Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

Добро пожаловать в практическую безопасность (Сергей Белов)

K
Kristina Pomozova

DEF CON Kazakhstan

1 of 23
Добро пожаловать в практическую безопасность (Сергей Белов)
Добро пожаловать в практическую безопасность #defconkz, Almaty, 30 oct 2016 Сергей Белов @sergeybelove
# whoami • Security Researcher @ Digital Security / ZeroNights / Defcon Russia • habrahabr / журнал “Хакер” • Bugbounty / bughunting: Google, Digital Ocean, Yandex, Mail.ru Telegram, ВКонтакте, Badoo, CloudFlare и др • CodeFest (2012, 2014, 2016), ZeroNights, РИТ++, CEE-SECR, FrontendConf, Hack In Paris, BlackHat USA, OWASP (RU & PL), etc • Websec fan
План • Направления в ИБ • Жизнь в ИБ • Я нашел уязвимость!
Направления в ИБ
Направления в ИБ 1. Юридическое направление • Разработка нормативов, стандартов • Разработка внутрикорпоративных политик • Законы • Адвокаты в ИБ • Безопасность «бизнеса» 2. Техническое направление • Defensive • Offensive • Разработка • Криминалистика
Направления в ИБ 1. Юридическое направление • Разработка нормативов, стандартов • Разработка внутрикорпоративных политик • Законы • Адвокаты • Безопасность «бизнеса» 2. Техническое направление • Defensive • Offensive • Разработка • Криминалистика
Направления в ИБ - Defensive Специалисты занимаются: - Построением Security Operation Center - Внедрение SIEM / Data Leak Protection - Внедрение SDLC (https://habrahabr.ru/company/qiwi/blog/313530/) - Настройкой WAF - Работают над сокращением количества ИБ инцидентов - Защищают, как могут J
Направления в ИБ - Offensive Поиск и эксплуатация уязвимостей в различных направлениях: - Web - Network - Binary (reverse) - Binary (exploit dev: x86 / x64 / arm / mips / etc) - Crypto - Mobile (Android / iOS / Win Phone) - Hardware - …
Направления в ИБ - Offensive Специфичные направления: - Бизнес приложения (SAP, Oracle, банки …) - АСУ ТП - Car hacking - Hardware - Wireless Для меня был челлендж разобраться в том, как ломать SAP. При этом имея 2 года опыта в анализе защищенности.
Направления в ИБ - Разработка Разработка: 1) Сканеры безопасности 2) Инструменты для хакинга (IDA, Burp, r2) 3) AV индустрия 4) Hardening (binary defense (EMET) / WAF) 5) Механизмы безопасности на уровне ОС / железа Относится ли сюда разработка SIEM/DLP? Скорее нет, так как для их разработки достаточно только скиллов разработчиков с минимальным привлечением ИБ специалистов
Направления в ИБ - Криминалистика Что делают? 1) Разбор инцидентов (логи доступа, действий и т.п.) 2) Восстановление данных 3) Поиск и нахождение виновных
Жизнь в ИБ
Жизнь в ИБ Важная часть сферы: - Bug bounty - CTF - Публикация статей, ресерчей - Конференции
Жизнь в ИБ - Bugbounty Bug bounty – программы награждения исследователей за найденные уязвимости. Две основные площадки: 1) hackerone 2) bugcrowd Многие крупные вендоры хэндлят bugbounty сами, например Google и Yandex В вебе реально заработать (при «средних» навыках – $3-15k в год)
Жизнь в ИБ - Bugbounty • Нашел уязвимость без bugbounty и требуешь денег? GTFO J (https://bo0om.ru/linkedins-million-dollar-bug) • Нашел уязвимость в рамках bugbounty и дали объективно мало? Доказывай импакт, сравни свой репорт с другими (в рамках программы у этого же вендора!)
Жизнь в ИБ - CTF Capture The Flag – соревнования, позволяющие легально порешать задачи в ИБ. Плюсы: - Расширяет кругозор - Возможность изучить сферы, в которых мало знаний - Призы Минусы: - Часто придуманные ситуации, которых не бывает в реальной жизни - Соревнование «олимпиадников» (категория PPC) - Вечный баттл «CTF vs реальный ресерч» Ждем доклад про CTF в Казахстане ;)
Жизнь в ИБ – Cтатьи и ресерчи Публикация статей: 1) Желание поделиться найденным (включая PR) 2) Публикация в специальных изданиях или в личном блоге 3) Самая лучшая обратная связь (reply в твиттере после публикации + комменты) 4) Позволяет в т.ч. самому собрать и структурировать информацию 5) Позволяет «застолбить» найденные баги
Жизнь в ИБ - Конференции Конференции – отличное место для знакомств, PR, поиска работы, путешествий и… иногда заработка.
Жизнь в ИБ - Конференции Типы выступлений: 1) Доклад (fast track 10-15 мин / full ~40 мин) - Дает статус спикера - Выступил и свободен - Плохой тон выступать с одной темой много раз 2) Воркшоп (2-4 часа) - Все любят воркшопы - Изначально заинтересованная аудитория - Можно ездить неограниченное количество раз - Подготовка занимает умеренное время 3) Тренинг (1-3 дня) - Сложная и длительная подготовка - Можно ездить неограниченное количество раз и быть мега популярным - Финансовый профит (30-70% от стоимости участия) - Можно продавать напрямую организациям - Невероятный PR
Я нашел уязвимость!
Я нашел уязвимость! Что можно сделать? 1) «Ответственно репортим» (и лучше так: не просили – не ищи). Связываемся доступными методами, если не отвечают – ищем знакомых. Дожидаемся исправления и, возможно, рассказываем что и как было 2) «Законно» продаем (продажа компаниям типа ”hacking team” или в ZDI/Zerodium) 3) Продажа на «теневом» рынке, непосредственная эксплуатация против кого-либо
Stay secure & keep hacking ;) @sergeybelove

