Пентест — это такая вещь, что и результатами не поделишься и крупного клиента в портфолио не положишь, как бы круто ты его не сделал. Но есть проекты, у которых и срок давности вышел, и никто в жизни не догадается о ком речь, если не называть компанию.
⠀
Тем временем отраслевой опыт может быть полезен многим. Например, после статьи на Хакере, нам писали благодарности, что нашли такую же уязвимость у себя, можно и пентест не заказывать. Поэтому мы решили, что немного рассказывать про свой опыт все таки можно. Сегодня речь пойдет о работе с сервисом готовой еды. 😏😋
⠀
Тем временем отраслевой опыт может быть полезен многим. Например, после статьи на Хакере, нам писали благодарности, что нашли такую же уязвимость у себя, можно и пентест не заказывать. Поэтому мы решили, что немного рассказывать про свой опыт все таки можно. Сегодня речь пойдет о работе с сервисом готовой еды. 😏😋
👍7🔥2❤1🎉1
Апофеоз пентеста: Стань мастером донесения информации руководителям
Был такой кейс: продвигались по сети, попали в интересную подсеть, где была машина с очень злой уязвимостью и сессией достаточно значимого человека в домене. Эксплуатацию мы проводили по согласованию, поэтому позвонили devops-у (не хотелось ронять ему сервис своим эксплоитом и прерывать процессы), описали ситуацию и свои мысли, мотивы. На что получили ответ:
«Да, обязательно это делайте, я даю добро! И вне зависимости от результата, пожалуйста, опишите это в отчете — я уже год прошу выделить ресурсы на то, чтобы эту подсеть перестроить, но меня никто не слушает. Если получится, значит меня наконец-то услышат». В течение следующих 15 минут мы забрали DA.
Из этой истории и опыта работы с большими компаниями с глубокой субординацией, мы сделали вывод — даже оказывая сложную техническую услугу, общаться следует на языке денег.
Владельцы бизнеса мыслят прибылью, в этой связи ИБ — это просто траты. Но избежать этих трат все равно не выйдет. Запросы к начальству со стороны ИБ, нередко оказываются сфокусированы на локальной задаче, выражены сложным техническим языком и требуют дополнительной «расшифровки», а значит и дополнительной аргументации.
Не нужно говорить «тут уязвимость, это опасно», нужно говорить «если мы сейчас не вложим сюда $, то когда нас пробьют — мы потеряем $$$, решайте сами». Да, это требует подготовки и анализа активов, но благодаря такому подходу проблемы недостатка бюджета или ресурсов, решаются гораздо быстрее.
Окончание пентеста — это всего лишь начало большой работы для наших коллег. Они будут заниматься устранением найденных уязвимостей, построением новых ИБ-процессов и прочими изменениями, направленными на защиту систем. Весомой добавочной ценностью пентеста станет еxecutive summary, которое поймет совет директоров и захочет пойти на встречу ИБ. Еще лучше если вы в состоянии провести защиту проекта бизнес-заказчику и заставить биг-боссов быстро понять — насколько все уязвимо, и что нужно делать, чтобы изменить это.
Что нужно для хорошего executive summary?
1) Конкретика и цифры. Поскольку этот раздел читает бизнес, которые не понимает технических слов, важно доходчиво донести бизнес-риски, к которым ведут уязвимости.
2) Объяснить, каким был перечень работ, например, сделали пентест, фишинг, и так далее. Рассказать зачем это было нужно и к каким выводам привело. Схемы, картинки, например, ход пентеста верхнеуровнево «для самых маленьких».
3) Небольшая аналитика, например, количество критичных уязвимостей, время, необходимое злоумышленнику для компрометации инфраструктуры, необходимый уровень злоумышленника для реализации всех атак, сколько человек в компании попалось на фишинг и так далее.
4) Декомпозиция рисков — какой ущерб может нанести реализации атаки, к чему может привести успешный фишинг и тд
5) И конечно, отработка возражении. Рекомендации, понятные всем, например, внедрение таких-то средств защиты, позволит избежать реализацию атаки номер 1, непрерывный анализ защищенности позволит не допустить таких-то событий и так далее.
Надеемся, что серия постов на тему «идеальный пентест» 🙌 была полезной для коллег и заказчиков. Ставьте лайк, если хотите продолжения демонстрации внутренней offensive-кухни🙂
__________________
Предыдущие посты на тему #бенчмарк_пентеста
— Как оценивать результаты пентеста?
