Pull to refresh
0
Pentestit
Информационная безопасность

PENTESTIT. Практическая информационная безопасность: итоги 2014 года, часть II

Reading time 7 min
Views 6.6K
Привет всем нашим читателям и просто людям, интересующимся информационной безопасностью. В предыдущей статье мы начали подведение итогов 2014 года и рассказали о наших уникальных программах обучения. В этой статье мы попытаемся кратко рассказать о публичной жизни нашей компании и ее результатах.

Итак, начнем.

Начался 2014 год с выступления руководства PENTESTIT на международном форуме «Cyber Security Forum 2014». Мы выступили на двух площадках форума, рассказав о практической ИБ. Выступление получилось ярким и насыщенным. Обсуждая серьезные темы, были найдены пути решения некоторых острых и насущных вопросов. В кулуарах мероприятия были достигнуты договоренности о запуске первой программы обучения совместно с компанией SkillFactory.

Следующим мероприятием, в котором приняла участие наша компания — Российский Интернет Форум «РИФ+КИБ 2014», в одной из секций которого с докладом по безопасности веб-сайтов совместно с компанией «Acronis», нашим партнером, выступил Сафонов Лука, технический директор PENTESTIT.


Сотрудники PENTESTIT и Сергей Гордейчик, главный режиссер «Positive Hack Days».

Историческое событие произошло в мае 2014 года, когда PENTESTIT был представлен на главном в России форуме по практической ИБ — «Positive Hack Days IV». Помимо доклада нашего сотрудника Александра «Sinister» Дмитренко, который, кстати, вошел в ТОП-5 лучших докладов форума, специально для этого мероприятия была развернута пентест-лаборатория «На шаг впереди», в которой приняли участие как посетители форума, так и хакеры из разных стран и континентов. Задания оказались сложными и на протяжении двух дней работы «PHD IV» все желающие пробовали свои силы в этичном взломе. Лаборатория имитировала реальную распределенную корпоративную сеть виртуальной компании. Кстати, в скором времени мы откроем очередную, новую «Test.lab» лабораторию, работы над которой ведутся уже месяц. В новую пентест-лабораторию, помимо актуальных векторов атак и уязвимостей, требующих «высшего пилотажа» эксплуатации, будет добавлена карта атак, что сделает взлом лаборатории еще более интересным и визуализированным. Напомним, что наши лаборатории «Test.lab» отличаются от прочих хакерских соревнований своей реалистичностью — они полностью имитируют типичные корпоративные сети с присущими им уязвимостями и ошибками конфигурации. Как и всегда, участие в лаборатории — бесплатное. Следите за новостями в нашей группе в ВК.

На «Samsung Mobility Forum 2014», совместно с компанией «Acronis», нами был развернут тестовый стенд для демонстрации незащищенности устройств под управлением ОС Android. Наши сотрудники (Сафонов Лука, Лесовой Константин) продемонстрировали несколько актуальных векторов атак на мобильные устройства: перехват трафика, получение доступа к критичным данным, содержащихся на мобильном устройстве, удаленное использование видео\фотокамеры в скрытом режиме без ведома владельца смартфона и т.д.

В сентябре 2014 года мы, по приглашению сообщества тестировщиков «QA Club», выступили с докладом по безопасности веб-приложений на мероприятии, организованном компанией «Intel» в г. Нижний Новгород. Теплый прием, экскурсия по Нижнему Новгороду и аудитория профессионалов сделало свое дело — выступление прошло удачно. Было много вопросов и споров, но опыт, переданный нашим техническим директором, оказался положительным. Люди до сих пор пишут слова благодарности, советуются и это придает сил для движения дальше. Отдельно хотим поблагодарить участников «QA Сlub» и, в частности, Позументова Игоря. У нас общая цель и мы обязательно ее достигнем. Спасибо, друзья. Просмотреть видеозапись выступления можно здесь.

