SlideShare a Scribd company logo

Собираем команду хакеров

Download as PPTX, PDF
Dmitry Evteev
Dmitry Evteev
1 of 18
Собираем команду хакеров Дмитрий Евтеев, руководитель отдела анализа защищенности, Positive Technologies
Пару слов о компании Positive Technologies – это: – MaxPatrol – уникальная система анализа защищенности и соответствия стандартам – XSpider – инновационный сканер безопасности – Positive Research – один из крупнейших исследовательских центров в Европе – Positive Hack Days – международный форум по информационной безопасности
История создания команды PHDays организация форума ИБ набор специалистов с глубокими и узкими знаниями развитие направления по предоставлению услуги анализа защищенности информационных систем XSpider для анализа защищенности 2004 2007 2008 2011
Позитивный рост :) 250 200 102 52 30 41 11 22 4 6 7 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Пентесты шментесты или отдел пупыринга • Группа тестирований на проникновение • Группа анализа защищенности веб- приложений • Экспертная группа • Аналитическая группа
Кто? • Хакеры • Веб-хакеры • Реверсеры • Эксперты • Программисты
Кто такие хакеры? • Особые люди • Исследователи • Практики
Откуда? • Специализированные форумы по ИБ • Через личные контакты • С различных мероприятий (мастер- классы, воркшопы, хакспейсы и т.п.) • Соревнования хакеров по принципу CTF • …и впрочем как у всех (HeadHunter, оф. сайт компании, блоги и т.п.)
Откуда?
Мотивация (1/2) • Игры в «хакеров» • Уникальная среда скопления практиков и экспертов в области ИБ • Возможность заниматься исследованиями в рабочее время • Минимум бюрократии • Соревновательный момент внутри отдела • Немного славы ;) • Каждый занимается только любимым делом (!)
Мотивация (2/2) Развитие в качестве руководителя Уровень счастья $$$ Развитие в качестве технического специалиста
Требования к кандидатам • Самое главное требование – доверие (!!!) • Стремление человека к саморазвитию • Глубокие экспертные знания в предметной области • Что не играет роли? – Отсутствие высшего образования – Наличие бумажек aka «сертификатов» • Что не приемлемо? – Черный черный блэк (кардерство и т.п.)
Из чего состоит любимая работа? • Пентесты шментесты • Хакинг веба • Вай-фай • Социалка • Страшные досы • Непрерывный ресерч
Как мы работаем (1/2)
Как мы работаем (2/2) СЕТЕВОЕ ОБОРУДОВА СЕТЕВОЕ НИЕ ФИЛИАЛ РАБОЧИЕ ОБОРУДОВА СТАНЦИИ НИЕ Внутренний пентест/аудит по результатам пентеста Внутренний пентест/аудит по результатам пентеста WEB- СЕРВЕР СЕРВЕРЫ СЕРВЕРЫ РАБОЧИЕ СТАНЦИИ ПРОВЕДЕНИЕ ПРОВЕРОК ПРОВЕДЕНИЕ MP SERVER ПРОВЕРОК ГОЛОВНОЙ ОФИС Рабочее место аудитора
Результаты наших работ • Проводим более 20 крупномасштабных тестирований на проникновение в год • Анализируем защищенность веб-приложений на потоке • Многочисленные публикации по информационной безопасности в тематических изданиях • Уникальный форум по практической безопасности – Positive Hack Days
Желаете присоединиться к нашей команде? Welcome! hr@ptsecurity.ru
Спасибо за внимание! Вопросы? devteev@ptsecurity.ru http://devteev.blogspot.com https://twitter.com/devteev

Recommended

Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...
Dmitry Evteev
 
Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.
Dmitry Evteev
 
Как взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийКак взламывают сети государственных учреждений
Как взламывают сети государственных учреждений
Dmitry Evteev
 
Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Реальные опасности виртуального мира.
Реальные опасности виртуального мира.
Dmitry Evteev
 
Услуги PT для банков
Услуги PT для банковУслуги PT для банков
Услуги PT для банков
Dmitry Evteev
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
Dmitry Evteev
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
Alexey Kachalin
 
Анализ уязвимостей ПО
Анализ уязвимостей ПОАнализ уязвимостей ПО
Анализ уязвимостей ПО
Sergey Borisov
 

