Наступательная кибербезопасность становится неотъемлемой частью зрелой ИБ-практики. Пентесты, Red Team, Bug Bounty — это не просто «проверки на уязвимости», а способ увидеть свою защиту глазами атакующего. В эфире AM Live обсуждали: — Какие offensive-практики работают в реальных условиях — Как не ошибиться с выбором подрядчика и не потерять бюджет — Где offensive security показывает наибольший ROI — Почему важно говорить о бизнес-рисках, а не просто об уязвимостях — Как offensive меняет культуру безопасности в компании Полезно тем, кто отвечает за ИБ, оценивает зрелость процессов, планирует пентесты и хочет использовать наступательные практики с максимальной пользой. Модератор: Вадим Шелест, Руководитель направления анализа защищенности, Wildberries & Russ Участники: 1) Вячеслав Васин, Руководитель центра компетенции по анализу защищенности, «Лаборатория Касперского» 2) Михаил Сидорук, руководитель управления анализа защищенности, BI.ZONE 3) Василий Кравец, начальник отдела исследований информационных технологий, «Перспективный мониторинг» 4) Анатолий Песковский, руководитель направления анализа защищенности IZ:SOC компании «Информзащита» 5) Иван Булавин, директор по продуктам платформы Standoff 365, Positive Technologies 6) Дмитрий Зубарев, заместитель директора аналитического центра, УЦСБ 7) Глеб Чербов, технический директор DSEC by Solar 8) Евгений Янов, руководитель департамента аудита и консалтинга, F6 Тайм-коды: 00:00:00 Введение 00:06:32 Структура Offensive Security 00:08:20 Анализ защищённости и пентесты 00:10:03 Моделирование атак и реальный бой 00:14:25 Экономическая целесообразность 00:16:02 Плюсы и минусы внешних подрядчиков 00:17:01 Плюсы и минусы внутренних команд 00:20:15 Зависимость от масштаба компании 00:21:15 Законодательство и регуляторы 00:22:14 Задачи внутренних команд 00:24:06 Зрелость процессов информационной безопасности 00:25:30 Проблемы работы с отчётами при низкой зрелости 00:26:15 Роль провайдера в доведении результатов 00:27:07 Различие между продуктовой и информационной безопасностью 00:28:06 Ошибки при организации центра информационной безопасности 00:30:04 Выбор внешнего подрядчика 00:34:26 Критерии выбора топовых компаний 00:36:07 Ошибки заказчиков при выборе подрядчиков 00:39:14 Проблемы с требованиями 00:40:28 Терминология в информационной безопасности 00:42:57 Уровень зрелости компании 00:46:26 Целеполагание и ожидания 00:49:10 Начало общения с клиентом 00:49:46 Работа с заказчиками 00:50:51 Формулирование технического задания 00:53:28 Сроки и планирование 01:00:20 Вовлечение сторон в проект 01:02:59 Роль технического задания 01:05:13 Взаимодействие бизнеса, ИT и ИБ 01:06:30 Подготовка к проекту 01:09:13 Подготовка заказчика к проекту 01:11:33 Эффективность пентеста 01:12:16 Подготовка к пентесту 01:13:10 Перепроверки после пентеста 01:14:02 Консистентность инфраструктуры 01:15:21 Ошибки при закрытии уязвимостей 01:16:59 Отношение руководства к результатам 01:19:09 Согласованность действий 01:20:23 Объяснение уязвимостей бизнесу 01:23:06 Оценка защищённости 01:24:28 Донесение информации в отчётах 01:25:52 Оценка рисков 01:28:07 Примеры объяснения уязвимостей 01:30:44 Инвестиции или расходы 01:34:53 Условия для признания инвестиций 01:35:57 Инвестиции в информационную безопасность 01:36:49 Требования регуляторов и практика 01:37:42 Проекты с киберспытаниями 01:38:21 Проверки регулирующих органов 01:44:49 Проверка защищённости приложений 01:46:03 Взаимодействие с подрядчиками 01:47:20 Распределение расходов на тестирование 01:48:39 Особенности работы с малым и средним бизнесом 01:49:21 Стоимость услуг для малого и среднего бизнеса 01:50:14 Роль провайдеров в сканировании уязвимостей 01:50:56 Необходимость пентестов для малого и среднего бизнеса 01:51:54 Стратегии защиты программного обеспечения 01:53:40 Практические кейсы предотвращения инцидентов 01:56:39 Пример из практики холдинга 01:57:34 Необычный кейс с подозрительной тактикой 01:58:56 Обнаружение компрометации 02:00:55 Роль сотрудников в безопасности 02:03:27 Мотивация сотрудников 02:04:56 Ответственность и мотивация…