O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.
Атакующий маркетинг:
как заставить клиента заплатить за то,
что ему не нужно
Василий Пупкин
вице-президент по развитию биз...
Содержание
• Кто мы такие
• Страшилки-пугалки
• Какие мы умные и красивые
• Еще страшилки
• Как вы без нас раньше жили?
• ...
Наступательная безопасность:
шпаргалка заказчика
тестов на проникновение
Владимир Стыран
директор по операциям
О чем поговорим
• Продукт
• Процесс
• Сложности
• Критерии отбора
25.03.2015 Berezha Security 4
Продукт
A penetration test, or the short form
pentest, is an attack on a computer
system with the intention of finding
sec...
Процесс привычный
• RFI
– Сбор информации о компетенциях участников рынка
• RFP
– Формальный или не очень запрос предложен...
Процесс грамотный
1. Осведомленность
– Домашняя работа заказчика
2. Исследование
– А вот теперь RFI
3. Обоснованный выбор
...
О чем
• Продукт
• Процесс
• Сложности
• Критерии отбора
25.03.2015 Berezha Security 8
Неосведомленность заказчика
http://insideops.com/rljacobs/trade-secrets-and-the-shift-to-transparency/
25.03.2015 Berezha ...
«Лимонный рынок» ИБ
• Условия:
– Высокий и низкий уровень качества услуг
– Асимметричность информации
• Действия:
– Продав...
Непонимание целей и результатов
• Содержание отчета
– Резюме
– Ход тестирования
– Уязвимости
– Рекомендации
– Доказательст...
Непонимание значений уровня
риска
25.03.2015 Berezha Security 12
Некомпетентные исполнители
25.03.2015 Berezha Security 13
25.03.2015 Berezha Security 14
25.03.2015 Berezha Security 15
О чем
• Продукт
• Процесс
• Сложности
• Критерии отбора
25.03.2015 Berezha Security 16
Критерии отбора
25.03.2015 Berezha Security 17
Критерии отбора
• Цена
– Нередко решающий фактор
• Шаблоны
– Зачастую их просто нет, из наличия – выбираем
• Методологии
–...
Хорошие критерии отбора
• Цена
• Шаблон отчета
• Методологии
• Инструменты
• Сертификаты
25.03.2015 Berezha Security 19
Цена
• Cхема ценообразования
• Рейты специалистов
• «Коммерческая тайна»? Следующий!
• Есть ли «сезонная» скидка?
25.03.20...
Цена
Открытое объявление
бюджета
Бонусная система
вознаграждения
25.03.2015 Berezha Security 21
Шаблоны
• Должны быть наготове
• EL || GTFO
• «Обезличивание»
отчетов работает
• Структура и метод
оценки риска в отчете
•...
Методологии
25.03.2015 Berezha Security 23
Методологии
25.03.2015 Berezha Security 24
• PTES
• OSSTMM
• OWASP
• NIST
• ISO
• ISACA
• PCI DSS
• DREAD
Инструменты
25.03.2015 Berezha Security 25
Инструменты
Free and Cheap
• BurpSuite
• SET
• NeXpose
• Metasploit
• Maltego
• Kali
• Acunetix
Pricy or Stolen
• CORE Imp...
Сертификаты
25.03.2015 Berezha Security 27
Сертификаты
• Offensive Security
• SANS GIAC
25.03.2015 Berezha Security 28
• EC-Council CEH
• ISACA CISA
• (ISC)2 CISSP
Бинарный анализ рисков
• Инструмент нахождения
консенсуса
• Отлично подходит для
результатов пентестов
• Очень прост в при...
Спасибо за внимание!
@berezhasecurity
sapran@berezhasecurity.com
25.03.2015 Berezha Security 30
Próximos SlideShares
Carregando em…5
×

