EV
Коллеги, раз уж я модерирую тему дня, то позволю заметить, что это не только нарушение правил чата, но и оффтоп;)
Если есть, что обсудить про инфраструктурные пентесты, пишите)
Если есть, что обсудить про инфраструктурные пентесты, пишите)
Size: a a a
2019 July 04
EV
Здесь, к слову, есть очень много компетентных товарищей, которые могут поддержать дискуссию
AV
Коллеги, раз уж я модерирую тему дня, то позволю заметить, что это не только нарушение правил чата, но и оффтоп;)
Если есть, что обсудить про инфраструктурные пентесты, пишите)
Если есть, что обсудить про инфраструктурные пентесты, пишите)
Прошу прощения, сейчас удалю раз так
EV
Про пентесты, кстати, еще хочу заметить.
Нет смысла их делать для определения уровня защищенности организации. Часто бывает, что в организации ибэ на уровне около ноля и безопасникам наконец дают деньги и они вместо того, чтобы начать выстраивать защиту, процессы, обучать людей, - заказывают пентест.
Нет смысла их делать для определения уровня защищенности организации. Часто бывает, что в организации ибэ на уровне около ноля и безопасникам наконец дают деньги и они вместо того, чтобы начать выстраивать защиту, процессы, обучать людей, - заказывают пентест.
EV
Или тоже довольно частый случай:
Приходит новый безопасник в организацию и, вместо того, чтобы разобраться, ищет пентестеров.
Тут уж правильней с аудита начать, если не хватает компетенций и/или есть лишние деньги
Приходит новый безопасник в организацию и, вместо того, чтобы разобраться, ищет пентестеров.
Тут уж правильней с аудита начать, если не хватает компетенций и/или есть лишние деньги
С
Просто в некоторых компаниях вместо аудита и анализа бизнес -процессов вся ставка идёт на пентест как вариант анализа защищённости . Хотя анализ защищённости включает в себя намного больше .
EV
Тут, кстати, холиварный вопрос скрывается)
Что такое пентест? На самом деле даже в разных методологиях, а не только в источниках, пишут по разному.
Я склоняюсь к тому что пентест это комплексная история. Один из видов анализа защищенности, по сути. Большая комплексная работа со своей техникой и правилами.
Есть кто пентестами называют этакие wow-проекты, цель которых просто пробив.
Что такое пентест? На самом деле даже в разных методологиях, а не только в источниках, пишут по разному.
Я склоняюсь к тому что пентест это комплексная история. Один из видов анализа защищенности, по сути. Большая комплексная работа со своей техникой и правилами.
Есть кто пентестами называют этакие wow-проекты, цель которых просто пробив.
EV
Потому да, лучше дефинировать на берегу такие вещи
EV
Кстати, раз уж @beched тут, хотелось бы мнения услышать.
EV
Омар, не поделишься?
A
*Инфраструктурные пентесты с YOLO, очень классно заходят, если пентестер сидит спиной к камере, и ему можно в нужный момент проиграть pcap
A
*sorry за троллинг
OG
aga, с терминологией путаница, потому что под пентестом одни понимают собственно проверку на возможность проникновения, а другие — поиск максимального количества недостатков в области исследования, т.е. анализ защищённости. Сюда же примешивается путаница с red teaming.
В большинстве случаев заказчику полезен именно анализ защищённости, но градации тут не чёрно-белые, поскольку отличия не всегда явные. Так что да, нужно выяснять цель ещё на этапе анкетирования
В большинстве случаев заказчику полезен именно анализ защищённости, но градации тут не чёрно-белые, поскольку отличия не всегда явные. Так что да, нужно выяснять цель ещё на этапе анкетирования
С
Проникнуть можно на мой взгляд в любую инфраструктуру. Это дело времени и ресурсов . А вот что там сможет сделать злоумышленник и должен показать анализ защищённости . Прям по полочкам при таком анализе должно быть всё разложено . Какие векторы атак использованы и в какие системы удалось получить административный доступ .
EV
aga, с терминологией путаница, потому что под пентестом одни понимают собственно проверку на возможность проникновения, а другие — поиск максимального количества недостатков в области исследования, т.е. анализ защищённости. Сюда же примешивается путаница с red teaming.
В большинстве случаев заказчику полезен именно анализ защищённости, но градации тут не чёрно-белые, поскольку отличия не всегда явные. Так что да, нужно выяснять цель ещё на этапе анкетирования
В большинстве случаев заказчику полезен именно анализ защищённости, но градации тут не чёрно-белые, поскольку отличия не всегда явные. Так что да, нужно выяснять цель ещё на этапе анкетирования
Да) с red teaming вообще отдельная история. В Европе вообще другой смысл закладывают, нежели в странах снг.
Там это что-то вроде continuous penenetration testing. У нас же это больше тренировка своей blue team
Там это что-то вроде continuous penenetration testing. У нас же это больше тренировка своей blue team
EV
Там ещё много других цветов придумали;)
ВМ
👍
Е
Коллеги, скажите, а критичность уязвимостей, выявленных в результате пентеста кто определяет? Вернее так, кому лучше верить, аналитикам с компании, которая проводила пентест, или свои ИБшникам? Так как критичность уязвимостей влияет на их устранение.
Спасибо!
Спасибо!
Е
И в какие сроки необходимо устранять уязвимости, в разрезе критичности? Ваши советы хотелось бы услышать
AP
Евгений
Коллеги, скажите, а критичность уязвимостей, выявленных в результате пентеста кто определяет? Вернее так, кому лучше верить, аналитикам с компании, которая проводила пентест, или свои ИБшникам? Так как критичность уязвимостей влияет на их устранение.
Спасибо!
Спасибо!
А вы у маерска спросите, они вам распишут почему мартовский патч в мае не поставили... Подумаешь 10 лярдов в ...опу