— Общие принципы хорошего пентеста и признаки качественного отчета.
— Каким НЕ ДОЛЖЕН быть пентест?
Был такой кейс: продвигались по сети, попали в интересную подсеть, где была машина с очень злой уязвимостью и сессией достаточно значимого человека в домене. Эксплуатацию мы проводили по согласованию, поэтому позвонили devops-у (не хотелось ронять ему сервис своим эксплоитом и прерывать процессы), описали ситуацию и свои мысли, мотивы. На что получили ответ:
«Да, обязательно это делайте, я даю добро! И вне зависимости от результата, пожалуйста, опишите это в отчете — я уже год прошу выделить ресурсы на то, чтобы эту подсеть перестроить, но меня никто не слушает. Если получится, значит меня наконец-то услышат». В течение следующих 15 минут мы забрали DA.
Из этой истории и опыта работы с большими компаниями с глубокой субординацией, мы сделали вывод — даже оказывая сложную техническую услугу, общаться следует на языке денег.
Владельцы бизнеса мыслят прибылью, в этой связи ИБ — это просто траты. Но избежать этих трат все равно не выйдет. Запросы к начальству со стороны ИБ, нередко оказываются сфокусированы на локальной задаче, выражены сложным техническим языком и требуют дополнительной «расшифровки», а значит и дополнительной аргументации.
Не нужно говорить «тут уязвимость, это опасно», нужно говорить «если мы сейчас не вложим сюда $, то когда нас пробьют — мы потеряем $$$, решайте сами». Да, это требует подготовки и анализа активов, но благодаря такому подходу проблемы недостатка бюджета или ресурсов, решаются гораздо быстрее.
Окончание пентеста — это всего лишь начало большой работы для наших коллег. Они будут заниматься устранением найденных уязвимостей, построением новых ИБ-процессов и прочими изменениями, направленными на защиту систем. Весомой добавочной ценностью пентеста станет еxecutive summary, которое поймет совет директоров и захочет пойти на встречу ИБ. Еще лучше если вы в состоянии провести защиту проекта бизнес-заказчику и заставить биг-боссов быстро понять — насколько все уязвимо, и что нужно делать, чтобы изменить это.
Что нужно для хорошего executive summary?
1) Конкретика и цифры. Поскольку этот раздел читает бизнес, которые не понимает технических слов, важно доходчиво донести бизнес-риски, к которым ведут уязвимости.
2) Объяснить, каким был перечень работ, например, сделали пентест, фишинг, и так далее. Рассказать зачем это было нужно и к каким выводам привело. Схемы, картинки, например, ход пентеста верхнеуровнево «для самых маленьких».
3) Небольшая аналитика, например, количество критичных уязвимостей, время, необходимое злоумышленнику для компрометации инфраструктуры, необходимый уровень злоумышленника для реализации всех атак, сколько человек в компании попалось на фишинг и так далее.
4) Декомпозиция рисков — какой ущерб может нанести реализации атаки, к чему может привести успешный фишинг и тд
5) И конечно, отработка возражении. Рекомендации, понятные всем, например, внедрение таких-то средств защиты, позволит избежать реализацию атаки номер 1, непрерывный анализ защищенности позволит не допустить таких-то событий и так далее.
Надеемся, что серия постов на тему «идеальный пентест» 🙌 была полезной для коллег и заказчиков. Ставьте лайк, если хотите продолжения демонстрации внутренней offensive-кухни
__________________
Предыдущие посты на тему #бенчмарк_пентеста
— Как оценивать результаты пентеста?
— Общие принципы хорошего пентеста и признаки качественного отчета.
— Каким НЕ ДОЛЖЕН быть пентест?
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5❤🔥4🔥2🍾2🤩1
Заканчиваем серию постов #бенчмарк_пентеста вебинаром на тему лучших практик в тестировании на проникновение.
Обсудим:
— Как проводить достойный пентест;
— Каким должен быть отчет у специалистов, которые себя уважают;
— Признаки компетентных и некомпетентных специалистов;
— Еxecutive summary ≠ краткое содержание: каким он должен быть;
— Как сделать так, чтобы найденные уязвимости в дальнейшем все таки пофиксили.
28 марта в 18:00 приходите вдохновляться.
