PENTESTIT。 実用的な情報セキュリティ：2014年の結果、パートII

読者の皆様、そして情報セキュリティに関心のある方々のみなさん、こんにちは。 前の記事で、 2014年のデブリーフィングを開始し、独自のトレーニングプログラムについて説明しました。 この記事では、私たちの会社の公的生活とその結果について簡単に話します。



それでは始めましょう。



2014年は、PENTESTITの管理者による国際フォーラム「サイバーセキュリティフォーラム2014」でのスピーチから始まりました。 フォーラムの2つの会場で、実用的な情報セキュリティについて話しました。 パフォーマンスは明るく、強烈でした。 深刻なトピックについて議論し、緊急かつ差し迫った問題を解決する方法が見つかりました。 イベントの傍ら、 SkillFactoryで最初のトレーニングプログラムを開始することで合意に達しました。



当社が参加した次のイベントは、ロシアのインターネットフォーラム「RIF + CIB 2014」で 、そのセクションの1つでは、パートナーであるAcronisと共同でWebサイトのセキュリティに関するレポートが作成されました。PENTESTITのテクニカルディレクターSafonov Luka





PENTESTITの従業員とPositive Hack DaysのチーフディレクターであるSergey Gordeychik。



歴史的なイベントは2014年5月に行われ、PENTESTITが実用的な情報セキュリティに関するロシアのメインフォーラム「Positive Hack Days IV」で発表されました 。 ちなみに、フォーラムの最高のレポートのトップ5に入賞した従業員アレクサンダー「シニスター」ドミトレンコのレポートに加えて、このイベントのためにペンテストラボ「One Step Ahead」が特別に開発されました。さまざまな国と大陸。 タスクは困難であることが判明し、PHD IVの2日間、全員が倫理的ハッキングに挑戦していました。 このラボでは、仮想企業の実際の分散企業ネットワークをシミュレートしました。 ちなみに、近い将来、別の新しい「Test.lab」ラボを開設します。このラボでは、1か月間作業を続けています。 悪用の「曲技飛行」を必要とする実際の攻撃ベクトルと脆弱性に加えて、新しいペンテストラボに攻撃マップが追加され、ラボのハッキングがさらに面白く視覚化されます。 Test.labのラボは、現実の点で他のハッカー競合とは異なることを思い出してください-固有の脆弱性と構成エラーで典型的な企業ネットワークを完全にシミュレートします。 いつものように、研究室への参加は無料です。 VKのグループのニュースをフォローしてください。



サムスンモビリティフォーラム2014では、Acronisと一緒に、Androidデバイスの安全性を実証するテストベンチを展開しました。 当社の従業員（Safonov Luka、Lesovoy Konstantin）は、モバイルデバイスに対するいくつかの関連する攻撃のベクトルを示しました：トラフィックの傍受、モバイルデバイスに含まれる重要なデータへのアクセスの取得、スマートフォンの所有者の知識なしでの隠しモードでのビデオ/カメラのリモート使用など



2014年9月、 QA Clubテスターのコミュニティの招待で、インテルがニジニノヴゴロドで開催したイベントでWebアプリケーションセキュリティに関するプレゼンテーションを行いました。 温かい歓迎、ニジニノヴゴロドのツアー、専門家の聴衆がトリックを行いました-パフォーマンスは成功しました。 多くの質問や論争がありましたが、CTOが共有した経験は前向きなものでした。 人々はまだ感謝の言葉を書き、アドバイスされ、これは前進する力を与えます。 それとは別に、QAクラブの参加者、特にIgor Pozumentovに感謝します。 私たちには共通の目標があり、確かにそれを達成します。 お友達ありがとうございます。 ここでパフォーマンスのビデオを見てください 。



2014年11月、 SiteSecureが主催するセミナーでQratorとInsalesとともに講演しました。 セミナーは、オンラインストアの所有者にとって興味深く、有用であることが判明しました。 SiteSecureのMaxim Lagutinが脅威分析の結果を発表し、QratorのAndrey BondarenkoがDDoS攻撃に対抗するトピックを取り上げ、Insalesの従業員がオンラインストア構築プロジェクトの管理における自身の経験を共有しました。 セミナーは非常に前向きで、聴衆は将来に自信を得ました（下からではなく、単語の日から）。