Наступательная безопасность: шпаргалка заказчика тестов на проникновение

Презентация Berezha Security в рамках PCWeek Security Day 2015

  • Seja o primeiro a comentar

Наступательная безопасность: шпаргалка заказчика тестов на проникновение

  1. 1. Атакующий маркетинг: как заставить клиента заплатить за то, что ему не нужно Василий Пупкин вице-президент по развитию бизнеса ООО «Ройсь-копайсь»
  2. 2. Содержание • Кто мы такие • Страшилки-пугалки • Какие мы умные и красивые • Еще страшилки • Как вы без нас раньше жили? • Еще пугалки • Деньги оставлять вот здесь 25.03.2015 Berezha Security 2
  3. 3. Наступательная безопасность: шпаргалка заказчика тестов на проникновение Владимир Стыран директор по операциям
  4. 4. О чем поговорим • Продукт • Процесс • Сложности • Критерии отбора 25.03.2015 Berezha Security 4
  5. 5. Продукт A penetration test, or the short form pentest, is an attack on a computer system with the intention of finding security weaknesses, potentially gaining access to it, its functionality and data. -Wikipedia Обычные характеристики - Сроки - Цель - Модель угроз - Доступность информации www.spiguard.com 25.03.2015 Berezha Security 5
  6. 6. Процесс привычный • RFI – Сбор информации о компетенциях участников рынка • RFP – Формальный или не очень запрос предложений • «Тендер», конкурс или редукцион – Широкое разнообразие видов хаотической деятельности • Проект – Консалтинговый проект со всеми характерными горестями и невзгодами • Follow-up – Опциональная проверка результатов исправления 25.03.2015 Berezha Security 6
  7. 7. Процесс грамотный 1. Осведомленность – Домашняя работа заказчика 2. Исследование – А вот теперь RFI 3. Обоснованный выбор – RFP отобранным поставщикам 4. Покупка, повторная покупка, референс 25.03.2015 Berezha Security 7
  8. 8. О чем • Продукт • Процесс • Сложности • Критерии отбора 25.03.2015 Berezha Security 8
  9. 9. Неосведомленность заказчика http://insideops.com/rljacobs/trade-secrets-and-the-shift-to-transparency/ 25.03.2015 Berezha Security 9
  10. 10. «Лимонный рынок» ИБ • Условия: – Высокий и низкий уровень качества услуг – Асимметричность информации • Действия: – Продавцы «лимонов» завышают качество с сохранением цены – Продавцы «слив» не получают адекватную цену • Итог: – Средняя цена на рынке стремится вниз – Качество выравнивается по уровню цены 25.03.2015 Berezha Security 10
  11. 11. Непонимание целей и результатов • Содержание отчета – Резюме – Ход тестирования – Уязвимости – Рекомендации – Доказательства 25.03.2015 Berezha Security 11
  12. 12. Непонимание значений уровня риска 25.03.2015 Berezha Security 12
  13. 13. Некомпетентные исполнители 25.03.2015 Berezha Security 13
  14. 14. 25.03.2015 Berezha Security 14
  15. 15. 25.03.2015 Berezha Security 15
  16. 16. О чем • Продукт • Процесс • Сложности • Критерии отбора 25.03.2015 Berezha Security 16
  17. 17. Критерии отбора 25.03.2015 Berezha Security 17
  18. 18. Критерии отбора • Цена – Нередко решающий фактор • Шаблоны – Зачастую их просто нет, из наличия – выбираем • Методологии – Кто больше впишет в КП • Инструменты – Кто больше, кто дороже • Сертификаты – Без углубления в то, что они означают 25.03.2015 Berezha Security 18
  19. 19. Хорошие критерии отбора • Цена • Шаблон отчета • Методологии • Инструменты • Сертификаты 25.03.2015 Berezha Security 19
  20. 20. Цена • Cхема ценообразования • Рейты специалистов • «Коммерческая тайна»? Следующий! • Есть ли «сезонная» скидка? 25.03.2015 Berezha Security 20
  21. 21. Цена Открытое объявление бюджета Бонусная система вознаграждения 25.03.2015 Berezha Security 21
  22. 22. Шаблоны • Должны быть наготове • EL || GTFO • «Обезличивание» отчетов работает • Структура и метод оценки риска в отчете • NDA? Следующий! 25.03.2015 Berezha Security 22
  23. 23. Методологии 25.03.2015 Berezha Security 23
  24. 24. Методологии 25.03.2015 Berezha Security 24 • PTES • OSSTMM • OWASP • NIST • ISO • ISACA • PCI DSS • DREAD
  25. 25. Инструменты 25.03.2015 Berezha Security 25
  26. 26. Инструменты Free and Cheap • BurpSuite • SET • NeXpose • Metasploit • Maltego • Kali • Acunetix Pricy or Stolen • CORE Impact • Immunity Canvas • Metasploit Pro 25.03.2015 Berezha Security 26
  27. 27. Сертификаты 25.03.2015 Berezha Security 27
  28. 28. Сертификаты • Offensive Security • SANS GIAC 25.03.2015 Berezha Security 28 • EC-Council CEH • ISACA CISA • (ISC)2 CISSP
  29. 29. Бинарный анализ рисков • Инструмент нахождения консенсуса • Отлично подходит для результатов пентестов • Очень прост в применении • Основан на известном проекте Binary Risk Assessment • Доступен на украинском 25.03.2015 Berezha Security 29
  30. 30. Спасибо за внимание! @berezhasecurity sapran@berezhasecurity.com 25.03.2015 Berezha Security 30

×