13 ноября 2015 г. была запущена очередная, восьмая по счету лаборатория тестирования на проникновение «Test lab v.8», которая представляла собой виртуальный банк. К моменту открытия лаборатории количество зарегистрированных участников превышало отметку в 5 000. Ниже будет представлена информация о результатах участия и ИТ-структуре лаборатории, а также имена и комментарии победителей с частичным прохождением. Итак, начнем.

Сегодня, в пятницу, 13-го, в 22 часа по московскому времени, состоится запуск новой лаборатории «Test lab», представляющей собой виртуальный банк, с присущей ему инфраструктурой и уязвимостями. Участникам предлагается произвести компрометацию всей ИТ-структуры банка.

«Test lab» — пентест-лаборатории, построенные на базе сетей реальных компаний

В отличие от CTF-соревнований, лаборатории тестирования на проникновение «Test lab» имитируют ИТ структуру настоящих компаний и имеют полноценную легенду. Созданные для легальной проверки и закрепления навыков пентеста, лаборатории всегда уникальны и содержат самые актуальные уязвимости, а участие в лабораториях бесплатно и требует хорошей практической подготовки.

Разрабатывая лаборатории «Test lab» мы стараемся охватить практически все области ИБ: безопасность сетей, систем и приложений. Участникам предлагается выполнить эксплуатацию различных уязвимостей, связанных с работой сетевых и веб-компонентов, криптографических механизмов, ошибками конфигурации и кода, а также с человеческим фактором. Подключение к лаборатории осуществляется через VPN-соединение.

Участники, выступающие в роли пентестеров, пытаются эксплуатировать уязвимости, и, в случае удачи, получают доступ к серверам и рабочим станциям, каждые из которых содержат токен. Победителем считается участник, первым собравший все токены. Работа в лаборатории осуществляется на основе методики «серый ящик»: перед началом исследования предоставляется информация об инфраструктуре «Test lab» в виде схемы и описания деятельности виртуальной компании. Собирая специалистов со всего мира, мы разрабатываем лаборатории «Test lab» для различных мероприятий, таких как всероссийский конкурс ПрофИТ-2013, ZeroNights'13, PHD IV.

Лаборатория тестирования на проникновение «Test lab v.8»

Предыдущая лаборатория (Test lab v.7) представляла собой виртуальную компанию, специализирующуюся на разработке систем ИБ.

Сегодня будет запущена очередная, восьмая по счету лаборатория PENTESTIT, разработка которой велась практически полгода. «Test lab v.8» будет представлять собой виртуальный банк c присущей ему инфраструктурой и уязвимостями. Кроме этого, отличительной особенностью текущей лаборатории будет являться активно используемая система противодействия атакам, поэтому участникам необходимо будет быть максимально «незаметными». Это прибавит атмосферности!

2 октября 2015 года в Культурно-деловом центре «Club House» состоится конференция по информационной безопасности «Secure IT World 2015», в которой, помимо основной программы, будет доступен специальный стенд, позволяющий участникам мероприятия наблюдать за хакерскими атаками на корпоративную сеть лаборатории «Test lab» в режиме реального времени. Оснащенный большим дисплеем с мировой картой онлайн атак, стенд позволит получить визуальное представление о географической распределенности хакеров и интенсивности взлома, а сотрудники PENTESTIT проконсультируют и ответят на любые интересующие вопросы, связанные с современными ИБ-угрозами.

Одним из основных направлений PENTESTIT является разработка специализированных программ начальной (Zero Security: A) и профессиональной (Корпоративные лаборатории) подготовки в области информационной безопасности. Вне зависимости от программ обучения, их ключевыми особенностями являются актуальный материал и практическая подготовка в пентест-лабораториях, составляющая 80% от общей программы курса. В данной статье мы разберем несколько примеров практических заданий «Zero Security: A».

Большинство специалистов, проходящих обучение, являются действующими сотрудниками подразделений информационной безопасности, системными администраторами или техническими специалистами, желающими повысить свой профессиональный уровень в области практической ИБ.

