#root это только начало

#root это только начало

Владимир Стыран

почему я?• Специалист по ИБ с 2005 г.

• Работодатели:

• интеграторы, телеком операторы, финансовые услуги, ИТ-компании

• Клиенты:

• банки, страховые, телеком, нефте- и газодобыча, промышленность

• Руковожу практикой Application Security в крупной ИТ-компании

• Являюсь сооснователем Berezha Security – поставщика качественных и доступных пентест-услуг

почему я?“Доктор, я очень хочу root-а.”

что происходит?

у всех проблемы сложности!

сложности клиента

сложности клиента• Более 2/3 взломов выявляются спустя

9+ мес. от компрометации

• В 96% случаев жертва узнает о взломе “со стороны”

• Объективно оценить защищенность собственными силами невозможно

• Выбрать качественного поставщика очень непросто

• И еще тысяча и одна сложность

сложности рынка• Дефицит информации о потребностях клиента

• аналитика – прогнозирование тенденций на основе истории

• показания клиента – часто не имеют отношения к реальности

• вендоры ПО и услуг – редко объективны

• Итого: пилоты, “тестирования”, консультации и т.д., и после этого…

сложности пентестера

сложности пентестера• Скоуп пентеста зачастую не отражает реальные потребности клиента

• Большинство пентестов “умирают” сразу после завершения

• Системные уязвимости не исправляются. Никогда.

• Мы не можем исправлять собственные находки

почему пентесты?• Пентест – самый эффективный способ проверить уровень защищенности системы, приложения или организации

• быстрый – несколько недель

• недорогой – масштабируется по скоупу

• продуктивный – actionable результат

• После завершения пентеста аргументы в пользу выбора средств защиты становятся очевидны… ну почти

хороший пентест• Не-бинарный результат

• Дает достаточно информации о рисках

• Дает достаточно информации о защите

• Нацелен на результат… в хорошем смысле

как это происходило?

как это происходит сейчас?

как это происходит?• Целью пентеста является выявление возможности нарушения или обхода политики ИБ с высокой вероятностью

• наличие уязвимости

• отсутствие или слабость контроля (средства защиты)

• простота эксплуатации

• доступность бюджета/средств для атаки

как это происходит?

как пентест поможет поставщику?

• Выявление реальных потребностей и ожиданий клиента

• Демонстрация эффективности средств защиты в ходе пилота/демо тестирования

• Возможность проверки средств защиты после внедрения

• Маркетинговый потенциал

выявление потребностей• Качественный отчет о пентесте содержит

• Общее заключение

• Обобщенные результаты

• Системные рекомендации

• Описание уязвимостей

• Подробные рекомендации

выявление потребностей• Качественный отчет о пентесте содержит

• Общее заключение

• Обобщенные результаты

• Описание успешных атак

• Системные рекомендации

• Описание уязвимостей

• Подробные рекомендации

перед внедрением и после• Ручные или автоматические атаки на средство защиты для визуализации состояний “до” и “после” с внятной статистикой

• Привлечение “независимых экспертов” для проверки и подтверждения эффективности внедренного контроля

• Генерация ответов на вопросы клиента типа “а что если…”

маркетинговый потенциал

“классический” подходКлиент Поставщик

Домашняя работа Пресейл, маркетинг

RFI Индикативное предложение

RFP Коммерческое предложение

Тестирование Пилот

“классический” подходКлиент Поставщик

Тендер Боль

“Отжим” скидки Боль

Согласование с юристами Боль

Внедрение Боль

Поддержка Боль

давайте по-другому!

(pen)test-driven подход1. Отчет о пентесте, оценка качества

2. Нет отчета? Давайте сделаем!

3. Дополнительные вводные

• регуляторный режим

• миссия, визия, ценности

• внутренние требования

• удобство, удобство, удобство

4. КП? С гарантией защиты стресс-тестированием

5. Пилот? С симуляцией действий атакующего

6. Высокая цена? Прямая демонстрация качества

примеры?• Симуляция уже известного инцидента, произошедшего в прошлом

• Выявление инцидента “in action” в ходе пентеста

• Выбор и демонстрация SIEM для визуализации методов раннего обнаружения

• Клиент-сайд атака на теле-сотрудника

• Демонстрация средств NAC для исключения слабого звена до достижения нужного уровня защищенности

• DDoS-диверсия во время более серьезной атаки

• Интеграция Cyber Threat Defence, SIEM/SOC и средств защиты от DDoS для выявления аномального поведения

что дальше?

спасибо за внимание!

• sapran@berezhasecurity.com

• twitter.com/saprand

• securegalaxy.blogspot.com