Cхема ценообразования
• Рейты специалистов
• «Коммерческая тайна»? Следующий!
• Есть ли «сезонная» скидка?
25.03.2015 Berezha Security 20
Цена
Открытое объявление бюджета
Бонусная система вознаграждения
25.03.2015 Berezha Security 21
Шаблоны
• Должны быть наготове
• EL || GTFO
• «Обезличивание» отчетов работает
• Структура и метод оценки риска в отчете
• NDA? Следующий!
25.03.2015 Berezha Security 22
Методологии
25.03.2015 Berezha Security 23
Методологии
25.03.2015 Berezha Security 24
• PTES
• OSSTMM
• OWASP
• NIST
• ISO
• ISACA
• PCI DSS
• DREAD
Инструменты
25.03.2015 Berezha Security 25
Инструменты
Free and Cheap
• BurpSuite
• SET
• NeXpose
• Metasploit
• Maltego
• Kali
• Acunetix
Pricy or Stolen
• CORE Impact
• Immunity Canvas
• Metasploit Pro
25.03.2015 Berezha Security 26
Сертификаты
25.03.2015 Berezha Security 27
Сертификаты
• Offensive Security
• SANS GIAC
25.03.2015 Berezha Security 28
• EC-Council CEH
• ISACA CISA
• (ISC)2 CISSP
Бинарный анализ рисков
• Инструмент нахождения консенсуса
• Отлично подходит для результатов пентестов
• Очень прост в применении
• Основан на известном проекте Binary Risk Assessment
• Доступен на украинском
25.03.2015 Berezha Security 29
Спасибо за внимание!
@berezhasecurity
25.03.2015 Berezha Security 30