-
Онлайн-слежка за документами PDF
- проверка своего сервера
1. В договоре может быть написано ЧТО УГОДНО. А по факту все равно есть вероятность сложить критически важную подсистему или сервис. По факту нештатной ситуации начнется процедура внутреннего расследования. А это - ГЕМОР по определению. И угадайте у кого будет преимущество в представлении доказательной базы руководству (Заказчику) - у "левых" "пенетраторов" или у "своих" админов? 1 железное правило при блэкбокс пентестировании - это то что IT службы не оповещены и работают в заданном режиме работы. Если произошло нарушение заданного режима работы то расследование инцидентов покажет что произошло потому то и потому то. Если в отчете по пентесту есть действия которые привели к нарушению - то это уже неисполнение Исполнителем условий договора. 2. При всех процедурах, которые проводятся при тестах сидят представители заказчика. Это ЖЕЛЕЗНОЕ правило. Причем расписываются в том, что эти процедуры производятся с их согласия. Тайны никто не делает ни из чего. Увидел как и чем пробито - ради Бога. Вы хоть раз учавствовали в пентесте ? Методика инструменты и специалисты принимающие участие - это коммерческая тайна компании. При пентесте пентестеры не раскрывают принципов работы какого нить 0day софта. 3. Вам проще ломануть граничный маршрутизатор и пошкрябать сеть - не вопрос, хотя это уже состав преступления и слив инфы через человека - менее доказуем. Однако есть такое понятие как модель нарушителя. И туда в длииииииинный список хакеры входят только в двух-трех пунктах или около того. А защитить нужно от всего на свете, если просят. Мы говорим о тестировании на проникновение. Тестирование на проникновение - это 1 модель - модель Промышленного шпионажа. 4. Под тюнингом я понимал не эксклюзив в настройках, а нечто вроде модификации ядра ОС - это редкость. Все остальное - не искусство, а ремесло и тюнингом я такие вещи не считаю. Модификация же чужих программных продуктов дело КРАЙНЕ МУТНОЕ в правовом отношении и в техническом. - Здесь вопросов нету. 5. Ваша статистика общеизвестна, но не опровергает то, что 80% проблем с безопасностью информации решаются с помощью организационно-административных мер. Судя по графику потерь CSI/FBI от инцидентов в ИБ - на 1м месте - ущерб от DOS/DDOS атак. Соответственно зная что административными методами это не решить а проблема доступности информации - это основы безопасности - ваше утверждение неверное А вообще я не склонен спорить, вы в своей области правы. Каждый солит суп по-своему. Дадада )) Советую только не забыть, что АИС реализует алгоритмы обработки информации, которые в том или ином виде существуют и без нее, и человек является носителем информации независимо от наличия компьютера на столе. - А вы не забывайте что из компутера человека можно вытащить нааамного больше интересующей информации чем из его головы в некоторых случаях )- проверка своего сервера
Честно говоря такая тема как пентест мне кажется скользкой в юридическом отношении. Высока вероятность при тестовом заломе грохнуть реальные ресурсы и сервисы. - Это предусматривается юридическим договором. В нем указано что к примеру заданный режим работы сетевого и серверного оборудования (24*7 9 *5) нарушаться не будет. Даже если шел скан с целью инвентаризации, а не на уязвимости. - Если вы могли это обнаружить. Значит вас ламеры пентестили. Профи при blackbox тестировании не дадут себя обнаружить. Если идет комплексное обследование предприятия, то проще в рамках проекта проверить настройки компонентов, регулярность обновления (патчи и антивирусные базы, спам-базы, обновления експлоитов) и правильность организационной компоненты АИС. - И все равно в 95% случаев пентест удается. Если все с автоматизированной системой пучком - проще не ломать, а вербовать агентуру на предприятии, пытаться слушать и т.д. - пучком никогда ни в каких случаях на 100% ничего не будет. Мне проще взломать если есть возможность чем вербовать )) Статистика о том же говорит - до 80% траблов предупреждаются просто вставкой кактуса куда надо ленивым админам со стороны руководства по инициативе аудиторов или админа безопасности. Моя статистика говорит что 90% случаев проникновения не обнаруживаются в системе. Об этом говорит только всплывшая информация. Таких заказчиков большинство. А "тюнинг" СЗИ встречается редко. - Тюнинг СЗИ присутствует всегда там где беспокоюцца о СЗИ ))) И еще, где-то пробежало, что админа включили в состав ОЭБ. ИМХО, не совсем правильно. Есть такой кекс, как администратор безопасности, а есть системный администратор. Задачи противоположны по сути - первый ограничивает доступ юзеров к информации и ресурсам как может, второй должен обеспечить гарантированный и легкий доступ к ресурсам сети. - администратор ИБ - это администратор внештатных СЗИ. Штатные СЗИ - прерогатива админа. В службе ИТ ИБ еще есть должности аналитиков манагеров - именно их совместаная работа и обеспечивает конфиденциальность целостнолсть и доступность информации в сети.- Онлайн-слежка за документами PDF
В ворде такая система уже есть ))) RMS Вы забываете о метаданных еще к тому же ))) я тут потратил 10 минут и посмотрел опубликованные doc/xls/pdf/ppt документы на it2b.ru :))) все на месте )) метаданные тоже ))- проверка своего сервера
Сами пентесты нельзя. Пентест - это реализация одного из уязвимых векторов. И реализованный 1 вектор не говорит о том что не существует других направлений проникновения. Именно данные пентестов по разным векторам используются в методиках анализа риска для создания моделей нарушителей. Может получится ситуация что инсайдеры не представляют такую угрозу для бизнеса как вторжение из внешних (сопредельных сетей филиалов и тп).- проверка своего сервера
Компании специализирующиеся на пентестах применяют зачастую непубличные (неизвестные) методики и уязвимости (0day). Пентест - это не проверка защищенности. Это показатель эффективности СЗИ на различных периметрах. При пентесте устраиваются и проникновения из нутри. У нас была практика когда для пентеста устраивались на работу к заказчику )))- проверка своего сервера
Есть 2 вида тестирования - whitebox/blackbox. отличаются методиками и исходными данными предоставляемыми заказчиком. Цена пентеста в среднем - 5000 Если сумма меньше - некомпетентность. Выше - накрутка за брэндовость. Сроки от 2х недель до 3х месяцев. В зависимости от того что является целью пентеста. Оговариваются моменты применения социнженерии и нарушения заданного режима работы ИС. - проверка своего сервера
хыровато
Members
-
Зарегистрирован
-
Посещение