Научно-образовательный IT-форум при КНИТУ-КАИ

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Научно-образовательный IT-форум при КНИТУ-КАИ » Доклады и заметки » Взлом во благо или что такое «тестирование на проникновение»


Взлом во благо или что такое «тестирование на проникновение»

Сообщений 1 страница 5 из 5

1

Взлом во благо или что такое «тестирование на проникновение»
Антон Бочкарев (BI.ZONE)

В докладе будут рассмотрены следующие темы:
1. Тестирование на проникновение – как один из самых эффективных способов:
- Суть тестирования на проникновения.
- Этичный хакинг и легальность, как основы работы.
- Сходства и различия в работе нелегального хакера (злоумышленника) и легального хакера (пентестера).
2. Виды пентестов:
- Внешнее тестирование на проникновение.
- Тестирование на проникновение мобильных приложений.
- Внутреннее тестирование на проникновение.
- Социо-техническое тестирование на проникновение.
- Тестирование на устойчивость к DDOS.
3. Цели бизнеса от ИБ и цели пентестера.
4. Перспективы данного направления:
- Популярность данного направления в мире.
- Популярность данного направления в России и странах СНГ.
- Востребованность специалистов на данный момент и прогноз.
5. Становление пентестера:
- Высшее образование по ИБ – необходимость или бонус?
- Сертификации и обучения.
- Легальная практика.
6. Заключение: хотите ли вы быть пентестером?

ПРЕЗЕНТАЦИЯ

ВИДЕО ДОКЛАДА:

2

Предоставляется ли компанией-заказчиком некоторые характеристики тестируемой системы, либо информацию об архитектуре системы, или работа пентестера это всегда работа с черным ящиком и применение только своего личного опыта тестирования?

3

Работа пенстестера как правило не ограничивается одной системой, и обычно выполняется в 3х моделях в зависимости от пожеланий Заказчика:
Черный ящик - нет никакой информации о системе/организации
Серый ящик - есть тестовые учетные записи(не привилегированные) или информация о системе/организации
Белый ящик - есть полная информация о системе/организации с привилегированными учетными записями.
Есть промежуточные варианты, все индивидуально под Заказчика.

4

За что несет ответственность пентестер, а за что не может и не должен?
Например, несет ли ответственность пентестер перед компанией-заказчиком за то, что его взломают используя уязвимость в системе, не обнаруженную в результате тестирования на проникновение?

5

Пентестер несет ответственность в рамках договора между его компанией и Заказчиком. За разглашение данных в рамках NDA. Относительно качества работ – нет, не несет. То есть, никто не говорит о том, что будут найдены все уязвимости, поэтому и речи быть не может в случае взлома Заказчика. Также с момента проведения пентеста может измениться что-то в инфраструктуре, из-за чего для пентестера эта уязвимость была не эксплуатируема, а для злоумышленника уже да. Также могут быть претензии если пентестер из-за своего не профессионализма нанесет Заказчику ущерб.


Вы здесь » Научно-образовательный IT-форум при КНИТУ-КАИ » Доклады и заметки » Взлом во благо или что такое «тестирование на проникновение»