More Related Content

Добро пожаловать в практическую безопасность (Сергей Белов)

  • 2. Добро пожаловать в практическую безопасность #defconkz, Almaty, 30 oct 2016 Сергей Белов @sergeybelove
  • 3. # whoami • Security Researcher @ Digital Security / ZeroNights / Defcon Russia • habrahabr / журнал “Хакер” • Bugbounty / bughunting: Google, Digital Ocean, Yandex, Mail.ru Telegram, ВКонтакте, Badoo, CloudFlare и др • CodeFest (2012, 2014, 2016), ZeroNights, РИТ++, CEE-SECR, FrontendConf, Hack In Paris, BlackHat USA, OWASP (RU & PL), etc • Websec fan
  • 4. План • Направления в ИБ • Жизнь в ИБ • Я нашел уязвимость!
  • 6. Направления в ИБ 1. Юридическое направление • Разработка нормативов, стандартов • Разработка внутрикорпоративных политик • Законы • Адвокаты в ИБ • Безопасность «бизнеса» 2. Техническое направление • Defensive • Offensive • Разработка • Криминалистика
  • 7. Направления в ИБ 1. Юридическое направление • Разработка нормативов, стандартов • Разработка внутрикорпоративных политик • Законы • Адвокаты • Безопасность «бизнеса» 2. Техническое направление • Defensive • Offensive • Разработка • Криминалистика
  • 8. Направления в ИБ - Defensive Специалисты занимаются: - Построением Security Operation Center - Внедрение SIEM / Data Leak Protection - Внедрение SDLC (https://habrahabr.ru/company/qiwi/blog/313530/) - Настройкой WAF - Работают над сокращением количества ИБ инцидентов - Защищают, как могут J
  • 9. Направления в ИБ - Offensive Поиск и эксплуатация уязвимостей в различных направлениях: - Web - Network - Binary (reverse) - Binary (exploit dev: x86 / x64 / arm / mips / etc) - Crypto - Mobile (Android / iOS / Win Phone) - Hardware - …
  • 10. Направления в ИБ - Offensive Специфичные направления: - Бизнес приложения (SAP, Oracle, банки …) - АСУ ТП - Car hacking - Hardware - Wireless Для меня был челлендж разобраться в том, как ломать SAP. При этом имея 2 года опыта в анализе защищенности.
  • 11. Направления в ИБ - Разработка Разработка: 1) Сканеры безопасности 2) Инструменты для хакинга (IDA, Burp, r2) 3) AV индустрия 4) Hardening (binary defense (EMET) / WAF) 5) Механизмы безопасности на уровне ОС / железа Относится ли сюда разработка SIEM/DLP? Скорее нет, так как для их разработки достаточно только скиллов разработчиков с минимальным привлечением ИБ специалистов
  • 12. Направления в ИБ - Криминалистика Что делают? 1) Разбор инцидентов (логи доступа, действий и т.п.) 2) Восстановление данных 3) Поиск и нахождение виновных
