ДиалогНаука

Тест на проникновение

СЕМИНАР
«Практические аспекты проведения теста на проникновение» 


12 апреля 2013 года, офис ЗАО «ДиалогНаука»

У потребителей услуг и продуктов информационной безопасности нередко возникают вопросы: «Зачем нам нужен комплексный аудит информационной безопасности и, тем более, тест на проникновение? Почему бы нам просто не приобрести какое-нибудь мощное средство, или несколько мощных средств и, усадив за управление этими сертифицированными средствами сертифицированных специалистов, не решить раз навсегда проблему информационной безопасности нашей компании?»

Основная проблема информационной безопасности, по крайней мере, в нашей стране - отсутствие общего языка с бизнесом. Такого общего языка, на основе которого между бизнесом и информационной безопасностью был бы возможен конструктивный диалог. Типовой набор риторики со стороны информационной безопасности бизнесу не интересен. Формулировки вроде «чисто техническими мерами построить эффективную защиту невозможно» бизнесу не понятны. Также, бизнесу не очень понятны такие сентенции как «информационная безопасность - это непрерывный процесс». Более того, бизнесу совершенно не очевидна непосредственная взаимосвязь между наличием каких-либо уязвимостей и рисками финансовых потерь.

С другой стороны, информационная безопасность, обслуживающая бизнес, понимает, что ее эффективность зависит, в первую очередь, от степени осознания этим бизнесом рисков и угроз, которым подвергаются принадлежащие данному бизнесу ценные информационные активы. Тестирование на проникновение - оптимальный вариант наглядной демонстрации бизнесу рисков и угроз информационной безопасности. Правильно организованное тестирование на проникновение может послужить первым шагом к конструктивному диалогу между информационной безопасностью и бизнесом.


Ведущий семинара: Андрей Соколов, консультант по информационной безопасности ЗАО «ДиалогНаука»

Программа семинара*

09.45 — 10.00: Регистрация участников и приветственный кофе

10.00 — 10.15: Вступительное слово

10.15 – 11.00: Тестирование на проникновение и анализ защищённости

На отечественном рынке продуктов и услуг информационной безопасности несколько десятков консалтинговых компаний и системных интеграторов предлагают услугу под названием «тестирование на проникновение». В подавляющем большинстве случаев, «тестирование на проникновение» позиционируется как средство поиска уязвимостей и анализа защищенности (security assessment), при котором непосредственно получение доступа к каким-либо ценным информационным ресурсом является побочной, второстепенной задачей. При таком подходе, как правило, проникновение как таковое не совершается.

Компания «ДиалогНаука» позиционирует тест на проникновение как работу по осуществлению проникновения к наиболее ценным и чувствительным информационным активам компании Заказчика (penetration testing), при котором поиск уязвимостей и анализ защищенности является побочной, второстепенной задачей.

В ходе данного доклада будут приведены аргументы в пользу обоих подходов. Типовые методики анализа защищенности позиционируются как необходимый инструмент регулярного применения по снижению существующих (принятых к обработке у компании-Заказчика) рисков и угроз. Тестирование на проникновение позиционируется как инструмент однократного применения, демонстрирующий бизнесу важность и актуальность вопросов информационной безопасности на понятном бизнесу языке: на языке денег.

11.00 – 12.00: Модель нарушителя: квалифицированный мотивированный взломщик

Тестирование на проникновение, имитирующее реального взломщика, представляет собой непосредственно проникновение к наиболее ценным информационным активам компании-Заказчика и установку над этими активами постоянного, невидимого контроля. Реальных взломщиков не интересуют такие вещи как уязвимости, классификации и метрики уязвимостей, вероятности позитивной эксплуатации обнаруженных уязвимостей; реальных взломщиков интересует лишь конкретный конечный результат: получение доступа к ценной конфиденциальной информации, установка контроля над какими-либо узлами в закрытой и защищаемой корпоративной сети, кража денег.