Recommended

Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...
Dmitry Evteev
 
Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.Уязвимости систем ДБО в 2011-2012 гг.
Уязвимости систем ДБО в 2011-2012 гг.
Dmitry Evteev
 
Как взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийКак взламывают сети государственных учреждений
Как взламывают сети государственных учреждений
Dmitry Evteev
 
Реальные опасности виртуального мира.
Реальные опасности виртуального мира.Реальные опасности виртуального мира.
Реальные опасности виртуального мира.
Dmitry Evteev
 
Услуги PT для банков
Услуги PT для банковУслуги PT для банков
Услуги PT для банков
Dmitry Evteev
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
Dmitry Evteev
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
Alexey Kachalin
 
Анализ уязвимостей ПО
Анализ уязвимостей ПОАнализ уязвимостей ПО
Анализ уязвимостей ПО
Sergey Borisov
 
Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишинг
Sergey Borisov
 
Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системТиповые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских систем
Dmitry Evteev
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
Dmitry Evteev
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложениях
jet_information_security
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
Dmitry Evteev
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
SQALab
 
Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. Основы
Positive Hack Days
 
Защищая ключевые Интернет-ресурсы
Защищая ключевые Интернет-ресурсыЗащищая ключевые Интернет-ресурсы
Защищая ключевые Интернет-ресурсы
ЭЛВИС-ПЛЮС
 
Введение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийВведение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложений
Dmitry Evteev
 
Penetration testing
Penetration testingPenetration testing
Penetration testing
Alexander Dorofeev
 
Network Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейNetwork Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетей
ЭЛВИС-ПЛЮС
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструменты
Sergey Soldatov
 
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Kaspersky
 
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхАнализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Dmitry Evteev
 
Опыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компанииОпыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компании
SQALab
 
ЗАСТАВА — Презентация решения
ЗАСТАВА — Презентация решенияЗАСТАВА — Презентация решения
ЗАСТАВА — Презентация решения
ЭЛВИС-ПЛЮС
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.
Dmitry Evteev
 
Fuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиFuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасности
SQALab
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future Now
Dmitry Evteev
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016
Sergey Soldatov
 
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APTАрефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
Expolink
 
PT MIFI Labsql
PT MIFI LabsqlPT MIFI Labsql
PT MIFI Labsql
Dmitry Evteev
 

More Related Content

What's hot

Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системТиповые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских систем
Dmitry Evteev
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
Dmitry Evteev
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложениях
jet_information_security
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
Dmitry Evteev
 
Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. Основы
Positive Hack Days
 
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Kaspersky
 
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхАнализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Dmitry Evteev
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.
Dmitry Evteev
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future Now
Dmitry Evteev
 

What's hot (20)

Вирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишингВирусы-шифровальщики и фишинг
Вирусы-шифровальщики и фишинг
 
Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системТиповые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских систем
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложениях
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях Microsoft
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
 
Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. Основы
 
Защищая ключевые Интернет-ресурсы
Защищая ключевые Интернет-ресурсыЗащищая ключевые Интернет-ресурсы
Защищая ключевые Интернет-ресурсы
 
Введение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийВведение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложений
 
Penetration testing
Penetration testingPenetration testing
Penetration testing
 
Network Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетейNetwork Behaviour Analysis — новый подход к защите корпоративных сетей
Network Behaviour Analysis — новый подход к защите корпоративных сетей
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструменты
 
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
 
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхАнализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
 
Опыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компанииОпыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компании
 
ЗАСТАВА — Презентация решения
ЗАСТАВА — Презентация решенияЗАСТАВА — Презентация решения
ЗАСТАВА — Презентация решения
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.
 
Fuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиFuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасности
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future Now
 
Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016Охота на угрозы на BIS summit 2016
Охота на угрозы на BIS summit 2016
 

Viewers also liked

Демонстрация атаки на ДБО
Демонстрация атаки на ДБОДемонстрация атаки на ДБО
Демонстрация атаки на ДБО
Dmitry Evteev
 
Противодействие хищению персональных данных и платежной информации в сети Инт...
Противодействие хищению персональных данных и платежной информации в сети Инт...Противодействие хищению персональных данных и платежной информации в сети Инт...
Противодействие хищению персональных данных и платежной информации в сети Инт...
Dmitry Evteev
 

Viewers also liked (6)

Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APTАрефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
Арефьев Андрей (InfoWatch) - Шахматный дебют в борьбе с APT
 