＃PENTESTITスタッフとのIBEダイアログ

Konstantin、あなたはWebアプリケーション開発部門を担当しています。 ご存知のように、Webアプリケーションはハッカーの優先目標の1つです。 いつか悪意のある人がWebサイトをハッキングして企業ネットワークに侵入することを恐れていませんか？ おそらくPENTESTITにとっては災害でしょうか？

はい、間違いなく当社のサイトの1つをハッキングすると、会社全体とWeb開発部門の専門家の両方の評判に打撃を与えます。 当社の経験と情報セキュリティの国際的な慣行は、100％安全なネットワークリソースが不可能であることを長い間証明してきました。 私は今日不明な脆弱性について話している。 今日、Webアプリケーションを開発する際には、Webとその周辺に対するすべての最新の攻撃を考慮に入れているため、セキュリティと安定性が確保されています。 また、新しいナットに対する最大限の保護を提供するために、「ナットを締める」ことを忘れないでください。

Konstantin Kovalev、Webアプリケーション開発責任者。



マキシム、実験室について一言で説明してください-そのような実験室のアイデアは何ですか、なぜあなたはそれらを開発し、何らかの原則（ルール）がありますか？

私たちの研究所のアイデアは、実際の企業のネットワークに可能な限り近い企業ネットワークに基づいて、ペンテストサイトを作成することです。 いくつかの構成エラー、脆弱なプロトコル、危険なデフォルト設定、または単に更新されていない脆弱なソフトウェアをそこに入れます。 一般的に、ほとんどのネットワークのさまざまなバリエーションで非常に一般的なもの。 また、実験室はいわゆるタスクの集まりではなく、通過のシナリオがそこに置かれ、常に線形ではありません。 なぜこれを行うのですか？ 一方で、ただの楽しみのために。 一方、それはあなたが自分を良い状態に保つことを可能にします。 研究室をより面白くしようとして、私たちは自分たちのために新しい技術を研究しています。 もちろん、攻撃ベクトルと脆弱性のニュースをフォローしています。 また、実験室は、どのような構成で操作の可能性が生じるか、どの要因が影響するか、またはその逆を研究する良い機会です。 これにより、これらの脆弱性の「発生のメカニズム」をより深く理解できます。 また、多くの場合、研究室では、監査で出会ったことを具体化するため、現実性が増します。 さて、実践が示すように、そのような実験室は、情報セキュリティの実用的な側面を研究する初心者と成熟した専門家の両方にとって成功しています。 この種の競争により、より多くの人々を情報セキュリティの問題に引き付け、実際に試してみることができます。 本当に感動しました。

侵入試験研究所開発部長のマキシム・マヨロフスキー。



ドミトリー、PENTESTITでの主な仕事は会社の発展です。 明らかに、高品質の製品またはサービスがこの開発に貢献しています。 あなたの意見では、PENTESTITによって提供されるサービスは十分に高品質であり、市場でどれだけの需要がありますか？

興味深い質問です！ 私たちのサービスがすべての品質基準を満たしていると答えたとしても、それが情報セキュリティ分野に適用できるなら、私は魅力的ではないと思います。 当社での作業はすべて非常に効率的かつ骨の折れる作業です。 ロシア市場の利点は、市場が若く、日常生活やビジネスで誰もが見たいと思う品質のサービスを常に受け​​られるとは限らないことです。 ビジネスのあらゆるニッチに参入し、その中にあなたの場所をとり、効率的かつ時間通りに仕事をするだけで競合他社を絞り出すことができます。 これ以上何も発明しません。 残念ながら、わが国のほとんどの企業は、そのような単純なものでさえ提供できません。 私たちの焦点は、プログラム自体の質と、生徒と生徒に対する「プレゼンテーション」の両方に正確に焦点を当てています。 その人がすべてを理解し同化するが、「紙」を受け取らず、それを持って来て魔法の杖のように振って、良い給料と暖かい場所に行くことができることが重要です。 人々は心と決意をもってすべてを達成する必要があります。 質問の2番目の部分に答えると、国および世界全体の地政学的および経済的状況が支配的であるため、ISの方向はITの影から外れており、ビジネスだけでなく全体の独立した独立した見解として際立っています。 わが国の多くの大学は、この分野の部門を開設し、無料のセミナーを開催し、専門コースを実施しています。 これは全体としてポジティブな方法で私をセットアップしますが、ほとんどの場合、それはこの方向で働き、教える専門家ではなく、古い学校の人々、または火薬の匂いがしない若い人々です。

