НовостиОбзорыСобытияIT@WorkРеклама
Безопасность:
Масштабное резервное копирование с Veritas: окупаемость уже в первый год
Без резервного копирования данных в ритейле обойтись невозможно: персонифицированные истории покупок, перемещение …
Mail.ru для бизнеса: корпоративная почта как элемент экосистемы
Электронной почте в будущем году исполнится полвека, и до сих пор эта проверенная временем технология …
Wi-Fi 6 в реализации Huawei: все возможности 5G для бизнес-коммуникаций
В рамках Huawei Digital Community Conference 2020 (HDCC-2020) Сергей Аксёнов, менеджер по корпоративным …
Экосистема «Лаборатории Касперского»: зрелая защита от киберугроз
«Лаборатория Касперского» предлагает множество продуктов для коммерческих заказчиков самых различных масштабов …
Атакующая сторона в кибербезопасности — какая она?
В ноябре 2020 г. Международная высшая школа IT и кибербезопасности запускает интенсивный курс …
 

Атакующая сторона в кибербезопасности — какая она?

11.11.2020

В ноябре 2020 г. Международная высшая школа IT и кибербезопасности запускает интенсивный курс «Pentesting: Level 0» для желающих разобраться с основами тестирования на проникновение. В течение трех дней слушатели будут играть на атакующей стороне под руководством опытного профессионала, который реализовал в этой области более 200 проектов.

Востребованность специалистов по оценке практической защищенности информационных систем постоянно растет в условиях, когда утечки конфиденциальных данных и вызванные взломщиками отказы могут полностью парализовать работу компании. Привлечение внешних подрядчиков для проведения экспертных тестов на проникновение (от англ. pentest или penetration test) давно стало нормой в корпоративном мире.

Кто такие пентестеры?

Специалисты по тестам на проникновение имитируют реальные атаки злоумышленников на ИТ-инфраструктуру заказчика и действия внутренних инсайдеров, но без необратимых последствий. В ход идут все хакерские методики: эксплуатация уязвимостей, использование специального оборудования и ПО для взлома, фишинговые рассылки и социальная инженерия. Сотрудники компании обычно не знают о проводящейся проверке, поэтому такая работа не менее увлекательна, чем настоящий взлом: при этом она законна и хорошо оплачивается. В России начинающий пентестер получает от 80 000 рублей, а оклады опытных профессионалов начинаются от 250 000 рублей в месяц.

Как работают пентестеры?

Для имитации действий злоумышленников используются определенные сценарии (модели знаний), а работы состоят из нескольких этапов в соответствии с требованиями и рекомендациями международных руководств и стандартов: PCI DSS (Payment Card Industry Data Security Standard), Open Source Security Testing Methodology Manual (OSSTMM) или OWASP Testing Guide. Каждый тест разбивается на стадии, притом сначала проводится сетевая разведка, а уже потом идентификация уязвимостей.

Их эксплуатация и возможные последствия для ИТ-инфраструктуры оговариваются с компанией-заказчиком заранее. Работы не должны приводить к порче данных или серьезным сбоям в целевых системах, поэтому в случае высокого риска они немедленно приостанавливаются до получения от заказчика формального разрешения продолжить. После каждого теста проводится зачистка, когда заказчику передают инструкции по устранению последствий стороннего вмешательства в информационные системы.

Что получает заказчик?

Итогом пентеста становится развернутый аналитический отчет с конкретными рекомендациями по закрытию уязвимостей и уменьшению рисков информационной безопасности, разработанный с учетом тенденций отрасли и актуальных угроз.

Где можно научиться пентесту?

Чтобы стать профессионалом в области тестов на проникновение, придется потратить немало времени сил и денег. Курсы по обучению этой профессии стоят достаточно дорого, поэтому если вы только пытаетесь определить направление карьеры в области информационной безопасности, лучше пройти интенсив от HackerU. Для начала учебы слушателям не потребуются глубокие познания в области взлома: курс рассчитан на начинающих специалистов в сфере ИБ, системных администраторов, разработчиков ПО и грамотных пользователей.

За 15 часов слушатели получат практический опыт проведения анализа и тестирования защищенности программ, операционных систем и веб-приложений, а также опыт имитации атак на корпоративные инфраструктуры. Этот интенсив рассматривается авторами, как предварительный этап полного курса «Специалист по тестированию на проникновение». Даже если слушатели не собираются связывать дальнейшую карьеру с этим направлением, знание приемов нападения будет полезным для специалистов из любой смежной области, включая программистов и сисадминов.

Как проходит интенсив HackerU?

Занятия проводит Егор Богомолов, Head of Security at HackerU Russia и эксперт по вопросам защиты мобильных и веб-приложений, защищенности корпоративных сетей и анализа кода. Он провел более двухсот успешных проектов для таких компаний, как «Информзащита», «BI.Zone» и «Валарм», побеждал во множестве CTF-турниров, а также участвует в программах BugBounty от Yandex и HackerOne.

Обучение проходит в онлайн-режиме на русском языке, а чтобы принять в нем участие, нужен только компьютер и широкополосный доступ в интернет.

Получить более подробную информацию
и записаться на интенсив «Pentesting: Level 0»

Комментарии

Только зарегистрированные пользователи могут оставлять комментарий.

Регистрация
Авторизация

СПЕЦПРОЕКТ МЕЖДУНАРОДНОЙ ВЫСШЕЙ ШКОЛЫ IT И КИБЕРБЕЗОПАСНОСТИ

 
Интересно
1 декабря 2020 г. (суббота), онлайн + офлайн (Lotte Hotel Moscow, Москва, Новинский б-р, 8 стр.2)
10 декабря 2020 г. (суббота), онлайн
Интересно
Сказки о безопасности: Прерванное совещание
И снова очередной темный осенний день. Иоганн соскучился по солнцу, но низко висели тучи, и хотя …
Сказки о безопасности: Секреты деанонимизации
Осень. Который день идет дождь. Иоганн не любил такую погоду, но что поделаешь? Жаль, утренние прогулки …
Зачем «Лаборатории Касперского» нужны Центры прозрачности
«Лаборатория Касперского» объявила о скором открытии своего нового Центра прозрачности в Северной Америке …
Марафон кибербезопасности
В Петербурге прошла конференция «Global Information Security Days 2020», организатором которой ежегодно выступает …
Цифровая трансформация: восемь основных тенденций-2021
Главный цифровой евангелист Salesforce Вала Афшар суммирует на портале ZDNet основные выводы, взятые …