PT MIFI Labsql
PT MIFI LabsqlPT MIFI Labsql
PT MIFI Labsql
 
PT MIFI Labsql
PT MIFI LabsqlPT MIFI Labsql
PT MIFI Labsql
 
Демонстрация атаки на ДБО
Демонстрация атаки на ДБОДемонстрация атаки на ДБО
Демонстрация атаки на ДБО
 
penetest VS. APT
penetest VS. APTpenetest VS. APT
penetest VS. APT
 
Противодействие хищению персональных данных и платежной информации в сети Инт...
Противодействие хищению персональных данных и платежной информации в сети Инт...Противодействие хищению персональных данных и платежной информации в сети Инт...
Противодействие хищению персональных данных и платежной информации в сети Инт...
 

Similar to Собираем команду хакеров

Gordey - risk vs compliance
Gordey - risk vs complianceGordey - risk vs compliance
Gordey - risk vs compliance
qqlan
 
Особенности тестирования открытого ПО
Особенности тестирования открытого ПООсобенности тестирования открытого ПО
Особенности тестирования открытого ПО
Alexey Lyanguzov
 
Опыт разработки модуля межсетевого экранирования для MySQL / Олег Брославский...
Опыт разработки модуля межсетевого экранирования для MySQL / Олег Брославский...Опыт разработки модуля межсетевого экранирования для MySQL / Олег Брославский...
Опыт разработки модуля межсетевого экранирования для MySQL / Олег Брославский...
Ontico
 
Как выиграть в игру «Где Уолли» и удачно заказать сайт
Как выиграть в игру «Где Уолли» и удачно заказать сайтКак выиграть в игру «Где Уолли» и удачно заказать сайт
Как выиграть в игру «Где Уолли» и удачно заказать сайт
Astra Media Group, Russia
 
Seo (редакт)
Seo (редакт)Seo (редакт)
Seo (редакт)
zaharec
 
Seo (редакт)
Seo (редакт)Seo (редакт)
Seo (редакт)
zaharec
 

Similar to Собираем команду хакеров (20)

Gordey - risk vs compliance
Gordey - risk vs complianceGordey - risk vs compliance
Gordey - risk vs compliance
 
Softengi тестирование программного обеспечения
Softengi тестирование программного обеспеченияSoftengi тестирование программного обеспечения
Softengi тестирование программного обеспечения
 
Особенности тестирования открытого ПО
Особенности тестирования открытого ПООсобенности тестирования открытого ПО
Особенности тестирования открытого ПО
 
Диагностика производительности корпоративных приложений (Малышев)
Диагностика производительности корпоративных приложений (Малышев)Диагностика производительности корпоративных приложений (Малышев)
Диагностика производительности корпоративных приложений (Малышев)
 
Опыт разработки модуля межсетевого экранирования для MySQL / Олег Брославский...
Опыт разработки модуля межсетевого экранирования для MySQL / Олег Брославский...Опыт разработки модуля межсетевого экранирования для MySQL / Олег Брославский...
Опыт разработки модуля межсетевого экранирования для MySQL / Олег Брославский...
 
Специфика тестирования проектов с открытым исходным кодом
Специфика тестирования проектов с открытым исходным кодомСпецифика тестирования проектов с открытым исходным кодом
Специфика тестирования проектов с открытым исходным кодом
 
DersuDev #1 2015 - Continous Integration
DersuDev #1 2015 - Continous IntegrationDersuDev #1 2015 - Continous Integration
DersuDev #1 2015 - Continous Integration
 
Как выиграть в игру «Где Уолли» и удачно заказать сайт
Как выиграть в игру «Где Уолли» и удачно заказать сайтКак выиграть в игру «Где Уолли» и удачно заказать сайт
Как выиграть в игру «Где Уолли» и удачно заказать сайт
 
So Your WAF Needs a Parser
So Your WAF Needs a ParserSo Your WAF Needs a Parser
So Your WAF Needs a Parser
 
Security Testing - Polazhenko Sergey
Security Testing - Polazhenko SergeySecurity Testing - Polazhenko Sergey
Security Testing - Polazhenko Sergey
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасностьКак оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
А кем будете вы?
А кем будете вы?А кем будете вы?
А кем будете вы?
 