👉 Регистрация здесь
Организовано при поддержке Cyber media
Обсудим:
— Как проводить достойный пентест;
— Каким должен быть отчет у специалистов, которые себя уважают;
— Признаки компетентных и некомпетентных специалистов;
— Еxecutive summary ≠ краткое содержание: каким он должен быть;
— Как сделать так, чтобы найденные уязвимости в дальнейшем все таки пофиксили.
28 марта в 18:00 приходите вдохновляться.
👉 Регистрация здесь
Организовано при поддержке Cyber media
🔥4👍2❤🔥1🍾1
Айтишников тоже мобилизуют?
Да, на CISO форум!
35+ экспертов из ведущих компаний
1000+ участников форума
15+ практических сессий
16 летний опыт индустрии собран в 1 день
👉XVI Межотраслевой CISO FORUM👈
Иии... мы выступаем там в секции: «Надежда и опора. К чему нас приведет доминирование отечественного софта и железа?» — by Александр Герасимов :)
Обсудим:
— Open Source: ожидания vs реальность
— Достойные решения под основные задачи ИТ и ИБ;
— Примеры и характеристики решений для: построения базовых процессов ИТ, защиты инфраструктуры и устройств, анализа защищенности;
— Пример построения автоматизированного поиска уязвимостей и мониторинга;
14 апреля
Холидей Инн Сокольники
👉Регистрируйтесь по ссылке
Да, на CISO форум!
35+ экспертов из ведущих компаний
1000+ участников форума
15+ практических сессий
16 летний опыт индустрии собран в 1 день
👉XVI Межотраслевой CISO FORUM👈
Иии... мы выступаем там в секции: «Надежда и опора. К чему нас приведет доминирование отечественного софта и железа?» — by Александр Герасимов :)
Обсудим:
— Open Source: ожидания vs реальность
— Достойные решения под основные задачи ИТ и ИБ;
— Примеры и характеристики решений для: построения базовых процессов ИТ, защиты инфраструктуры и устройств, анализа защищенности;
— Пример построения автоматизированного поиска уязвимостей и мониторинга;
14 апреля
Холидей Инн Сокольники
👉Регистрируйтесь по ссылке
💩13👍5❤🔥3🔥3🫡2🦄1
Записать выступление Александра, как предыдущий круглый стол?
Anonymous Poll
83%
да!
18%
не, не надо
Как провести анализ защищенности веб-приложения: Александр Герасимов рассказал о лучших практиках в статье на Ciso club.
~ Какие баги искать?
~ Какую информацию предоставить исполнителю?
~ Какие сформулировать задачи?
~ Кому и как часто нужно проводить анализ?
~ Что делать с найденными уязвимостями?
~ Какими должны быть результаты и как их правильно оценить?
Читайте → абсолютно безопасная ссылка.
~ Какие баги искать?
~ Какую информацию предоставить исполнителю?
~ Какие сформулировать задачи?
~ Кому и как часто нужно проводить анализ?
~ Что делать с найденными уязвимостями?
~ Какими должны быть результаты и как их правильно оценить?
Читайте → абсолютно безопасная ссылка.
CISOCLUB
Анализ защищенности веб-приложений: лучшие практики и главные выводы | CISOCLUB
Анализ защищенности проводят для выявления всевозможных уязвимостей, мошеннических схем, каналов утечки конфиденциальной информации и других ошибок, способных привести к несанкционированному доступу к административным функциям веб-приложений. По сути — это…
❤🔥2👍2🔥2👏2
Всем привет! Лучший доклад с CISO форума уже доступен в записи → https://www.youtube.com/watch?v=PvMaOg6-9F8
Инджой!
Инджой!
YouTube
CISO форум: Обзор продуктов на базе открытого кода
— Open Source ожидание vs реальность;
— Достойные решения под основные задачи ИТ и ИБ;
— Примеры и характеристики решений для: построения базовых процессов ИТ, защиты инфраструктуры и устройств, анализа защищенности;
— Пример построения автоматизированного…
— Достойные решения под основные задачи ИТ и ИБ;
— Примеры и характеристики решений для: построения базовых процессов ИТ, защиты инфраструктуры и устройств, анализа защищенности;
— Пример построения автоматизированного…
🔥10
Сбор security логов и мониторинг событий в Linux.
Вовремя среагировать или расследовать инцидент может помочь утилита SysmonForLinuх.