Серьезные цели не бывают доступными (ни физически, ни топологически) случайному человеку с улицы, с открытых диапазонов из внешней Сети. Между взломщиком и его конечной целью всегда есть как минимум несколько контрольных точек, над которыми взломщику необходимо установить контроль. Кроме этого, взломщик обязан учитывать весь спектр средств защиты информации, который может применяться на таких контрольных точках: начиная от антивирусов и локальных средств про-активной защиты, заканчивая средствами мониторинга событий информационной безопасности.

В ходе данного доклада, будет рассмотрена максимально приближенная к объективной действительности модель нарушителя, условно называемая «квалифицированный мотивированный взломщик».

12.00 — 12.20: Кофе-брейк

12.20 — 13.30: Практические аспекты реализации проектов по тестированию на проникновение

Перед взломщиком стоит довольно сложная в тактическом отношении задача: необходимо проводить разведку, планировать и отлаживать сценарии проникновения и осуществлять само проникновение таким образом, чтобы ни в коем случае не быть обнаруженным, ведь компрометация взломщика зачастую означает провал всей операции или, как минимум, всего уже реализованного вектора проникновения. В таких условиях, взломщик не может полагаться на вероятности: каждое его действие должно осуществляться с заранее предсказуемым результатом, это необходимое условие успешной хакерской атаки. Общий принцип сценариев проникновения, реализуемых реальными взломщиками – простота: чем проще, примитивнее и, вместе с тем, элегантнее сценарий проникновения, тем с более предсказуемым результатом такой сценарий будет реализован. Многие сценарии проникновения (особенно на основе социальной инженерии и физики социальных процессов), используемые реальными взломщиками, остаются неизменными на протяжении многих лет.

В рамках данного доклада, будет продемонстрирован широкий спектр простых, но очень эффектных и эффективных вариантов хакерского воздействия - исполнения кода и повышения привилегий доступа в объектах защиты информации. Будет рассмотрен следующий круг вопросов:

Также, будет приведено множество примеров из реальной практики по каждому из рассматриваемых аспектов.

13.30 – 14.00: Организационные аспекты реализации тестов на проникновение

В ходе доклада будут рассмотрены наиболее интересные и актуальные вопросы по организации проектов по тестированию на проникновение. Будут рассмотрены примеры успешно завершенных проектов, которые, в итоге, привели к повышению уровня зрелости информационной безопасности и к повышению бюджета на информационную безопасность.

С 14.00: Обмен мнениями, обсуждение, ответы на вопросы. Обмен заполненных анкет на электронный носитель с материалами семинара. Розыгрыш призов среди участников, сдавших заполненные анкеты. Заключительный кофе.

* Программа семинара предварительная. Возможны изменения.

Семинар пройдет в офисе компании по адресу: Москва, ул.Нагатинская, дом 1, стр.1 (схема проезда).

Участие в семинаре бесплатное.

Требуется обязательная предварительная регистрация участников и получение подтверждения регистрации.

Количество участников ограничено, поэтому просим вас зарегистрироваться для участия в семинаре заранее.

Пройти предварительную регистрацию на бизнес-день можно на сайте через форму, расположенную ниже или по телефону +7 (495) 980-67-76 доб. 128, контактное лицо - Алексей Иващенко.

Форма регистрации работает под следующими браузерами: Google Chrome, Mozilla Firefox, Opera, Safari.

Если по каким-либо причинам не удается отправить форму, пожалуйста, вышлите письмо с вашими регистрационными данными на электронный адрес: marketing@dialognauka.ru.

Предварительная регистрация открыта включительно до 11 апреля 2013 года.

Подтверждение регистраций будет проведено до 11 апреля 2013 года включительно.

Регистрация на семинар


 
ФИО*
Наименование организации*
Занимаемая должность*
E-mail*
Рабочий телефон*
Мобильный телефон*
Защита от автоматического заполнения
 
 

* - Поля, обязательные для заполнения