«Корпоративные лаборатории» — программа профессиональной подготовки в области информационной безопасности, состоящая из теоретической (курсы-вебинары) и практической подготовки (работа в пентест-лабораториях). В данной статье будет рассмотрено содержание именно практической базы, составляющей порядка 80% от общей программы обучения. В статье содержится краткий разбор одного из заданий практической подготовки.

Во всех делах очень полезно периодически ставить знак вопроса к тому, что Вы с давних пор считали не требующим доказательств. Бертран Рассел.

Несмотря на высокую популярность профессии, связанной с информационной безопасностью, даже в условиях кризиса рынок испытыват нехватку квалифицированных кадров. Как правило, уровнь подготовки соискателей не соответвует их финансовым ожиданиям. Таким образом, компании вынуждены нанимать низкоквалифицированных специалистов, что негативно отражается как на качестве работы, так и на мотивации и лояльности к работодателю.

За безопасность нужно платить, а за ее отсутствие — расплачиваться. Уинстон Черчилль.

Открыт набор в новые группы «Корпоративных лабораторий» — уникальной в России и СНГ программы подготовки в области практической безопасности от компании PENTESTIT. Уникальность «Корпоративных лабораторий» заключается в симбиозе формата обучения, качества материала и специализированных ресурсов, на которых производится обучение. Помимо сильнейшей практической подготовки, программа включает интересные курсы-вебинары, по уровню сравнимые с материалом профессиональных конференций по практической безопасности. Дата начала обучения: 11.10.2015 г.

Отсуствите обязательного согласования программы с различными инстансами позволяют производить акутализацию материала с каждым набором, таким образом «Корпоративные лаборатории» включают на момент начала обучения наиболее современные техники и инструменты поиска и эксплуатации уязвимостей, а также самые эффективные инструменты защиты.

В отличие от CTF-соревнований, лаборатории тестирования на проникновение «Test lab» имитируют ИТ структуру настоящих компаний и имеют полноценную легенду. Созданные для легальной проверки и закрепления навыков пентеста, лаборатории всегда уникальны и содержат самые актуальные уязвимости, а участие в лабораториях требует хорошей практической подготовки.

Разрабатывая лаборатории «Test lab» мы стараемся охватить практически все области ИБ: безопасность сетей, ОС и приложений. Участникам предлагается выполнить эксплуатацию различных уязвимостей, связанных с работой сетевых компонентов и криптографических механизмов, ошибками конфигурации и кода, а также с человеческим фактором. Участники, выступающие в роли пентестеров, пытаются эксплуатировать их, и, в случае удачи, получают доступ к серверам и рабочим станциям, каждый из которых содержит токен. Победителем считается участник, первым собравший все токены. Работа в лаборатории осуществляется на основе методики «серый ящик»: перед началом исследования предоставляется информация об инфраструктуре «Test lab» в виде схемы и описания деятельности виртуальной компании. Собирая пентестеров со всего мира, мы разрабатываем лаборатории «Test lab» для различных мероприятий, таких как всероссийский конкурс ПрофИТ-2013, ZeroNights'13, PHD IV.

Test lab v.7

В предыдущей лаборатории «Test lab v.7», запущенной 01 мая 2015 г, приняло участие более 2000 участников из 73 стран мира. Большинство активных участников были из России, Украины, США, Германии и Китая. По мнению пентестеров, наиболее интересные задания были связаны с эксплуатацией уязвимостей веб-приложений, в то время как брутфорс не представлял особого интереса и реализовывался в последнюю очередь, несмотря на то, что по мировой статистике уязвимости, связанные с использованием нестойких паролей, являются одной из основных причин компрометации корпоративных сетей.

Актуальность кибергуроз

В последнее время участились случаи т.н. целенаправленных хакерских атак (APT), основной целью которых являются финансовый, промышленный и государственный сектор. Такие атаки характеризуются своей молниеносностью (от нескольких минут до нескольких часов) и высоким профессионализмом нападающих.

