Разработка лаборатории — дело не простое, нужно соединить уязвимости в единый сюжет, реализовать, предусмотреть действия атакующих, при которых уязвимость может оказаться недоступной для других участников. Срок разработки каждой лаборатории — 3-4 месяца, при этом над каждой лабораторией трудятся более 10 специалистов. В общем — дело крайне утомительное и ресурсоемкое, однако, читая такие отзывы, понимаешь, что этот труд не напрасен. Спасибо всем причастным: и тем, кто реализовал, и тем, кто нашел возможность поучаствовать, за их бессонные ночи и тектонический труд. И отдельное спасибо Майоровскому Максиму (@xtalf) — главному дирижеру лабораторий Pentestit.
— в настоящий момент в сети доступно большое количество инструментов и техник атак на сайты, воспользоваться которыми может даже «школьник»;
— несмотря на встроенные системы безопасности фреймворков, на которых разрабатываются сайты, имеет место быть даже такие уязвимости, как SQLi и прочее;
— согласно статистике, 7 из 10 сайтов имеют уязвимости со статусом «Critical», что позволяет злоумышленнику получить доступ к конфиденциальной информации и скомпрометировать ресурс, или использовать веб-сайт для атаки на внутреннюю сеть;
— аудит безопасности сайта в автоматическом режиме, проводимый раз в квартал, позволяет перекрыть большинство подобных атак. Кроме того, даже полноценный аудит (как в автоматическом, так и в ручном режимах) не перекрывает 100% уязвимостей (вам об этом скажет любой эксперт) — необходимо также проводить аудит исходного кода для 100% безопасности.
Если посчитать стоимость полноценного аудита безопасности: Blackbox (от 100 000 руб.) + аудит исходного кода (Whitebox, от 150 000 руб.) — то стоимость таких работ для типичного e-commerce, к примеру, составит от 250 тыс. рублей, а то и больше — от 500 000 рублей. Согласитесь, не каждая компания может себе такое позволить.
Таким образом, для максимальной компенсации рисков при минимальном бюджете можно ограничиться ежеквартальным аудитом безопасности сайта, который позволит обнаружить и устранить большинство известных векторов атак всего за 15 000 рублей за каждый аудит. Можно, конечно, приобрести сканер безопасности и производить такие проверки самостоятельно — но! для работы с подобными инструментами необходима качественная практическая подготовка в области ИБ — иначе такой скан будет или нерезультативным, или его последствия окажутся печальными.
Результаты проведенного аудита безопасности e-commerce сайта в автоматическом режиме (в обезличенном виде) вы можете скачать по ссылке. Я постарался изложить всю суть мыслей автора по данной статье, если что-то упустил — поправь меня, пожалуйста, LukaSafonov.
Не совсем понятна суть претензии. Каждая статья — уникальна и, как заметил мой коллега, мы действительно рассказываем о нашей деятельности. С таким же успехом можно спросить — «почему вы пишите постоянно об информационной безопасности». Каждая опубликованная статья анализируется, основным показателем является итоговое количество «плюсов».
Если после Профи Вы пройдете модуль Эксперт, то получите 2 сертификата, отдельно для каждого модуля. Вернее, сертификатов будет четыре (на русском и английском языках)
Был бы очень полезен опыт участия в предыдущих «Test Lab» (https://lab.pentestit.ru/pentestlabs/3) чтобы лучше понимать все условия.
Что интересно для реализации:
— актуальные уязвимости, вектора и сценарии, которые можно реализовать в виртуальной среде;
— направления любые — web, reverse, network, разработка эксплоитов и т.д. На этапе рассмотрения интересно все.
Что желательно учитывать:
— одновременно будет скорее всего больше одного участника;
— не все участники белые и пушистые. Максимально на сколько возможно исключить возможности порчи задания или мешать доступу другим участникам.
Если у вас есть опыт разработки (как веб так и декстопных/серверных) и желание участвовать в разработке лаборатории, то ваша помощь тоже будет очень полезной.
Да, действительно, вопрос информационной безопасности (пусть и не в самом правдоподобном виде) сейчас активно поднимается на телевидение (к примеру, во многих современных фильмах) и прочих СМИ — это тоже, своего рода, маячок.
Да, ИТ-инфраструктура должна быть не только стабильной в работе, но и защищенной от внешних и внутренних угроз. Конечно, программа обучения будет крайне полезна системным администраторам.
— в настоящий момент в сети доступно большое количество инструментов и техник атак на сайты, воспользоваться которыми может даже «школьник»;
— несмотря на встроенные системы безопасности фреймворков, на которых разрабатываются сайты, имеет место быть даже такие уязвимости, как SQLi и прочее;
— согласно статистике, 7 из 10 сайтов имеют уязвимости со статусом «Critical», что позволяет злоумышленнику получить доступ к конфиденциальной информации и скомпрометировать ресурс, или использовать веб-сайт для атаки на внутреннюю сеть;
— аудит безопасности сайта в автоматическом режиме, проводимый раз в квартал, позволяет перекрыть большинство подобных атак. Кроме того, даже полноценный аудит (как в автоматическом, так и в ручном режимах) не перекрывает 100% уязвимостей (вам об этом скажет любой эксперт) — необходимо также проводить аудит исходного кода для 100% безопасности.
Если посчитать стоимость полноценного аудита безопасности: Blackbox (от 100 000 руб.) + аудит исходного кода (Whitebox, от 150 000 руб.) — то стоимость таких работ для типичного e-commerce, к примеру, составит от 250 тыс. рублей, а то и больше — от 500 000 рублей. Согласитесь, не каждая компания может себе такое позволить.
Таким образом, для максимальной компенсации рисков при минимальном бюджете можно ограничиться ежеквартальным аудитом безопасности сайта, который позволит обнаружить и устранить большинство известных векторов атак всего за 15 000 рублей за каждый аудит. Можно, конечно, приобрести сканер безопасности и производить такие проверки самостоятельно — но! для работы с подобными инструментами необходима качественная практическая подготовка в области ИБ — иначе такой скан будет или нерезультативным, или его последствия окажутся печальными.
Результаты проведенного аудита безопасности e-commerce сайта в автоматическом режиме (в обезличенном виде) вы можете скачать по ссылке. Я постарался изложить всю суть мыслей автора по данной статье, если что-то упустил — поправь меня, пожалуйста, LukaSafonov.
Проверить валидность сертификатов также можно по ссылке: corplab.pentestit.ru/cert
Что интересно для реализации:
— актуальные уязвимости, вектора и сценарии, которые можно реализовать в виртуальной среде;
— направления любые — web, reverse, network, разработка эксплоитов и т.д. На этапе рассмотрения интересно все.
Что желательно учитывать:
— одновременно будет скорее всего больше одного участника;
— не все участники белые и пушистые. Максимально на сколько возможно исключить возможности порчи задания или мешать доступу другим участникам.
Если у вас есть опыт разработки (как веб так и декстопных/серверных) и желание участвовать в разработке лаборатории, то ваша помощь тоже будет очень полезной.
С результатами зарубежных — к примеру, здесь: www.acunetix.com/blog/articles/weak-password-vulnerability-common-think