将来的には人事に問題はないと確信していますが、これには時間と頼りになる基盤が必要です。 私たちは、わが国の専門的な情報セキュリティ担当者の成長を促進しています。 ゼロセキュリティ：初心者向けのプログラムとコーポレートラボトレーニングプログラムの両方があり、私たちはそれらを誇りに思っています。 情報セキュリティサービスの需要は年々増加しています。 この時期の最も重要なことは、ロシアの情報セキュリティの専門家の世代を教育し、ヨーロッパ、アメリカ、中国の企業を巻き込むことなく、ロシア企業のみがすべてのプロジェクトを国内で実施することです。 私たちには明るい未来があると確信しています。

ドミトリーパノフ、CBDO。



ルーク、あなたは会議、セミナー、フォーラムで非常によく話します。 他の従業員が話さないのはなぜですか？ または、会社に2人しかいないのですか？ それとも彼らは何も知らないのでしょうか？

私は主に、パートナーが招待する場所について話します。通常、彼らは私たちの従業員から私を選んでいます。 他の従業員も話します。たとえば、アレクサンダー・ドミトレンコはPHDで話をしました（彼の報告はトップ5にありました）、コンスタンチン・レソボイはサムスンモビリティフォーラムで話をしました。 「技術者」が管理職の投稿の前で「平易な言葉」で正しいメッセージを得るのは難しいですが、私にとってはうまくいくので、私は話します:)

ルーク・サフォノフ、CTO。



5年後の会社はどうですか？ 最も有望な分野は何ですか？ さて、そして最も重要なこと-あなたにとってPENTESTITとは何ですか？

私たちは勢いを失うことはありません-私たちは一年で素晴らしい仕事をしました。 5年後に何が起こるかを言うのは困難ですが、年々「成長」し、前進します-それは確かです。 方向性の見通しについては、私たちが提供するすべてが有望であり、あなたはただ忍耐強く努力しなければなりません。 平均して、「立ち上がる」方向に約6か月かかります。 私たちのすべての分野は有望ですが、最も人気のあるのはトレーニングプログラムとセキュリティ分析です。 原則として、残りは最初の注文に加えて注文されます。 私にとってPENTESTITとは何ですか？..明確に答えることは困難です。 まさにそうです、もし彼らが彼の息子に関して同様の質問を父親に尋ねたら。 チーム、まずチーム（大文字）、および自己実現の方法。 ドヴィグハと時々眠れない夜（そう、私はそれなしではできません）、難しい質問、成功の一般的な喜び、そして（時にはそのような）自分の過ちの認識。 PENTESTITは厳格な規律を持つ複雑なメカニズムです。 そして、何が起こっても、PENTESTITは常に、最も複雑な問題を解決する準備ができている志を同じくする人々の真に友好的なチームです。 はい、そうです。個人的には、私たちがやったことを誇りに思っています。

Romanov Roman Igorevich、CEO。

「スタッフ」について

これが2014年のPENTESTITの記憶です。 彼は前向きで強烈でした。 2015年が当社にとってさらに成功することは間違いありません。 多くは危機を恐れており、リスクと責任を負いたくありません。私たちはこの時間を待っています-結局のところ、これは機会と大きな勝利の時です。 じゃあね！