«Правильный» пентест — мы выбираем, нас выбирают HD

27.05.2022 #GlobalDigitalSpace провела открытую дискуссию из цикла передач «Точки над iT» на тему ««Правильный» пентест — мы выбираем, нас выбирают». Эксперты обсудили следующие вопросы: ✔️ Когда стоит задуматься в компании об оценке защищенности? ✔️ Как ставить задачу подрядчику, чтобы получить качественное тестирование на проникновение? ✔️ Чем отличается правильный пентест от всего остального? ✔️Какие критерии оценки? ✔️ Существует ли подводные камни, о которых стоит знать заказчику, чтобы не нарваться на непрофессионалов? ✔️ Что лучше pentest или redteam? ✔️Куда пойти учиться тем, кто хотел бы заниматься пентестами? Ведущий: Дмитрий Борощук, руководитель агентства BeholderIsHere Consulting. Криминалист, исследователь в области кибербезопасности Спикеры: Лука Сафонов, технический директор АО "Синклит" Александр Дмитриев, технический директор и совладелец "Электронное облако" Присоединяйтесь! Наш сайт: https://gdspace.ru/ Наши социальные сети: ✈️Telegram https://t.me/GDSpace VK https://vk.com/globaldigitalspace Смотри нас на RuTube: ️ https://rutube.ru/channel/23837201/ ️Удобная навигация: 00:00 Вступление, знакомство 1:21 Как, в течении этих четырех месяцев, изменились ваши клиенты. Те компании, которые обычно к вам обращаются и причины их обращений. 3:00 И все-таки кто эти компании, которые обычно к вам обращаются? Вы придерживаетесь немного разных подходов в методике тестирования, если у электронного облака это обычно подход со стороны защиты, то у Луки - со стороны нападения. Или я не прав? 4:18 Когда наступает тот самый момент, когда владельцу бизнеса стоит задуматься о том, что надо посмотреть,как меня могут взломать? 6:53 Опять-же, о пентесте задумываются либо когда уже “припекло, либо когда уже что-то “утекло”. Либо когда приходит регулятор и говорит что нужно провести проверку. 9:18 Когда заказчик приходит без какого-то конкретного технического задания, задание делаете вы? 10:14 На что следует обратить внимание, когда заказчик захотел тестирование. На какие вещи, точечно, ему следует обратить внимание при формулировании задачи? 11:18 Отличие правильного пентеста от неправильного, где проходит эта грань? 14:00 Со стороны заказчика, какие требования к проверяющей компании ему надо предъявить? 17:28 Раньше было популярно смотреть на сертификаты зарубежных компаний, но сейчас когда они ушли, на что смотреть? 22:04 Вопрос от зрителя: Самозанятые пентестеры должны ли проходить сертификацию, должна ли такая самозанятость давать отсрочку от армии? 22:53 Вопрос от Алексея: В нормативной базе РФ нет документов регламентирующей пентест и выставляющей требования, какими они должны быть. Как вы считаете на каком этапе начинающим организациям стоит озадачиться получением лицензии? 29:51 Вопрос от зрителя: Используете ли вы физический взлом дверей серверных комнат и подобные действия? 37:45 Вопрос от Евгения: Как ограничить ознакомление пентестера с личной информацией сотрудников компании заказчика? 37:59 Вопр