НовостиОбзорыСобытияIT@WorkРеклама
Безопасность:
Российский суперапп для бизнеса eXpress: новые фичи в 2024 году и планы по развитию
В 2024 году рынок корпоративных коммуникаций продолжил …
 

Атакующая сторона в кибербезопасности — какая она?

11.11.2020

В ноябре 2020 г. Международная высшая школа IT и кибербезопасности запускает интенсивный курс «Pentesting: Level 0» для желающих разобраться с основами тестирования на проникновение. В течение трех дней слушатели будут играть на атакующей стороне под руководством опытного профессионала, который реализовал в этой области более 200 проектов.

Востребованность специалистов по оценке практической защищенности информационных систем постоянно растет в условиях, когда утечки конфиденциальных данных и вызванные взломщиками отказы могут полностью парализовать работу компании. Привлечение внешних подрядчиков для проведения экспертных тестов на проникновение (от англ. pentest или penetration test) давно стало нормой в корпоративном мире.

Кто такие пентестеры?

Специалисты по тестам на проникновение имитируют реальные атаки злоумышленников на ИТ-инфраструктуру заказчика и действия внутренних инсайдеров, но без необратимых последствий. В ход идут все хакерские методики: эксплуатация уязвимостей, использование специального оборудования и ПО для взлома, фишинговые рассылки и социальная инженерия. Сотрудники компании обычно не знают о проводящейся проверке, поэтому такая работа не менее увлекательна, чем настоящий взлом: при этом она законна и хорошо оплачивается. В России начинающий пентестер получает от 80 000 рублей, а оклады опытных профессионалов начинаются от 250 000 рублей в месяц.

Как работают пентестеры?

Для имитации действий злоумышленников используются определенные сценарии (модели знаний), а работы состоят из нескольких этапов в соответствии с требованиями и рекомендациями международных руководств и стандартов: PCI DSS (Payment Card Industry Data Security Standard), Open Source Security Testing Methodology Manual (OSSTMM) или OWASP Testing Guide. Каждый тест разбивается на стадии, притом сначала проводится сетевая разведка, а уже потом идентификация уязвимостей.

Их эксплуатация и возможные последствия для ИТ-инфраструктуры оговариваются с компанией-заказчиком заранее. Работы не должны приводить к порче данных или серьезным сбоям в целевых системах, поэтому в случае высокого риска они немедленно приостанавливаются до получения от заказчика формального разрешения продолжить. После каждого теста проводится зачистка, когда заказчику передают инструкции по устранению последствий стороннего вмешательства в информационные системы.

Что получает заказчик?

Итогом пентеста становится развернутый аналитический отчет с конкретными рекомендациями по закрытию уязвимостей и уменьшению рисков информационной безопасности, разработанный с учетом тенденций отрасли и актуальных угроз.

Где можно научиться пентесту?

Чтобы стать профессионалом в области тестов на проникновение, придется потратить немало времени сил и денег. Курсы по обучению этой профессии стоят достаточно дорого, поэтому если вы только пытаетесь определить направление карьеры в области информационной безопасности, лучше пройти интенсив от HackerU. Для начала учебы слушателям не потребуются глубокие познания в области взлома: курс рассчитан на начинающих специалистов в сфере ИБ, системных администраторов, разработчиков ПО и грамотных пользователей.

За 15 часов слушатели получат практический опыт проведения анализа и тестирования защищенности программ, операционных систем и веб-приложений, а также опыт имитации атак на корпоративные инфраструктуры. Этот интенсив рассматривается авторами, как предварительный этап полного курса «Специалист по тестированию на проникновение». Даже если слушатели не собираются связывать дальнейшую карьеру с этим направлением, знание приемов нападения будет полезным для специалистов из любой смежной области, включая программистов и сисадминов.

Как проходит интенсив HackerU?

Занятия проводит Егор Богомолов, Head of Security at HackerU Russia и эксперт по вопросам защиты мобильных и веб-приложений, защищенности корпоративных сетей и анализа кода. Он провел более двухсот успешных проектов для таких компаний, как «Информзащита», «BI.Zone» и «Валарм», побеждал во множестве CTF-турниров, а также участвует в программах BugBounty от Yandex и HackerOne.

Обучение проходит в онлайн-режиме на русском языке, а чтобы принять в нем участие, нужен только компьютер и широкополосный доступ в интернет.

Получить более подробную информацию
и записаться на интенсив «Pentesting: Level 0»

Другие спецпроекты
ПечатьПечать без изображений

Комментарии

Только зарегистрированные пользователи могут оставлять комментарий.

Регистрация
Авторизация

СПЕЦПРОЕКТ МЕЖДУНАРОДНОЙ ВЫСШЕЙ ШКОЛЫ IT И КИБЕРБЕЗОПАСНОСТИ

 
Интересно
Решение проблемы дрейфа облачной инфраструктуры
Дрейф инфраструктуры — это не просто техническая …
API-тренды 2025: фокус на разработчиках
Для индустрии прикладных программных интерфейсов (API) ключ …
Шесть облачных тенденций, за которыми стоит следить в 2025 году
Облачные стратегии продолжают меняться по мере того, как …
Периферия расширяет границы центра обработки данных
Новые периферийные (edge) технологии обеспечивают диагностику …
UserGate представила NGFW для сложных ИКТ-инфраструктур
Компания UserGate объявила о выпуске новой линейки …