Команда Anti-Malware.ru приглашает на онлайн-конференцию "Тестирование на проникновение (пентесты)". Мероприятие состоится 30 июня (среда) в 11:00 (МСК) и продлится 2 часа.
Тестирование на проникновение (пентест, Penetration Testing) является важным элементом аудита информационной безопасности и помогает выявить проблемы в защищенности предприятия по различным векторам атак.
Обсудим с экспертами типы тестов на проникновение, методики и инструменты для их проведения. Расскажем, как выбрать оптимального поставщика услуг, как правильно составить техническое задание и оценить результаты работы.
Ключевые вопросы дискуссии:
1. Цели и задачи тестирования на проникновение
- Что такое пентест и чем он отличается от простого умения запускать сканер уязвимостей?
- Для чего нужно проводить тестирование на проникновение?
- Какие стандарты и требования регуляторов включает в себя обязательное проведение тестирований на проникновение?
- Чем отличается внутреннее и внешнее тестирование на проникновение?
- Чем пентест отличается от Red Teaming и аудита ИБ?
- Какой квалификацией и опытом должны обладать пентестеры?
- Можно ли провести полноценный пентест своими силами?
- Насколько субъективными являются результаты пентеста? (зависят от конкретных исполнителей)
- Какие параметры являются определяющими при выборе поставщика услуг пентеста?
- Что показывают результаты пентеста? Является ли успешное прохождение пентеста гарантией высокого уровня защищенности организации?
2. Методы и особенности проведения тестирования на проникновение
- Какие методики проведения пентестов бывают и чем они отличаются?
- Должен ли хороший пентест максимально покрывать все возможные векторы атаки?
- Что отличает продвинутый и дорогой пентест?
- С какой периодичностью нужно проводить пентест?
- Каковы основные каналы (направления) пентестов?
- Какие инструменты используют пентестеры и важно ли это для заказчика?
- Какая возможна автоматизация процесса проведения пентеста?
- Как гарантировать, что пентест не повлияет на бизнес-процессы организации?
- Как гарантировать, что результаты пентеста не будут использованы против заказчика?
- В каком виде заказчику должны быть представлены результаты пентеста и какова должна быть их детализация?
3. Практика проведения пентестов
- Как правильно составить договор с поставщиком услуг по проведению пентестов?
- Как правильно составить ТЗ и разработать методику проведение пентеста? Кто это должен делать?
- Как верифицировать результаты пентеста, оценить их достоверность?
- Как правильно оценивать результаты пентеста и устранять найденные проблемы?
4. Тренды и прогнозы развития рынка
- Как будет развиваться данное направление в ближайшие 3-5 лет?
- Какие стандарты и требования регуляторов будут стимулировать рынок пентестов?
- Заменят ли пентесты системами Breach and Attack Simulation (BAS)?
Приглашенные эксперты:
- Артём Мелёхин, старший менеджер по технологической поддержке продаж, Мегафон
- Омар Ганиев, генеральный директор DeteAct
- Вячеслав Васин, руководитель отдела технического аудита, Group-IB
- Александр Колесов, руководитель отдела анализа защищенности Solar JSOC, «Ростелеком-Солар»
- Сергей Зеленский, руководитель лаборатории практического анализа защищенности, «Инфосистемы Джет»
- Александр Зайцев, руководитель центра компетенции по анализу защищенности, «Лаборатория Касперского»
Модератор:
- Алексей Лукацкий, бизнес-консультант по безопасности Cisco
