Пентесты: что нужно знать прежде чем проводить?
Вебинар технического директора компании АБП2Б Валерия Холоденко и директора по маркетингу АБП2Б Вячеслава Маковича о том, как подойти к пентесту осознанно — с правильной целью, грамотным подрядчиком и результатом, который реально повысит защищённость бизнеса.
Пентест часто заказывают ради требований регулятора или ощущения спокойствия. Но неправильно поставленная цель, формальный подход к выбору подрядчика и отсутствие работы с отчётом превращают пентест в пустую трату бюджета. Самое ценное в пентесте — не сам факт проверки, а качественный отчёт и последующее устранение уязвимостей с обязательным ретестом. В этом эфире разобрали, как выстроить процесс от формулировки цели до приёмки результатов, чтобы пентест действительно снижал бизнес-риски.
Что вы узнаете:
✓ Чем пентест отличается от сканирования на уязвимости, Red Team и аудита ИБ
✓ Кому пентест нужен в первую очередь: онлайн-бизнес, операторы ПДн, финтех, производство, логистика
✓ Как правильно ставить цель: от бизнес-процессов и недопустимых событий, а не от IT-инфраструктуры
✓ Методы пентеста: Black Box, Grey Box, White Box и Red Team — когда какой подходит
✓ Когда подключать социальную инженерию, а когда это будет пустой тратой бюджета
✓ Как выбрать подрядчика: опросный лист, лицензии ФСТЭК и ФСБ, сертификаты (OSCP), Bug Bounty, демо-отчёты
✓ Что делать, если несколько подрядчиков выглядят одинаково: запрос активной разведки как тест компетенций
✓ Место ИИ в современных пентестах: ускорение работы без замены ручной экспертизы
✓ Этапы пентеста: от скоупа до ретеста и подсчёта снижения рисков
✓ Как должен выглядеть нормальный отчёт — для руководства и для технических специалистов
✓ Что делать, если рекомендации слишком общие и команда не может их реализовать
✓ Специфика по отраслям: муниципальные учреждения, промышленность с АСУ ТП, IT-интеграторы, финтех, пищевое производство, нефтянка, металлургия
✓ Как посчитать ROI пентеста и обосновать бюджет перед руководством
00:00 — Приветствие и знакомство со спикером
01:45 — Пентест, сканирование, Red Team, аудит ИБ: в чём разница
04:29 — Кому в первую очередь нужен пентест: отрасли и критерии
07:15 — Как правильно формулировать цель и выбирать скоуп
10:24 — Нужно ли уведомлять ГосСОПКА и регуляторов
10:34 — Методы пентеста: Black/Grey/White Box и Red Team
14:01 — Социальная инженерия: когда её подключать
15:37 — Как выбрать подрядчика: опросные листы, лицензии, сертификаты
20:21 — Что делать, если подрядчики выглядят одинаково
21:43 — Работа с рекомендациями в отчёте: общие vs точечные
24:39 — Место ИИ в современных пентестах
26:15 — Этапы пентеста: от цели до ретеста
29:02 — Идеальный отчёт: структура для руководства и для технических специалистов
31:57 — Приёмка отчёта и работа с найденными уязвимостями
34:34 — Разбор отраслей: муниципальные учреждения, промышленность, IT-интеграторы, финтех, пищёвка, нефтянка, металлургия
42:58 — Защита АСУ ТП: промышленные протоколы и архитектура
44:16 — ROI пентеста: как считать и обосновывать бюджет
46:23 — Сертификации специалистов: OSCP и другие
47:51 — Итоги и анонс следующих эфиров
Спикеры:
Валерий Холоденко — технический директор компании АВ2, эксперт по проведению пентестов, аудитов информационной безопасности и проверок киберзащищённости, руководитель команды с большим опытом работы в различных отраслях.
Вячеслав Макович — директор по маркетингу компании АБП2Б, эксперт по практической кибербезопасности бизнеса, специалист по оценке и снижению киберрисков, адаптации требований информационной безопасности под реальные потребности бизнеса.
