Запись прямого эфира онлайн-конференции AM Live, проходившей 30 июня 2021 года, на которой эксперты поговорили о тестировании на проникновение (пентест, Penetration Testing).
Модератор: Алексей Лукацкий, бизнес-консультант по безопасности Cisco
Участники:
- Артём Мелёхин, старший менеджер по технологической поддержке продаж, Мегафон • Омар Ганиев, генеральный директор DeteAct • Вячеслав Васин, руководитель отдела технического аудита, Group-IB • Александр Колесов, руководитель отдела анализа защищенности Solar JSOC, «Ростелеком-Солар» • Сергей Зеленский, руководитель лаборатории практического анализа защищенности, «Инфосистемы Джет» • Александр Зайцев, руководитель центра компетенции по анализу защищенности, «Лаборатория Касперского»
Ключевые вопросы:
- Цели и задачи тестирования на проникновение
- Что такое пентест и чем он отличается от простого умения запускать сканер уязвимостей?
- Для чего нужно проводить тестирование на проникновение?
- Какие стандарты и требования регуляторов включает в себя обязательное проведение тестирований на проникновение?
- Чем отличается внутреннее и внешнее тестирование на проникновение?
- Чем пентест отличается от Red Teaming и аудита ИБ?
- Какой квалификацией и опытом должны обладать пентестеры?
- Можно ли провести полноценный пентест своими силами?
- Насколько субъективными являются результаты пентеста? (зависят от конкретных исполнителей)
- Какие параметры являются определяющими при выборе поставщика услуг пентеста?
- Что показывают результаты пентеста?
- Является ли успешное прохождение пентеста гарантией высокого уровня защищенности организации?
- Методы и особенности проведения тестирования на проникновение
- Какие методики проведения пентестов бывают и чем они отличаются?
- Должен ли хороший пентест максимально покрывать все возможные векторы атаки?
- Что отличает продвинутый и дорогой пентест?
- С какой периодичностью нужно проводить пентест?
- Каковы основные каналы (направления) пентестов?
- Какие инструменты используют пентестеры и важно ли это для заказчика?
- Какая возможна автоматизация процесса проведения пентеста?
- Как гарантировать, что пентест не повлияет на бизнес-процессы организации?
- Как гарантировать, что результаты пентеста не будут использованы против заказчика?
- В каком виде заказчику должны быть представлены результаты пентеста и какова должна быть их детализация?
- Практика проведения пентестов
- Как правильно составить договор с поставщиком услуг по проведению пентестов?
- Как правильно составить ТЗ и разработать методику проведение пентеста? Кто это должен делать?
- Как верифицировать результаты пентеста, оценить их достоверность?
- Как правильно оценивать результаты пентеста и устранять найденные проблемы?
- Тренды и прогнозы развития рынка
- Как будет развиваться данное направление в ближайшие 3-5 лет?
- Какие стандарты и требования регуляторов будут стимулировать рынок пентестов?
- Заменят ли пентесты системами Breach and Attack Simulation (BAS)?
