Тестирование на проникновение (пентесты)

Запись прямого эфира онлайн-конференции AM Live, проходившей 30 июня 2021 года, на которой эксперты поговорили о тестировании на проникновение (пентест, Penetration Testing).

Модератор: Алексей Лукацкий, бизнес-консультант по безопасности Cisco

Участники:

  • Артём Мелёхин, старший менеджер по технологической поддержке продаж, Мегафон • Омар Ганиев, генеральный директор DeteAct • Вячеслав Васин, руководитель отдела технического аудита, Group-IB • Александр Колесов, руководитель отдела анализа защищенности Solar JSOC, «Ростелеком-Солар» • Сергей Зеленский, руководитель лаборатории практического анализа защищенности, «Инфосистемы Джет» • Александр Зайцев, руководитель центра компетенции по анализу защищенности, «Лаборатория Касперского»

Ключевые вопросы:

  1. Цели и задачи тестирования на проникновение
    • Что такое пентест и чем он отличается от простого умения запускать сканер уязвимостей?
    • Для чего нужно проводить тестирование на проникновение?
    • Какие стандарты и требования регуляторов включает в себя обязательное проведение тестирований на проникновение?
    • Чем отличается внутреннее и внешнее тестирование на проникновение?
    • Чем пентест отличается от Red Teaming и аудита ИБ?
    • Какой квалификацией и опытом должны обладать пентестеры?
    • Можно ли провести полноценный пентест своими силами?
    • Насколько субъективными являются результаты пентеста? (зависят от конкретных исполнителей)
    • Какие параметры являются определяющими при выборе поставщика услуг пентеста?
    • Что показывают результаты пентеста?
    • Является ли успешное прохождение пентеста гарантией высокого уровня защищенности организации?
  2. Методы и особенности проведения тестирования на проникновение
    • Какие методики проведения пентестов бывают и чем они отличаются?
    • Должен ли хороший пентест максимально покрывать все возможные векторы атаки?
    • Что отличает продвинутый и дорогой пентест?
    • С какой периодичностью нужно проводить пентест?
    • Каковы основные каналы (направления) пентестов?
    • Какие инструменты используют пентестеры и важно ли это для заказчика?
    • Какая возможна автоматизация процесса проведения пентеста?
    • Как гарантировать, что пентест не повлияет на бизнес-процессы организации?
    • Как гарантировать, что результаты пентеста не будут использованы против заказчика?
    • В каком виде заказчику должны быть представлены результаты пентеста и какова должна быть их детализация?
  3. Практика проведения пентестов
    • Как правильно составить договор с поставщиком услуг по проведению пентестов?
    • Как правильно составить ТЗ и разработать методику проведение пентеста? Кто это должен делать?
    • Как верифицировать результаты пентеста, оценить их достоверность?
    • Как правильно оценивать результаты пентеста и устранять найденные проблемы?
  4. Тренды и прогнозы развития рынка
    • Как будет развиваться данное направление в ближайшие 3-5 лет?
    • Какие стандарты и требования регуляторов будут стимулировать рынок пентестов?
    • Заменят ли пентесты системами Breach and Attack Simulation (BAS)?
3262 просмотров

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.