Перейти к содержанию
View in the app

A better way to browse. Learn more.

IT2B - Технологии разведки для бизнеса

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

хыровато

Members
  • Зарегистрирован

  • Посещение

  1. 1. В договоре может быть написано ЧТО УГОДНО. А по факту все равно есть вероятность сложить критически важную подсистему или сервис. По факту нештатной ситуации начнется процедура внутреннего расследования. А это - ГЕМОР по определению. И угадайте у кого будет преимущество в представлении доказательной базы руководству (Заказчику) - у "левых" "пенетраторов" или у "своих" админов? 1 железное правило при блэкбокс пентестировании - это то что IT службы не оповещены и работают в заданном режиме работы. Если произошло нарушение заданного режима работы то расследование инцидентов покажет что произошло потому то и потому то. Если в отчете по пентесту есть действия которые привели к нарушению - то это уже неисполнение Исполнителем условий договора. 2. При всех процедурах, которые проводятся при тестах сидят представители заказчика. Это ЖЕЛЕЗНОЕ правило. Причем расписываются в том, что эти процедуры производятся с их согласия. Тайны никто не делает ни из чего. Увидел как и чем пробито - ради Бога. Вы хоть раз учавствовали в пентесте ? Методика инструменты и специалисты принимающие участие - это коммерческая тайна компании. При пентесте пентестеры не раскрывают принципов работы какого нить 0day софта. 3. Вам проще ломануть граничный маршрутизатор и пошкрябать сеть - не вопрос, хотя это уже состав преступления и слив инфы через человека - менее доказуем. Однако есть такое понятие как модель нарушителя. И туда в длииииииинный список хакеры входят только в двух-трех пунктах или около того. А защитить нужно от всего на свете, если просят. Мы говорим о тестировании на проникновение. Тестирование на проникновение - это 1 модель - модель Промышленного шпионажа. 4. Под тюнингом я понимал не эксклюзив в настройках, а нечто вроде модификации ядра ОС - это редкость. Все остальное - не искусство, а ремесло и тюнингом я такие вещи не считаю. Модификация же чужих программных продуктов дело КРАЙНЕ МУТНОЕ в правовом отношении и в техническом. - Здесь вопросов нету. 5. Ваша статистика общеизвестна, но не опровергает то, что 80% проблем с безопасностью информации решаются с помощью организационно-административных мер. Судя по графику потерь CSI/FBI от инцидентов в ИБ - на 1м месте - ущерб от DOS/DDOS атак. Соответственно зная что административными методами это не решить а проблема доступности информации - это основы безопасности - ваше утверждение неверное А вообще я не склонен спорить, вы в своей области правы. Каждый солит суп по-своему. Дадада )) Советую только не забыть, что АИС реализует алгоритмы обработки информации, которые в том или ином виде существуют и без нее, и человек является носителем информации независимо от наличия компьютера на столе. - А вы не забывайте что из компутера человека можно вытащить нааамного больше интересующей информации чем из его головы в некоторых случаях )
  2. Честно говоря такая тема как пентест мне кажется скользкой в юридическом отношении. Высока вероятность при тестовом заломе грохнуть реальные ресурсы и сервисы. - Это предусматривается юридическим договором. В нем указано что к примеру заданный режим работы сетевого и серверного оборудования (24*7 9 *5) нарушаться не будет. Даже если шел скан с целью инвентаризации, а не на уязвимости. - Если вы могли это обнаружить. Значит вас ламеры пентестили. Профи при blackbox тестировании не дадут себя обнаружить. Если идет комплексное обследование предприятия, то проще в рамках проекта проверить настройки компонентов, регулярность обновления (патчи и антивирусные базы, спам-базы, обновления експлоитов) и правильность организационной компоненты АИС. - И все равно в 95% случаев пентест удается. Если все с автоматизированной системой пучком - проще не ломать, а вербовать агентуру на предприятии, пытаться слушать и т.д. - пучком никогда ни в каких случаях на 100% ничего не будет. Мне проще взломать если есть возможность чем вербовать )) Статистика о том же говорит - до 80% траблов предупреждаются просто вставкой кактуса куда надо ленивым админам со стороны руководства по инициативе аудиторов или админа безопасности. Моя статистика говорит что 90% случаев проникновения не обнаруживаются в системе. Об этом говорит только всплывшая информация. Таких заказчиков большинство. А "тюнинг" СЗИ встречается редко. - Тюнинг СЗИ присутствует всегда там где беспокоюцца о СЗИ ))) И еще, где-то пробежало, что админа включили в состав ОЭБ. ИМХО, не совсем правильно. Есть такой кекс, как администратор безопасности, а есть системный администратор. Задачи противоположны по сути - первый ограничивает доступ юзеров к информации и ресурсам как может, второй должен обеспечить гарантированный и легкий доступ к ресурсам сети. - администратор ИБ - это администратор внештатных СЗИ. Штатные СЗИ - прерогатива админа. В службе ИТ ИБ еще есть должности аналитиков манагеров - именно их совместаная работа и обеспечивает конфиденциальность целостнолсть и доступность информации в сети.
  3. В ворде такая система уже есть ))) RMS Вы забываете о метаданных еще к тому же ))) я тут потратил 10 минут и посмотрел опубликованные doc/xls/pdf/ppt документы на it2b.ru :))) все на месте )) метаданные тоже ))
  4. Сами пентесты нельзя. Пентест - это реализация одного из уязвимых векторов. И реализованный 1 вектор не говорит о том что не существует других направлений проникновения. Именно данные пентестов по разным векторам используются в методиках анализа риска для создания моделей нарушителей. Может получится ситуация что инсайдеры не представляют такую угрозу для бизнеса как вторжение из внешних (сопредельных сетей филиалов и тп).
  5. Компании специализирующиеся на пентестах применяют зачастую непубличные (неизвестные) методики и уязвимости (0day). Пентест - это не проверка защищенности. Это показатель эффективности СЗИ на различных периметрах. При пентесте устраиваются и проникновения из нутри. У нас была практика когда для пентеста устраивались на работу к заказчику )))
  6. Есть 2 вида тестирования - whitebox/blackbox. отличаются методиками и исходными данными предоставляемыми заказчиком. Цена пентеста в среднем - 5000 Если сумма меньше - некомпетентность. Выше - накрутка за брэндовость. Сроки от 2х недель до 3х месяцев. В зависимости от того что является целью пентеста. Оговариваются моменты применения социнженерии и нарушения заданного режима работы ИС.

Account

Navigation

Поиск

Поиск

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.