  • 14. Жизнь в ИБ Важная часть сферы: - Bug bounty - CTF - Публикация статей, ресерчей - Конференции
  • 15. Жизнь в ИБ - Bugbounty Bug bounty – программы награждения исследователей за найденные уязвимости. Две основные площадки: 1) hackerone 2) bugcrowd Многие крупные вендоры хэндлят bugbounty сами, например Google и Yandex В вебе реально заработать (при «средних» навыках – $3-15k в год)
  • 16. Жизнь в ИБ - Bugbounty • Нашел уязвимость без bugbounty и требуешь денег? GTFO J (https://bo0om.ru/linkedins-million-dollar-bug) • Нашел уязвимость в рамках bugbounty и дали объективно мало? Доказывай импакт, сравни свой репорт с другими (в рамках программы у этого же вендора!)
  • 17. Жизнь в ИБ - CTF Capture The Flag – соревнования, позволяющие легально порешать задачи в ИБ. Плюсы: - Расширяет кругозор - Возможность изучить сферы, в которых мало знаний - Призы Минусы: - Часто придуманные ситуации, которых не бывает в реальной жизни - Соревнование «олимпиадников» (категория PPC) - Вечный баттл «CTF vs реальный ресерч» Ждем доклад про CTF в Казахстане ;)
  • 18. Жизнь в ИБ – Cтатьи и ресерчи Публикация статей: 1) Желание поделиться найденным (включая PR) 2) Публикация в специальных изданиях или в личном блоге 3) Самая лучшая обратная связь (reply в твиттере после публикации + комменты) 4) Позволяет в т.ч. самому собрать и структурировать информацию 5) Позволяет «застолбить» найденные баги
  • 19. Жизнь в ИБ - Конференции Конференции – отличное место для знакомств, PR, поиска работы, путешествий и… иногда заработка.
  • 20. Жизнь в ИБ - Конференции Типы выступлений: 1) Доклад (fast track 10-15 мин / full ~40 мин) - Дает статус спикера - Выступил и свободен - Плохой тон выступать с одной темой много раз 2) Воркшоп (2-4 часа) - Все любят воркшопы - Изначально заинтересованная аудитория - Можно ездить неограниченное количество раз - Подготовка занимает умеренное время 3) Тренинг (1-3 дня) - Сложная и длительная подготовка - Можно ездить неограниченное количество раз и быть мега популярным - Финансовый профит (30-70% от стоимости участия) - Можно продавать напрямую организациям - Невероятный PR
  • 22. Я нашел уязвимость! Что можно сделать? 1) «Ответственно репортим» (и лучше так: не просили – не ищи). Связываемся доступными методами, если не отвечают – ищем знакомых. Дожидаемся исправления и, возможно, рассказываем что и как было 2) «Законно» продаем (продажа компаниям типа ”hacking team” или в ZDI/Zerodium) 3) Продажа на «теневом» рынке, непосредственная эксплуатация против кого-либо
  • 23. Stay secure & keep hacking ;) @sergeybelove