Организация процесса ручного тестирования
Организация процесса ручного тестированияОрганизация процесса ручного тестирования
Организация процесса ручного тестирования
 
Seo (редакт)
Seo (редакт)Seo (редакт)
Seo (редакт)
 
Seo (редакт)
Seo (редакт)Seo (редакт)
Seo (редакт)
 
Автоматизация управления проектами в постпродакшен и визуальных эффектах
Автоматизация управления проектами в постпродакшен и визуальных эффектах Автоматизация управления проектами в постпродакшен и визуальных эффектах
Автоматизация управления проектами в постпродакшен и визуальных эффектах
 
Введение в performance management
Введение в performance managementВведение в performance management
Введение в performance management
 
Soa tester view
Soa tester viewSoa tester view
Soa tester view
 
Фреймворк автотестирования веб-сервисов своими силами
Фреймворк автотестирования веб-сервисов своими силамиФреймворк автотестирования веб-сервисов своими силами
Фреймворк автотестирования веб-сервисов своими силами
 

More from Dmitry Evteev

Такой (не)безопасный веб
Такой (не)безопасный вебТакой (не)безопасный веб
Такой (не)безопасный веб
Dmitry Evteev
 
Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)
Dmitry Evteev
 
PHDays CTF 2011 Quals/Afterparty: как это было
PHDays CTF 2011 Quals/Afterparty: как это былоPHDays CTF 2011 Quals/Afterparty: как это было
PHDays CTF 2011 Quals/Afterparty: как это было
Dmitry Evteev
 
Практика проведения DDoS-тестирований
Практика проведения DDoS-тестированийПрактика проведения DDoS-тестирований
Практика проведения DDoS-тестирований
Dmitry Evteev
 
Мобильный офис глазами пентестера
Мобильный офис глазами пентестераМобильный офис глазами пентестера
Мобильный офис глазами пентестера
Dmitry Evteev
 
Безопасность веб-приложений сегодня
Безопасность веб-приложений сегодняБезопасность веб-приложений сегодня
Безопасность веб-приложений сегодня
Dmitry Evteev
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
Dmitry Evteev
 
CC HackQuest 2010 Full Disclosure (мастер-класс)
CC HackQuest 2010 Full Disclosure (мастер-класс)CC HackQuest 2010 Full Disclosure (мастер-класс)
CC HackQuest 2010 Full Disclosure (мастер-класс)
Dmitry Evteev
 
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
Dmitry Evteev
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!
Dmitry Evteev
 
Ломаем (и строим) вместе
Ломаем (и строим) вместеЛомаем (и строим) вместе
Ломаем (и строим) вместе
Dmitry Evteev
 
Penetration testing, What’s this?
Penetration testing, What’s this?Penetration testing, What’s this?
Penetration testing, What’s this?
Dmitry Evteev
 

More from Dmitry Evteev (16)

Такой (не)безопасный веб
Такой (не)безопасный вебТакой (не)безопасный веб
Такой (не)безопасный веб
 
Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)
 
PHDays CTF 2011 Quals/Afterparty: как это было
PHDays CTF 2011 Quals/Afterparty: как это былоPHDays CTF 2011 Quals/Afterparty: как это было
PHDays CTF 2011 Quals/Afterparty: как это было
 
Практика проведения DDoS-тестирований
Практика проведения DDoS-тестированийПрактика проведения DDoS-тестирований
Практика проведения DDoS-тестирований
 
Мобильный офис глазами пентестера
Мобильный офис глазами пентестераМобильный офис глазами пентестера
Мобильный офис глазами пентестера
 
Безопасность веб-приложений сегодня
Безопасность веб-приложений сегодняБезопасность веб-приложений сегодня
Безопасность веб-приложений сегодня
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
 
CC HackQuest 2010 Full Disclosure (мастер-класс)
CC HackQuest 2010 Full Disclosure (мастер-класс)CC HackQuest 2010 Full Disclosure (мастер-класс)
CC HackQuest 2010 Full Disclosure (мастер-класс)
 
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
 
РусКрипто CTF 2010 Full Disclosure (мастер класс)
РусКрипто CTF 2010 Full Disclosure (мастер класс)РусКрипто CTF 2010 Full Disclosure (мастер класс)
РусКрипто CTF 2010 Full Disclosure (мастер класс)
 
РусКрипто CTF 2010 Full Disclosure (мастер класс)
РусКрипто CTF 2010 Full Disclosure (мастер класс)РусКрипто CTF 2010 Full Disclosure (мастер класс)
РусКрипто CTF 2010 Full Disclosure (мастер класс)
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!
 
