28
#root это только начало Владимир Стыран

#root это только начало

Embed Size (px)

Citation preview

Page 1: #root это только начало

#root это только начало

Владимир Стыран

Page 2: #root это только начало

почему я?• Специалист по ИБ с 2005 г.

• Работодатели:

• интеграторы, телеком операторы, финансовые услуги, ИТ-компании

• Клиенты:

• банки, страховые, телеком, нефте- и газодобыча, промышленность

• Руковожу практикой Application Security в крупной ИТ-компании

• Являюсь сооснователем Berezha Security – поставщика качественных и доступных пентест-услуг

Page 3: #root это только начало

почему я?“Доктор, я очень хочу root-а.”

Page 4: #root это только начало

что происходит?

Page 5: #root это только начало

у всех проблемы сложности!

Page 6: #root это только начало

сложности клиента

Page 7: #root это только начало

сложности клиента• Более 2/3 взломов выявляются спустя

9+ мес. от компрометации

• В 96% случаев жертва узнает о взломе “со стороны”

• Объективно оценить защищенность собственными силами невозможно

• Выбрать качественного поставщика очень непросто

• И еще тысяча и одна сложность

Page 8: #root это только начало

сложности рынка• Дефицит информации о потребностях клиента

• аналитика – прогнозирование тенденций на основе истории

• показания клиента – часто не имеют отношения к реальности

• вендоры ПО и услуг – редко объективны

• Итого: пилоты, “тестирования”, консультации и т.д., и после этого…

Page 9: #root это только начало

сложности пентестера

Page 10: #root это только начало

сложности пентестера• Скоуп пентеста зачастую не отражает реальные потребности клиента

• Большинство пентестов “умирают” сразу после завершения

• Системные уязвимости не исправляются. Никогда.

• Мы не можем исправлять собственные находки

Page 11: #root это только начало

почему пентесты?• Пентест – самый эффективный способ проверить уровень защищенности системы, приложения или организации

• быстрый – несколько недель

• недорогой – масштабируется по скоупу

• продуктивный – actionable результат

• После завершения пентеста аргументы в пользу выбора средств защиты становятся очевидны… ну почти

Page 12: #root это только начало

хороший пентест• Не-бинарный результат

• Дает достаточно информации о рисках

• Дает достаточно информации о защите

• Нацелен на результат… в хорошем смысле

Page 13: #root это только начало

как это происходило?

Page 14: #root это только начало

как это происходит сейчас?

Page 15: #root это только начало

как это происходит?• Целью пентеста является выявление возможности нарушения или обхода политики ИБ с высокой вероятностью

• наличие уязвимости

• отсутствие или слабость контроля (средства защиты)

• простота эксплуатации

• доступность бюджета/средств для атаки

Page 16: #root это только начало

как это происходит?

Page 17: #root это только начало

как пентест поможет поставщику?

• Выявление реальных потребностей и ожиданий клиента

• Демонстрация эффективности средств защиты в ходе пилота/демо тестирования

• Возможность проверки средств защиты после внедрения

• Маркетинговый потенциал

Page 18: #root это только начало

выявление потребностей• Качественный отчет о пентесте содержит

• Общее заключение

• Обобщенные результаты

• Системные рекомендации

• Описание уязвимостей

• Подробные рекомендации

Page 19: #root это только начало

выявление потребностей• Качественный отчет о пентесте содержит

• Общее заключение

• Обобщенные результаты

• Описание успешных атак

• Системные рекомендации

• Описание уязвимостей

• Подробные рекомендации

Page 20: #root это только начало

перед внедрением и после• Ручные или автоматические атаки на средство защиты для визуализации состояний “до” и “после” с внятной статистикой

• Привлечение “независимых экспертов” для проверки и подтверждения эффективности внедренного контроля

• Генерация ответов на вопросы клиента типа “а что если…”

Page 21: #root это только начало

маркетинговый потенциал

Page 22: #root это только начало

“классический” подходКлиент Поставщик

Домашняя работа Пресейл, маркетинг

RFI Индикативное предложение

RFP Коммерческое предложение

Тестирование Пилот

Page 23: #root это только начало

“классический” подходКлиент Поставщик

Тендер Боль

“Отжим” скидки Боль

Согласование с юристами Боль

Внедрение Боль

Поддержка Боль

Page 24: #root это только начало

давайте по-другому!

Page 25: #root это только начало

(pen)test-driven подход1. Отчет о пентесте, оценка качества

2. Нет отчета? Давайте сделаем!

3. Дополнительные вводные

• регуляторный режим

• миссия, визия, ценности

• внутренние требования

• удобство, удобство, удобство

4. КП? С гарантией защиты стресс-тестированием

5. Пилот? С симуляцией действий атакующего

6. Высокая цена? Прямая демонстрация качества

Page 26: #root это только начало

примеры?• Симуляция уже известного инцидента, произошедшего в прошлом

• Выявление инцидента “in action” в ходе пентеста

• Выбор и демонстрация SIEM для визуализации методов раннего обнаружения

• Клиент-сайд атака на теле-сотрудника

• Демонстрация средств NAC для исключения слабого звена до достижения нужного уровня защищенности

• DDoS-диверсия во время более серьезной атаки

• Интеграция Cyber Threat Defence, SIEM/SOC и средств защиты от DDoS для выявления аномального поведения

Page 27: #root это только начало

что дальше?

Page 28: #root это только начало

спасибо за внимание!

[email protected]

• twitter.com/saprand

• securegalaxy.blogspot.com