В ноябре 2014 года мы выступили на семинаре, организованном компанией SiteSecure, вместе с «Qrator» и «Insales». Семинар оказался интересным и полезным для владельцев интернет-магазинов. Максим Лагутин из «SiteSecure» предоставил результаты анализа угроз, Андрей Бондаренко из «Qrator» раскрыл тему противодействия DDoS-атакам, а сотрудники «Insales» делились собственным опытом управления проектом построения интернет-магазинов. Семинар прошел достаточно позитивно, а аудитория получила уверенность в завтрашнем дне (от слова день, а не дно).

Диалоги #поИБэ с сотрудниками PENTESTIT
Константин, Вы руководите отделом разработки веб-приложений. Как известно, веб-приложения — это одна из приоритетных целей хакеров-злоумышленников. Вы не боитесь, что в один прекрасный день какой-то недоброжелатель взломает веб-сайт и проникнет в вашу корпоративную сеть? Наверное, для PENTESTIT это будет катастрофа?
Да, несомненно взлом одного из сайтов нашей компании ударит по репутации как компании в целом, так и специалистов отдела веб-разработки. Опыт нашей компании и мировой практики ИБ давно доказали невозможность на 100% обезопасить сетевые ресурсы. Я говорю об уязвимостях, которые неизвестны сегодня. Разрабатывая веб-приложения сегодня — мы учитываем все современные атаки на веб и его окружение — обеспечивая тем самым его безопасность и стабильность. И не забываем «закручивать гайки» для обеспечения максимальной защиты от новых атак.
Константин Ковалев, руководитель отдела разработки веб-приложений.

Максим, расскажите в двух словах о лабораториях — в чем идея таких лабораторий, для чего Вы их разрабатываете и есть ли какие-то принципы (правила).
Идея наших лабораторий — создание пентест-площадок на основе корпоративных сетей, максимально приближенных к сетям реальных компаний. В нее мы закладываем какие то ошибки конфигурации, уязвимые протоколы, опасные дефолтные настройки или просто не обновленное уязвимое ПО. В общем то, что очень часто встречается в разных вариациях в большинстве сетей. Так же лаборатория не просто набор так называемых тасков, в нее заложен какой-то сценарий прохождения и он не всегда линеен. Зачем мы это делаем? С одной стороны просто just for fun. С другой стороны это позволяет держать себя в тонусе. Стараясь сделать лабораторию более интересной, мы изучаем новые для себя технологии. Само собой мы следим за новинками векторов атак, уязвимостей. И лаборатория — это неплохая возможность изучить, при каких конфигурациях возникает возможность эксплуатации, какие факторы влияют, или наоборот. Это позволяет глубже понимать «механику возникновения» этих уязвимостей. Так же, часто в лабораториях мы воплощаем то, что встречалось нам в проведенных аудитах, что добавляет реализма. Ну и, как показывает практика, такие лаборатории имеют успех как у начинающих изучать практические аспекты ИБ, так и уже зрелых специалистов. Получается, что такого вида соревнования позволяют привлечь больше людей к проблемам ИБ и попробовать свои силы в практическом пентесте. Нам это очень импонирует.
Максим Майоровский, руководитель отдела разработки лабораторий тестирования на проникновения.

