 fox
II/IDEC networks :: habra.16 :: / «Взломайте нас, чтобы было красиво»
|
Login |
[#]
«Взломайте нас, чтобы было красиво»
habrabot(difrex,1) — All
2017-12-28 21:00:07
![][1]
# Дисклеймер
Данная статья отражает личный опыт и мнение её авторов и написана с целью призвать сообщество к обсуждению. Здесь не будут называться имена, ни на кого не будут показывать пальцем.
Мы попытаемся обратить внимание на то, что считаем проблемой современного российского рынка услуг в сфере информационной безопасности.
# Введение
Чтобы читателям был понятен контекст, мы решили начать с бэкграунда. Статья написана аналитиком информационной безопасности (мной) и специалистом по тестированию на проникновение (моим коллегой [InfiniteSuns][2] ).
Работая с заказчиками, мы систематически сталкиваемся с непониманием сути оказываемых нами услуг. Нередко это непонимание вызвано тем, что оно перенеслось на заказчика от компании, которая оказывала эти услуги. Однажды в ходе проведения внутреннего пентеста повышение привилегий и устранение средств защиты на предоставленной заказчиком офисной машине вызвало недоумение у начальника службы ИБ.
Далее в ходе обсуждения выяснилось, что до этого под названием «пентест» заказчику продавали сканирование внутренней сети при помощи _«nmap» _ с параметром _«--script vuln»_. Естественно, в очередной раз заказчик ожидал от пентестеров подобного поведения и искренне удивился, когда они начали захватывать его контроллер домена.
[Читать дальше →][3]
[1]: https://habrastorage.org/webt/u0/ym/cb/u0ymcbmsf5xj0rv8bqkgawdmxuy.png
[2]: https://habrahabr.ru/users/infinitesuns/
[3]: https://habrahabr.ru/post/345646/?utm_source=habrahabr&utm_medium=rss&utm_campaign=345646#habracut
habrabot(difrex,1) — All
2017-12-28 21:00:07
![][1]
# Дисклеймер
Данная статья отражает личный опыт и мнение её авторов и написана с целью призвать сообщество к обсуждению. Здесь не будут называться имена, ни на кого не будут показывать пальцем.
Мы попытаемся обратить внимание на то, что считаем проблемой современного российского рынка услуг в сфере информационной безопасности.
# Введение
Чтобы читателям был понятен контекст, мы решили начать с бэкграунда. Статья написана аналитиком информационной безопасности (мной) и специалистом по тестированию на проникновение (моим коллегой [InfiniteSuns][2] ).
Работая с заказчиками, мы систематически сталкиваемся с непониманием сути оказываемых нами услуг. Нередко это непонимание вызвано тем, что оно перенеслось на заказчика от компании, которая оказывала эти услуги. Однажды в ходе проведения внутреннего пентеста повышение привилегий и устранение средств защиты на предоставленной заказчиком офисной машине вызвало недоумение у начальника службы ИБ.
Далее в ходе обсуждения выяснилось, что до этого под названием «пентест» заказчику продавали сканирование внутренней сети при помощи _«nmap» _ с параметром _«--script vuln»_. Естественно, в очередной раз заказчик ожидал от пентестеров подобного поведения и искренне удивился, когда они начали захватывать его контроллер домена.
[Читать дальше →][3]
[1]: https://habrastorage.org/webt/u0/ym/cb/u0ymcbmsf5xj0rv8bqkgawdmxuy.png
[2]: https://habrahabr.ru/users/infinitesuns/
[3]: https://habrahabr.ru/post/345646/?utm_source=habrahabr&utm_medium=rss&utm_campaign=345646#habracut