15 ноября 2013 года семинар «Тест на проникновение, как средство предупреждения утечки конфиденциальной информации в сети Интернет»

Семинар
Мероприятие прошло
15.11.2013

У потребителей услуг и продуктов информационной безопасности нередко возникают вопросы: «Зачем нам нужен комплексный аудит информационной безопасности и, тем более, тест на проникновение? Почему бы нам просто не приобрести какое-нибудь мощное средство, или несколько мощных средств и, усадив за управление этими сертифицированными средствами сертифицированных специалистов, не решить раз навсегда проблему информационной безопасности нашей компании?»

Основная проблема информационной безопасности, по крайней мере, в нашей стране - отсутствие общего языка с бизнесом. Такого общего языка, на основе которого между бизнесом и информационной безопасностью был бы возможен конструктивный диалог. Типовой набор риторики со стороны информационной безопасности бизнесу не интересен. Формулировки вроде "чисто техническими мерами построить эффективную защиту невозможно" бизнесу не понятны. Также, бизнесу не очень понятны такие сентенции как "информационная безопасность - это непрерывный процесс". Более того, бизнесу совершенно не очевидна непосредственная взаимосвязь между наличием каких-либо уязвимостей и рисками финансовых потерь.

С другой стороны, информационная безопасность, обслуживающая бизнес, понимает, что ее эффективность зависит, в первую очередь, от степени осознания этим бизнесом рисков и угроз, которым подвергаются принадлежащие данному бизнесу ценные информационные активы. Тестирование на проникновение - оптимальный вариант наглядной демонстрации бизнесу рисков и угроз информационной безопасности. Правильно организованное тестирование на проникновение может послужить первым шагом к конструктивному диалогу между информационной безопасностью и бизнесом.

15 ноября 2013 года семинар «Практические аспекты проведения теста на проникновение»

Программа семинара:

9.45 — 10.00: Регистрация участников и приветственный кофе

10.00 — 10.15: Вступительное слово (Андрей Соколов, консультант по информационной безопасности ЗАО «ДиалогНаука»)

10.15 – 11.00: Тестирование на проникновение и анализ защищённости (Андрей Соколов)

На отечественном рынке продуктов и услуг информационной безопасности несколько десятков консалтинговых команий и системных интеграторов предлагают услугу под названием "тестирование на проникновение". В подавляющем большинстве случаев, "тестирование на проникновение" позиционируется как средство поиска уязвимостей и анализа защищенности (security assessment), при котором непосредственно получение доступа к каким-либо ценным информационным ресурсом является побочной, второстепенной задачей. При таком подходе, как правило, проникновение как таковое не совершается.

Компания "ДиалогНаука" позиционирует тест на проникновение как работу по осуществлению проникновения к наиболее ценным и чувствительным информационным активам компании Заказчика (penetration testing), при котором поиск уязвимостей и анализ защищенности является побочной, второстепенной задачей.

В ходе данного доклада будут приведены аргументы в пользу обоих подходов. Типовые методики анализа защищенности позиционируются как необходимый инструмент регулярного применения по снижению существующих (принятых к обработке у компании-Заказчика) рисков и угроз. Тестирование на проникновение позиционируется как инструмент однократного применения, демонстрирующий бизнесу важность и актуальность вопросов информационной безопасности на понятном бизнесу языке: на языке денег.

11.00 – 12.00: Модель нарушителя: квалифицированный мотивированный взломщик (Андрей Соколов)

Тестирование на проникновение, имитирующее реального взломщика, представляет собой непосредственно проникновение к наиболее ценным информационным активам компании-Заказчика и установку над этими активами постоянного, невидимого контроля. Реальных взломщиков не интересуют такие вещи как уязвимости, классификации и метрики уязвимостей, вероятности позитивной эксплуатации обнаруженных уязвимостей; реальных взломщиков интересует лишь конкретный конечный результат: получение доступа к ценной конфиденциальной информации, установка контроля над какими-либо узлами в закрытой и защищаемой корпоративной сети, кража денег.