Зачастую ИБ-специалисты, сталкиваясь с несколькими попытками вторжений (в том числе и с отвлекающими), не успевают вовремя отреагировать на реальную атаку. Более того, большинство подобных попыток вторжений оказываются выявленными уже постфактум – после утечки критичных данных. Уровень осведомленности сотрудников ИБ-подразделений о современных угрозах обычно не ставится под сомнение, но, тем не менее, количество атак и их масштабность растет год от года. Даже такие крупные вендоры ИБ, как «Лаборатория Касперского», подвергаются подобным атакам:

Ранней весной 2015 года «Лаборатория Касперского» зафиксировала кибервторжение в свою корпоративную сеть. В ходе последовавшего за этим расследования была обнаружена новая вредоносная платформа, имеющая непосредственное отношение к одной из самых сложных и загадочных кампаний кибершпионажа – Duqu, раскрытой в 2011 году. Новая платформа получила название Duqu 2.0.

Как защитить ИТ-инфраструктуру компании перед лицом киберугроз?

Три фактора готовности

Важно определить три фактора готовности отдела информационной безопасности, позволяющих бороться с APT:

• уровень знаний современных угроз;
• умение думать как злоумышленник и предугадывать его действия;
• навыки обеспечения безопасности инфраструктуры и минимизации рисков.

В программе профессиональной подготовки «Корпоративные лаборатории PENTESTIT» основной упор сделан именно на практику в реализации современных сценариях атаки и выработку адекватных защитных мер, в том числе при защите от инсайдерских атак — попытки сотрудником компании изнутри атаковать корпоративную сеть, хорошо защищенную снаружи.

«Если вам интересна информационная безопасность, и вы с восхищением смотрите на CTF, но не знаете, кого спросить и с чего начать — пройдите обучение в «Zero Security: A»

«Zero Security: A» — курсы этичного хакинга от PENTESTIT, в которых под руководством опытных инструкторов вы освоите различный инструментарий тестирования на проникновение, изучите основы этичного хакинга: от разведки и сбора информации до закрепления в системе. Обучение включает в себя уникальные занятия, в том числе по социальной инженерии.

Сегодня вопрос информационной безопасности стоит особенно остро — «громкие» скандалы с утечкой данных, критические уязвимости, обнаруженные в самых популярных коммерческих и opensource продуктах, постоянные хакерские атаки, освещенные в газетах и на телевидение — список можно продолжать долго. Рынок ИБ насыщен различными решениями, призванными решить вопросы безопасности, а компании, не смотря на кризис, активно финансируют средства на поддержание должного уровня ИБ, при этом в целом на рынке наблюдается «кадровый голод» квалифицированных ИБ-специалистов.

Для качественного обеспечения безопасности корпоративной сети необходимо понимать, что представляют собой уязвимости, позволяющие злоумышленнику преодолеть системы безопасности, а также понимать, как он действует. Общая ИБ-осведомленность сотрудников, а также знание инструментов и способов работы злоумышленников позволяют реализовывать наиболее эффективные меры противодействия угрозам информационной безопасности.

Для того, чтобы овладеть такими знаниями (при условии наличия знаний в области системного администрирования и функционировании сети и систем), необходимы годы подготовки, включающей постоянное изучение материала и активную практику. К счастью, существует множество ресурсов, как платных, так и бесплатных. Недостаток такой подготовки заключается в необходимости обрабатывать огромный объем информации. Из-за нехватки свободного времени это может стать непосильной задачей. Кроме этого, процесс самообучения должен быть системным — необходимо для начала определиться с направлением (безопасность сетей, веб-приложений, систем и прикладного ПО, криптографии, баз данных и т.д.). Из-за растянутости и отсутствия системности при самообучении может возникнуть ситуация, когда полученные на момент окончания обучения знания частично или полностью потеряют свою актуальность.

В интернете доступно множество видео-курсов, позволяющих систематизировать процесс обучения. Несомненно, такой формат обучения позволит получать знания более качественно, однако имеет существенный недостаток — отсутствие практической подготовки и помощи куратора. Говоря об информационной безопасности стоит отметить, что, как правило, успешная атака предполагает успешную эксплуатацию группы уязвимостей.

Если вам интересна практическая информационная безопасность и вы хотите получить актуальные знания «здесь и сейчас», предлагаем ознакомиться с «Корпоративными лабораториями» — программой профессиональной подготовки в области практической ИБ от Pentestit.