WAF наше все?!
WAF наше все?!WAF наше все?!
WAF наше все?!
 
Ломаем (и строим) вместе
Ломаем (и строим) вместеЛомаем (и строим) вместе
Ломаем (и строим) вместе
 
Ruscrypto CTF 2010 Full Disclosure
Ruscrypto CTF 2010 Full DisclosureRuscrypto CTF 2010 Full Disclosure
Ruscrypto CTF 2010 Full Disclosure
 
Penetration testing, What’s this?
Penetration testing, What’s this?Penetration testing, What’s this?
Penetration testing, What’s this?
 

Собираем команду хакеров

  • 1. Собираем команду хакеров Дмитрий Евтеев, руководитель отдела анализа защищенности, Positive Technologies
  • 2. Пару слов о компании Positive Technologies – это: – MaxPatrol – уникальная система анализа защищенности и соответствия стандартам – XSpider – инновационный сканер безопасности – Positive Research – один из крупнейших исследовательских центров в Европе – Positive Hack Days – международный форум по информационной безопасности
  • 3. История создания команды PHDays организация форума ИБ набор специалистов с глубокими и узкими знаниями развитие направления по предоставлению услуги анализа защищенности информационных систем XSpider для анализа защищенности 2004 2007 2008 2011
  • 4. Позитивный рост :) 250 200 102 52 30 41 11 22 4 6 7 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
  • 5. Пентесты шментесты или отдел пупыринга • Группа тестирований на проникновение • Группа анализа защищенности веб- приложений • Экспертная группа • Аналитическая группа
  • 6. Кто? • Хакеры • Веб-хакеры • Реверсеры • Эксперты • Программисты
  • 7. Кто такие хакеры? • Особые люди • Исследователи • Практики
  • 8. Откуда? • Специализированные форумы по ИБ • Через личные контакты • С различных мероприятий (мастер- классы, воркшопы, хакспейсы и т.п.) • Соревнования хакеров по принципу CTF • …и впрочем как у всех (HeadHunter, оф. сайт компании, блоги и т.п.)
  • 10. Мотивация (1/2) • Игры в «хакеров» • Уникальная среда скопления практиков и экспертов в области ИБ • Возможность заниматься исследованиями в рабочее время • Минимум бюрократии • Соревновательный момент внутри отдела • Немного славы ;) • Каждый занимается только любимым делом (!)
  • 11. Мотивация (2/2) Развитие в качестве руководителя Уровень счастья $$$ Развитие в качестве технического специалиста
  • 12. Требования к кандидатам • Самое главное требование – доверие (!!!) • Стремление человека к саморазвитию • Глубокие экспертные знания в предметной области • Что не играет роли? – Отсутствие высшего образования – Наличие бумажек aka «сертификатов» • Что не приемлемо? – Черный черный блэк (кардерство и т.п.)
  • 13. Из чего состоит любимая работа? • Пентесты шментесты • Хакинг веба • Вай-фай • Социалка • Страшные досы • Непрерывный ресерч
  • 15. Как мы работаем (2/2) СЕТЕВОЕ ОБОРУДОВА СЕТЕВОЕ НИЕ ФИЛИАЛ РАБОЧИЕ ОБОРУДОВА СТАНЦИИ НИЕ Внутренний пентест/аудит по результатам пентеста Внутренний пентест/аудит по результатам пентеста WEB- СЕРВЕР СЕРВЕРЫ СЕРВЕРЫ РАБОЧИЕ СТАНЦИИ ПРОВЕДЕНИЕ ПРОВЕРОК ПРОВЕДЕНИЕ MP SERVER ПРОВЕРОК ГОЛОВНОЙ ОФИС Рабочее место аудитора
  • 16. Результаты наших работ • Проводим более 20 крупномасштабных тестирований на проникновение в год • Анализируем защищенность веб-приложений на потоке • Многочисленные публикации по информационной безопасности в тематических изданиях • Уникальный форум по практической безопасности – Positive Hack Days
  • 17. Желаете присоединиться к нашей команде? Welcome! hr@ptsecurity.ru
  • 18. Спасибо за внимание! Вопросы? devteev@ptsecurity.ru http://devteev.blogspot.com https://twitter.com/devteev