System Monitor for Linux — это инструмент, предоставляющий возможность расширенного мониторинга событий в Linux. Он является полным аналогом инструмента Sysinternals Sysmon для Windows.
Утилита позволяет отслеживать системные вызовы, такие как: создание и удаление файлов, изменение прав доступа к файлам, запуск и остановка процессов, сетевую активность, изменения в системном реестре и т.д. Кроме того, может определять подозрительную активность и отправлять уведомления об этом.
Нам, конечно, хотелось бы использовать SysmonForLinux до момента полной компрометации системы. Поэтому — пару слов про интеграции SysmonForLinux в SIEM.
Для интеграции можно использовать системы сбора и анализа журналов (например, ELK), агрегаторы логов (например, Fluentd, rsyslog). В процессе интеграции можно (даже нужно, т.к. событий будет очень много) настроить сбор данных о различных событиях, определить пороговые значения и правила для обнаружения подозрительной активности и настроить уведомления для оперативного реагирования на инциденты.
Конечно, SysmonForLinux имеет множество аналогов, которые могут быть удобнее для вашей инфраструктуры.
А как вы собираете security события с *nix хостов?
Вовремя среагировать или расследовать инцидент может помочь утилита SysmonForLinuх.
System Monitor for Linux — это инструмент, предоставляющий возможность расширенного мониторинга событий в Linux. Он является полным аналогом инструмента Sysinternals Sysmon для Windows.
Утилита позволяет отслеживать системные вызовы, такие как: создание и удаление файлов, изменение прав доступа к файлам, запуск и остановка процессов, сетевую активность, изменения в системном реестре и т.д. Кроме того, может определять подозрительную активность и отправлять уведомления об этом.
Нам, конечно, хотелось бы использовать SysmonForLinux до момента полной компрометации системы. Поэтому — пару слов про интеграции SysmonForLinux в SIEM.
Для интеграции можно использовать системы сбора и анализа журналов (например, ELK), агрегаторы логов (например, Fluentd, rsyslog). В процессе интеграции можно (даже нужно, т.к. событий будет очень много) настроить сбор данных о различных событиях, определить пороговые значения и правила для обнаружения подозрительной активности и настроить уведомления для оперативного реагирования на инциденты.
Конечно, SysmonForLinux имеет множество аналогов, которые могут быть удобнее для вашей инфраструктуры.
А как вы собираете security события с *nix хостов?
👍4❤3😁1
Продолжаем рассказывать о проектах обезличено. Сегодня история о том, как клиентоориентированность автодилера сгубила.
Если нужна консультация, пентест или тренинг по социальной инженерии — пишите на почту info@awillix.ru
Если нужна консультация, пентест или тренинг по социальной инженерии — пишите на почту info@awillix.ru
🔥9❤2❤🔥1👍1😁1😱1
Как сделать аудит безопасности мобильного приложения? Продолжаем рассказывать про свой опыт на страницах Ciso club.
~ Цель аудита безопасности мобильных приложений.
~ Специфика первичного анализа приложения.
~ Зависимость от физического оборудования.
~ Инструменты для анализа защищенности на ОС Android и ОС iOS.
~ Практики успешного проведения оценки состояния защищенности мобильных приложений.
Много букв и много пользы :)
Читайте → https://cisoclub.ru/audit-bezopasnosti-mobilnyh-prilozhenij-osobennosti-instrumenty-i-luchshie-praktiki/
~ Цель аудита безопасности мобильных приложений.
~ Специфика первичного анализа приложения.
~ Зависимость от физического оборудования.
~ Инструменты для анализа защищенности на ОС Android и ОС iOS.
~ Практики успешного проведения оценки состояния защищенности мобильных приложений.
Много букв и много пользы :)
Читайте → https://cisoclub.ru/audit-bezopasnosti-mobilnyh-prilozhenij-osobennosti-instrumenty-i-luchshie-praktiki/
CISOCLUB
Аудит безопасности мобильных приложений: особенности, инструменты и лучшие практики | CISOCLUB
Цель аудита безопасности мобильных приложений Есть две ключевых цели, выделенных в стандарте OWASP ASVS. ASVS – это список требований или тестов для проверки безопасности приложений, которым могут воспользоваться архитекторы, разработчики, тестировщики, специалисты…
🔥4❤2👍2✍1❤🔥1👏1