Обновляя содержимое курсов с каждым набором, мы стараемся передавать наиболее актуальный материал в области практической безопасности. Помимо сильнейшей практической подготовки, программа обучения «Корпоративные лаборатории» включает интересные курсы-вебинары, по содержанию сравнимые с материалом профессиональных ИБ-конференций. Кроме этого, «Корпоративные лаборатории» значительно расширяют кругозор и осведомленность в области информационной безопасности.

Обзорная статья о результатах участия в бесплатной пентест-лаборатории «Test lab v.7» под кодовым названием «Ахиллесова пята». Статья содержит информацию о работах по подготовке лаборатории, частичное прохождение, а также комментарии победителей.

Пара слов о лаборатории

«Test lab v.7» представляет собой корпоративную сеть виртуальной компании «SecureSoft LLC» на базе ОС Windows и Linux. Виртуальная компания специализируется на разработке программного обеспечения и имеет некоторые бреши в безопасности. Участникам предлагается, используя найденные уязвимости, проникнуть в сеть и получить доступ ко всем узлам «SecureSoft LLC», каждый из которых содержит секретный токен (их всего 10).

Рады сообщить об открытии новой пентест-лаборатории «Test lab v.7» под кодовым названием «Ахиллесова пята».

01 мая 2015 г. начиная с 22:00 по московскому времени лаборатория будет открыта для участия. Как сообщалось ранее, лаборатория представляет собой типичную корпоративную сеть виртуальной компании «SecureSoft LLC», которая занимается разработкой систем обеспечения информационной безопасности.

Мировая карта атак на лабораторию

Сюжет

На этот раз вам, профессиональным хакерам, предстоит произвести взлом реальной сети виртуальной компании «SecureSoft LLC», занимающейся разработкой программного обеспечения. Ситуацию усложняет факт высокой осведомленности в области ИБ сотрудников компании. Согласно отчету наших агентов о состоянии информационной безопасности компании, ИТ-структура «SecureSoft LLC» достаточно хорошо защищена от атак. Однако, есть предположение, что уязвимые места все же имеются. Ваша цель — первыми обнаружить «Ахиллесову пяту» и получить доступ к системам «SecureSoft LLC».

«Zero Security: A» — программа практической подготовки в области ИБ

Рады сообщить о новом наборе на программу практической подготовки в области информационной безопасности — «Zero Security: A», которая состоится 16 мая 2015 г. Программа, в первую очередь, нацелена на практическую подготовку, которая осуществляется в специализированной пентест-лаборатории, содержащей распространенные уязвимости разных типов.

Вся практика подкрепляется интересными курсами-вебинарами, на которых инструктора из PENTESTIT расскажут о законодательстве в сфере компьютерной безопасности РФ, продемонстрируют работу различных инструментах тестирования на проникновение и поделятся собственным опытом. Кроме этого, программа включает уникальные занятия по социальной инженерии.

Очередная, 7-я по счету пентест-лаборатория «Test lab» под кодовым названием «Ахиллесова пята» будет запущена 01.05.2015 г. На этот раз вам, профессиональным хакерам, предстоит произвести взлом реальной сети виртуальной компании «SecureSoft LLC», занимающейся разработкой программного обеспечения. Ситуацию усложняет факт высокой осведомленности в области ИБ сотрудников компании. Согласно отчету наших агентов о состоянии информационной безопасности компании, ИТ-структура «SecureSoft LLC» достаточно хорошо защищена от атак. Однако, есть предположение, что уязвимые места все же имеются. Ваша цель — первыми обнаружить «Ахиллесову пяту» и получить доступ к системам «SecureSoft LLC».

Практическая подготовка в области информационной безопасности: «Стандарт», «Профи», «Эксперт». Обновленная программа.

Рады сообщить об очередном наборе «Корпоративных лабораторий тестирования на проникновение». Новая программа, помимо обновленного и наиболее актуального теоретического и практического материала, будет включать уникальный материал тарифа «Эксперт», в котором мы собрали «хардкордные» практики пентеста и противодействию злоумышленникам — материал уровня профессиональных конференций по практической безопасности.
Помимо уникальной программы и методики обучения, дополнительными преимуществами программы «Корпоративные лаборатории» являются полностью дистанционное обучение и гибкий график, позволяющий не отрываться от работы.

