После согласованной модели нарушителя заказчик подсвечивает "флаги" и собственно задача пентестера до них добраться. Сразу, забегая вперед, оговорюсь, что подход с флагами не очень влияет на общий уровень защищённости и результат проекта - это, в лучшем случае, повышение значимости безы заказчика перед C-Level'ом. (тоже вполне себе результат, кому-то это и нужно);

После того как определились с целями, неплохо бы определиться со скоупом. Если с этим проблемы, то хотя бы нужно подсветить то, что трогать нельзя, либо трогать после дополнительного уведомления и настроенного мониторинга со стороны Заказчика;

Далее согласовывается список тех кто вовлечен в проект со стороны заказчика. То есть будут ли уведомлены админы, можно ли трогать пользователей, будут ли приниматься контрмеры и, конечно же, кто будет осуществлять оперативное взаимодействовие с командой со стороны Заказчика.

Добрый день . То есть при таком тестировании вы уже сразу оказываетесь во внутреннем периметре заказчика ? Вам не приходится преодолевать средства защиты периметра ?

верно. Бывают проекты когда нужно из вне пробраться. Но тут немного другие цели и другие результаты.

Безусловно организационных моментов гораздо больше, но это основное.

Теперь хотел бы коснуться вопроса "флагов". Подход, в целом, мало чем полезный, по-моему опыту, но, как не печально, почти все на рынке следуют ему.

Во внутреннюю сеть заказчика запускают YOLO-пентестера, который следуя крику души начинает "ломать" всё подряд, пытаясь добраться до оговоренных критичных данных, что-то вроде бонуса топов компании.

Как правило, эти проекты даже успешны, потому как "внутрянку" действительно сложно защитить.

но пентестер пройдя по кратчайшему пути до "флага" оставит незамеченными зияющие дыры справа и слева.

Потому во-первых должна быть вменяемая методика и команда не должна состоять из одних пентестеров.

Пентестер - это как правило, талантливый молодой человек у которого горят глаза и он кидается на то, что интереснее по его мнению, оставляя в стороне непонятное напоследок, если вдруг не зайдут основные векторы атак. Эти ребята, обычно, не имеют за плечами опыта работы в больших корпорациях (это скучно ведь;) ) и IT-ландшафт для них плоский. Нет разницы SAP, СКУД, CRM..

Потому в подобных проектах обязательно должен присутствовать хороший Enterprise-админ c большим опытом.

Именно он добавит рельефа IT-ландшафту. Ну и повторюсь, конечно, методология, которая поможет не пропустить дыры и сделать проект комплексным.

Собственно об этом и будем говорить на кодИБ) А также чтобы доклад получился более практическим мы с вами пройдёмся по основным векторам и на примере с тех подробностями рассмотрим какой-нибудь из них.

я бы добавил, что в большой корп среде во внутрянке будет огромный скоуп и зоопарк систем, поэтому для того, чтобы действительно провести именно анализ защищённости с хорошим покрытием, а не пентест (с бинарным ответом пробив/не пробив), нужно будет апнуть ценник в несколько раз и выделить несколько месяцев и разношёрстную команду =)

Спасибо, всё верно)

(это не заговор пентестеров для повышения цен)

😉

Действительно, комплексность подхода, конечно требует больше времени. Омар, как пентестер с колоссальным опытом, очевидно пришёл к тем же выводам. За три, пять и даже десять дней такие проекты не делаются.

Тема интересная, есть задача проработать вопрос защиты информации на бумажном носителе от копирования, сканирования, правки, ну и выноса. про скан/копию, само собой, с целью усложнения автоматической обработки или выявления факта копирования