29 января компания «ДиалогНаука» проведет семинар «Практические аспекты проведения теста на проникновение»

08 декабря 2009

29 января 2010 года компания «ДиалогНаука», системный интегратор, дистрибьютор и разработчик решений в области информационной безопасности, проводит в своем офисе бесплатный семинар «Практические аспекты проведения теста на проникновение».

Мероприятие предназначено для специалистов по информационной безопасности и руководителей ИТ-подразделений, представляющих потенциальных корпоративных клиентов.

Современные автоматизированные системы играют важную роль в обеспечении эффективного выполнения бизнес-процессов предприятий и организаций. Повсеместное использование систем для хранения, обработки и передачи информации приводит к повышению актуальности проблем, связанных с их защитой.

Тестирование на проникновение (penetration testing) представляет собой независимый и документированный процесс, целью которого является получение оценки текущего уровня защищённости компании от возможных внешних угроз со стороны потенциальных злоумышленников. Фактически в процессе тестирования на проникновение осуществляется имитация действий «взломщика» по осуществлению несанкционированного проникновения в информационную систему Заказчика.

Для того чтобы гарантировать эффективную защиту от информационных атак злоумышленников компаниям сегодня необходимо иметь объективную и независимую оценку текущего уровня безопасности автоматизированных систем. Именно для этих целей и применяется тестирование на проникновение, практические аспекты проведения которого будут рассмотрены в рамках семинара.

Участники семинара ознакомятся с различными методиками проведение теста на проникновение и практическими особенностями его проведения для различных типов автоматизированных систем. Также участники получат комплекты информационных материалов, памятные сувениры и подробные консультации сотрудников «ДиалогНауки» по сопутствующим вопросам.

Программа семинара
9.45 — 10.00:
Регистрация участников и приветственный кофе


10.00 — 10.20:
Вступительное слово (Виктор Александрович Сердюк, генеральный директор ЗАО «ДиалогНаука»)


10.20 — 11.20:
Секция №1 (Александр Владимирович Дорофеев, директор АНО «Учебный центр «Эшелон»)


Тестирование на проникновение, как инструмент для поиска уязвимостей

Подходы к проведению инструментального аудита информационной безопасности
 • Модель нарушителя
 • Классический тест на проникновение - поиск одной уязвимости
 • Сканирование с целью проверки наличия уязвимостей
 • Анализ конфигурационных файлов

Обзор существующих методологий проведения теста на проникновение
 • «Секреты хакеров»
 • Стандарт Information Systems Security Assessment Framework (ISSAF)
 • Стандарт NIST 800-42 Guideline on Network Security Testing
 • Стандарт Open Source Security Testing Methodology Manual (OSSTMM)

Обзор программных средств для проведения инструментального аудита
 • Сканеры портов
 • Сканеры уязвимостей
 • Программы для подбора паролей
 • Среды (фрэймворки) для создания эксплойтов

Backtrack – как комплекс программных средства аудитора-«этичного хакера»

Жизненный цикл теста на проникновение: идентификация целей, поиск уязвимостей, эксплуатация, расширение привилегий.

Как должен выглядеть хороший отчет по результатам проведенного аудита информационной безопасности?

Риски, связанные с тестированием на проникновение и меры по их минимизации

Как социальная инженерия может дополнить внешнее тестирование на проникновение?

Примеры нескольких несерьезных уязвимостей, которые могут привести к полной компрометации сети


11.20 — 11.40:
Кофе-брейк


11.40 — 13.10:
Секция №2


Расширение модели нарушителя – действия мотивированного злоумышленника (Андрей Соколов, консультант по информационной безопасности ЗАО «ДиалогНаука»)

Тестирование на проникновение как инструмент поиска уязвимостей и имитации действий квалифицированного злоумышленника

Возможные векторы атаки на объект защиты: лобовое, интерактивное и физическое воздействие злоумышленника

Классификация уязвимостей:

 • технологические и эксплуатационные уязвимости
 • организационные уязвимости
 • обзор наиболее опасных трудноуправляемых уязвимостей: распределение локальных администраторов, ARP Poison и др.

Технологии сокрытия злонамеренной активности в системе, rootkit-технологии (Алиса Шевченко, руководитель компании eSage Lab)

 • Основные проблемы и тенденции в области rootkit-технологий.
 • Компрометация системы, руткит-технологии и penetration testing - точки пересечения.
 • Принципы сокрытия активности в системе (обобщенная модель функционирования руткита).
 • Типичные (простейшие) реализации механизмов сокрытия.
 • Примеры наиболее передовых руткит-технологий.
 • Современные средства и методы обнаружения скрытой активности.