Открыт набор в новые группы на курсы этичного хакинга и тестирования на проникновение

Рады сообщить о новом наборе на программы практической подготовки в области информационной безопасности: «Zero Security: A» и «Корпоративные лаборатории». Процесс обучения включает в себя теоретическую и практическую подготовку, где опытные инструкторы из компании Pentestit расскажут об УК РФ и ответственности в области информационных технологий, природе и способах обнаружения уязвимостей, продемонстрируют работу профессиональных инструментов пентестеров. Каждое занятие закрепляется практикой и самостоятельными работами. Практическая подготовка проходит в лаборатории и составляет 80% программы обучения. Продолжительность и объем заданий зависят от тарифного плана. Пройдя обучение в Pentestit слушатели узнают практически обо всех этапах работы злоумышленника, закрепив полученные навыки в специально подготовленных пентест-лабораториях, имитирующих работу корпоративной сети реальных компаний. Программа завершается итоговым экзаменом. Для обучения потребуется только доступ в интернет и компьютер.



На протояжении всего процесса подготовки доступен куратор, который в любой момент готов помочь и ответить на любые вопросы на специализированной площадке («Zero Security: A» — сверху слева, «Корпоративные лаборатории» — сверху справа).

Оценка квалификации специалистов в области ИБ

При приеме на работу технических специалистов одним из основных этапов является определение реального уровня их знаний. Как правило, рекрутеры руководствуются сертификатами и навыками, указанными в резюме, не имея возможности точно определить квалификацию соискателя. Наиболее подходящие (на их взгляд) кандидаты сразу направляются на собеседование непосредственно в компанию, открывшую вакансию. При таком подходе процесс подбора квалифицированных кадров может быть очень длительным и занимать до полугода, при этом основная часть кандидатов отсеивается уже внутри компании, во время собеседования с техническими специалистами, отвлекая сотрудников от работы и вызывая их недовольство большим потом низкоквалифицированных кандидатов.

Длительный поиск кандидатов не устраивает ни кадровые агентства, ни работодателей, ни самих кандидатов. Для эффективного подбора персонала мы запустили новый сервис оценки квалификации специалистов в области информационной безопасности «HR lab», позволяющий быстро и точно определить уровень квалификации специалистов. Сервис одинаково хорош как для кадровых агентств, так и для сотрудников HR-отделов.

Курсы этичного хакинга и тестирования на проникновение. Практическая подготовка.

Поздравляем всех читателей блога PENTESTIT с новым, 2015-м годом, который, скорее всего, будет сложным, но интересным и многое расставит на свои места. Кризис — время непростое, но что, как не кризис провоцирует компании массово оптимизировать расходы и повышать качество услуг, а сотрудников стимулирует поддерживать, повышать уровень профессиональной подготовки? Кризис — это время возможностей. Как для самосовершенствования, так и для развития нового бизнеса.

В предыдущих статьях мы подводили итоги нашей работы в 2014 г. Для нас этот год оказался весьма позитивным. Проделав большой объем работы, удерживая на высоком уровне качество услуг, мы смогли сделать большой шаг вперед, расширив рынок не только в России, но и в странах Восточной и Западной Европы, Северной Америки, Азии и, конечно, СНГ. Спасибо всем тем, кто по-достоинству оценил нашу работу и профессионализм.

Обновленная программа, включающая самый актуальный материал.

В конце прошлого года мы говорили об изменениях, которые затронут программы обучения «Zero Securty: A» и «Корпоративные лаборатории». Мы дополнили их новыми способами обнаружения и эксплуатации уязвимостей. Отличительной особенностью программы «Корпоративные лаборатории» является то, что помимо хардкорной практической подготовки слушатели получают возможность послушать доклады, которые можно услышать только на профессиональных технических форумах — это одна из отличительных особенностей наших курсов.

Примеры заданий по эксплуатации уязвимостей.