Дмитрий, Вашей основной задачей в PENTESTIT является развитие компании. Очевидно, что качественные продукты или услуги способствуют такому развитию. На Ваш взгляд, достаточно качественны ли услуги, которые предоставляет PENTESTIT и насколько востребованы они на рынке?
Интересный вопрос! Я думаю, что не буду кривить душой, если отвечу, что наши услуги отвечают всем критериям качества, если такие можно применить к сфере ИБ. Любая работа в нашей компании делается очень качественно и кропотливо. Преимущество российского рынка в том, что он молодой и не всегда получает услуги такого качества, которые хотел бы видеть каждый человек в быту или бизнесе. Ты можешь войти в любую нишу бизнеса, занять в ней свое место и потеснить конкурентов только тем, что ты просто будешь делать свою работу качественно и в срок. Больше не нужно ничего придумывать. К сожалению, большинство компаний в нашей стране не может предложить даже таких простых вещей. У нас акцент сделан именно на качестве как самой программы, так и ее «подачу» для наших слушателей и студентов. Важно, чтобы человек все понял и усвоил, а не получил «бумагу» и смог с ней прийти и взмахнув ей, как волшебной палочкой, пробить себе путь на хорошую заработную плату и теплое место. Люди должны добиваться всего своим умом и целеустремленностью. Если отвечать на вторую часть вопроса, то в связи со сложившейся геополитической и экономической ситуацией как в нашей стране, так и мире в целом, направление ИБ выходит из тени ИТ и выделяется в отдельный самостоятельный вид не только бизнеса, но сферы в целом. Многие ВУЗЫ в нашей стране открывают кафедры по данному направлению, дают бесплатные семинары, проводят специализированные курсы. Меня все это настраивает на позитивный лад в целом, но в большинстве случаев в данном направлении работают и преподают не профессионалы, а люди или старой закалки, или совсем молодые, не нюхавшие пороха, юнцы.
Уверен, в будущем с кадрами проблем не будет, но для этого нужно время и база, на которую можно опираться. Мы со своей стороны способствуем росту профессиональных ИБ кадров в нашей стране. Есть как программа «Zero Security: A» для начинающих специалистов, так и программа профессиональной подготовки «Корпоративные Лаборатории», и мы ими гордимся. Спрос на услуги в сфере ИБ будет расти с каждым годом все больше и больше. Самое главное за это время — воспитать поколение российских ИБ-профессионалов и реализовывать в нашей стране все проекты только российскими компаниями, не привлекая компании из Европы, США или Китая. Я убежден, что у нас светлое будущее.
Дмитрий Панов, CBDO.

Лука, Вы довольно часто выступаете на конференциях, семинарах, форумах. Почему не выступают остальные сотрудники? Или у Вас в компании всего 2 человека? Или, может, они ничего не знают?
Я выступаю в основном там, куда приглашают наши партнеры, из наших сотрудников выбирают обычно меня, скорее из-за личного знакомства. Остальные сотрудники тоже выступают, например, на PHD выступал Александр Дмитренко (его доклад вошел в 5-ку лучших), на «Samsung Mobility Forum» выступал Константин Лесовой. Перед руководящими должностями «технарям» тяжело донести правильно мысли на «простом языке», а у меня это неплохо получается, вот и выступаю :)
Лука Сафонов, CTO.

Как Вы видите компанию через 5 лет? Какие направления видятся наиболее перспективными? Ну, и, самое главное — что для Вас PENTESTIT?
Мы «обороты» сбрасывать не собираемся — за год мы проделали огромную работу. Сложно сказать, что будет через 5 лет, но год за годом мы будем «расти» и двигаться вперед — в этом я уверен. Относительно перспективности направлений — все, что мы предоставляем — перспективно, надо только запастись терпением и много работать. В среднем, чтобы направление «поставить на ноги» требуется около полугода. Перспективны абсолютно все наши направления, но наиболее популярны — программа обучения и анализ защищенности. Остальные, как правило, заказывают в дополнение к первым. Что для меня PENTESTIT?.. Сложно однозначно ответить. Ровно так, если бы задали аналогичный вопрос отцу в отношении сына. Команда, в первую очередь команда (с большой буквы), а еще — способ самореализации. Движуха и иногда бессонные ночи (да, я без этого — никак), сложные вопросы, общая радость от успеха и (бывает и такое) признание собственных ошибок. PENTESTIT — это сложный механизм со строгой дисциплиной. И что бы не происходило, PENTESTIT всегда остается действительно дружным коллективом единомышленников, готовых решить самые сложные задачи! Да, именно так, и лично я горжусь тем, что мы сделали.
Романов Роман Игоревич, CEO.

На «посошок»
Именно таким запомнился 2014 год для PENTESTIT. Он был позитивным и насыщенным. Мы не сомневаемся, что 2015 год будет еще более успешным для нашей компании. Многие боятся кризиса, не хотят брать на себя риск и ответственность, а мы ждем этого времени — ведь это время возможностей и больших побед. До скорых встреч!
Tags:
Hubs:
+3
Comments 0
Comments Leave a comment

Articles

Information

Website
www.pentestit.ru
Registered
Founded
Employees
11–30 employees
Location
Россия