13.10 — 13.30:
Кофе-брейк


13.30 — 15.00:
Секция №3 (Андрей Соколов, консультант по информационной безопасности ЗАО «ДиалогНаука»)


Скрытые каналы связи
 • Теория скрытых каналов связи применительно к системам скрытого управления.
 • Инкапсуляция данных на примере протоколов IPv4->IPv6.
 • Использование служебных протоколов на примере DNS через локальный DNS-сервер.
 • Использование легитимных коммуникаций (использование почтового клиента, использование аккаунта к прокси-серверу).
 • Установка и использование физических каналов связи.

Услуга тестирования на проникновение
 • Текущее состояние рынка услуги тестирования на проникновение в России.
 • Тестирование на проникновение в виде инструментального анализа защищенности информационной системы. Преимущества и недостатки данного подхода.
 • Тестирование на проникновение в виде имитации действий профессионального и мотивированного взломщика по осуществлению проникновения в информационную систему. Преимущества и недостатки данного подхода.
 • Целевые группы потребителей услуги тестирования на проникновение.
 • Особенности маркетинговой политики по отношению к различным целевым группам.
 • Перспективы развития услуги тестирования на проникновение в России.

Обмен мнениями, обсуждение, ответы на вопросы


C 15.00:
Обмен заполненных анкет на электронный носитель с материалами семинара. Розыгрыш призов среди участников, сдавших заполненные анкеты. Заключительный кофе.
Участие в семинаре бесплатное. Требуется обязательная регистрация участников.
Чтобы принять участие в семинаре необходимо зарегистрироваться на сайте и заполнить анкету.
Количество участников ограничено, поэтому просим регистрироваться для участия в семинаре заранее.
Пожалуйста, до регистрации ознакомьтесь с текстом в красной рамке ниже.

Внимание! В связи с большим количеством уже полученных от потенциальных участников регистраций на данный бесплатный семинар дальнейшая возможность регистрации на него закрыта.

Компания «ДиалогНаука», идя на встречу огромному интересу руководителей ИТ-подразделений и специалистов по информационной безопасности предприятий и организаций, регулярно проводит наиболее популярные семинары. Более подробная информация обо всех ближайших семинарах находится на сайте по адресу: http://www.DialogNauka.ru/seminar.

Внимание! Семинар будет проходить в офисе компании «ДиалогНаука» в бизнес-центре «Ферейн» по адресу: г. Москва, ул. Нагатинская, д. 1, стр. 1

Схема проезда >>


Контактное лицо:
Менеджер по маркетингу
ЗАО «ДиалогНаука»
Московченко Ирина
Тел.: (495) 980-67-76, Факс: +7(495) 980-67-75
URL: http://www.DialogNauka.ru/,
E-mail: marketing@DialogNauka.ru

Уважаемый потенциальный участник семинара!

Являясь одной из ведущих российских компаний, специализирующихся в области информационной безопасности, ЗАО «ДиалогНаука» уважает право человека на неприкосновенность частной жизни, хорошо понимая необходимость обеспечения конфиденциальности и защиты персональных данных.

В этой связи просим Вас ознакомиться с Политикой о конфиденциальности и защите персональных данных.

Используя этот сайт и/или предоставляя ЗАО «ДиалогНаука» персональные данные (в частности регистрируясь на семинары), Вы выражаете согласие на обработку своих персональных данных на условиях, предусмотренных Политикой. Просим Вас ознакомиться с текстом этого документа.

Если вы не согласны с Политикой, просим Вас не пользоваться этим сайтом и не предоставлять ЗАО «ДиалогНаука» свои персональные данные.

Также информируем Вас, что во время посещения семинара Вам будет предложено ознакомиться, заполнить и подписать Согласие на обработку персональных данных. Просим Вас заранее ознакомиться с текстом этого документа.

Письменное Согласие на обработку персональных данных является необходимым условием для посещения семинаров ЗАО «ДиалогНаука» (в соответствии с требованиями ФЗ 152 «О персональных данных»).

Потенциальный участник семинара, отказывающийся письменно подтвердить свое согласие на обработку его персональных данных ЗАО «ДиалогНаука», не допускается для участия в семинаре и не имеет возможность получить раздаточные материалы. Просим Вас отнестись с пониманием к данному ограничению.

7
;