Серьезные цели не бывают доступными (ни физически, ни топологически) случайному человеку с улицы, с открытых диапазонов из внешней Сети. Между взломщиком и его конечной целью всегда есть как минимум несколько контрольных точек, над которыми взломщику необходимо установить контроль. Кроме этого, взломщик обязан учитывать весь спектр средств защиты информации, который может применяться на таких контрольных точках: начиная от антивирусов и локальных средств про-активной защиты, заканчивая средствами мониторинга событий информационной безопасности.

В ходе данного доклада, будет рассмотрена максимально приближенная к объективной действительности модель нарушителя, условно называемая «квалифицированный мотивированный взломщик».

12.00 — 12.20: Кофе-брейк

12.20 — 13.30: Практические аспекты реализации проектов по тестированию на проникновение (Андрей Соколов)

Перед взломщиком стоит довольно сложная в тактическом отношении задача: необходимо проводить разведку, планировать и отлаживать сценарии проникновения и осуществлять само проникновение таким образом, чтобы ни в коем случае не быть обнаруженным, ведь компрометация взломщика зачастую означает провал всей операции или, как минимум, всего уже реализованного вектора проникновения. В таких условиях, взломщик не может полагаться на вероятности: каждое его действие должно осуществляться с заранее предсказуемым результатом, это необходимое условие успешной хакерской атаки. Общий принцип сценариев проникновения, реализуемых реальными взломщиками – простота: чем проще, примитивнее и, вместе с тем, элегантнее сценарий проникновения, тем с более предсказуемым результатом такой сценарий будет реализован. Многие сценарии проникновения (особенно на основе социальной инженерии и физики социальных процессов), используемые реальными взломщиками, остаются неизменными на протяжении многих лет.

В рамках данного доклада, будет продемонстрирован широкий спектр простых, но очень эффектных и эффективных вариантов хакерского воздействия - исполнения кода и повышения привилегий доступа в объектах защиты информации. Будет рассмотрен следующий круг вопросов:

  • Пространство воздействия на объекты защиты: лобовое воздействие (взлом), интерактивное воздействие (социальная инженерия), физическое воздействие;
  • Классификация уязвимостей глазами взломщика: технологические, эксплуатационные, организационные и архитектурные уязвимости;
  • Технические средства защиты информации глазами квалифицированного взломщика;

Также, будет приведено множество примеров из реальной практики по каждому из рассматриваемых аспектов.

13.30 – 14.00: Организационные аспекты реализации тестов на проникновение (Андрей Соколов)

В ходе доклада будут рассмотрены наиболее интересные и актуальные вопросы по организации проектов по тестированию на проникновение. Будут рассмотрены примеры успешно завершенных проектов, которые, в итоге, привели к повышению уровня зрелости информационной безопасности и к повышению бюджета на информационную безопасность.

14.00 — 14.20: Кофе-брейк

14.20 — 16.00:Секция №2 (Андрей Масалович, руководитель направления конкурентной разведки ЗАО «ДиалогНаука»)

Аудит утечек конфиденциальной информации на основе технологий конкурентной разведки

  • Цели и задачи аудита, направленного на поиск конфиденциальной информации в сети Интернет
  • Практические приемы быстрого обнаружения утечек конфиденциальных данных
  • Особенности использования технологий конкурентной разведки при проведении аудита
  • Примеры типичных ошибок при хранении конфиденциальных данныx
  • Методология экспресс-аудита утечек конфиденциальной информации
  • В каких случаях может проводиться аудит наличия конфиденциальной информации в сети Интернет

С 16.00: Обмен мнениями, обсуждение, ответы на вопросы. Обмен заполненных анкет на электронный носитель с материалами семинара. Розыгрыш призов среди участников, сдавших заполненные анкеты. Заключительный кофе.

По всем вопросам обращайтесь:

Отдел маркетинга ЗАО «ДиалогНаука»
Тел.: (495) 980-67-76
Факс: +7(495) 980-67-75
E-mail: marketing@DialogNauka.ru

Заказать персональную консультацию

Пожалуйста, корректно заполните поля, помеченные как обязательные (*)
;