6 сентября 2023
11:00

Лучшие практики наступательной безопасности (Offensive Security)

Проиграть видео

О мероприятии

В прямом эфире AM Live вместе с ведущими экспертами обсудим наступательную или атакующую безопасность (Offensive Security — OffSec). Что это такое и почему к этому подразделу информационной безопасности приковано столько внимания?

Расскажем, кто в России специализируется на наступательной безопасности. Какие методы применяются для проверки защищенности отдельных приложений и инфраструктуры в целом. В чем преимущества и недостатки пентестов, Red Teaming, Purple Teaming и Bug Bounty. Как на практике комбинировать эти методы между собой. И главное – как системно подойти к OffSec, как выстроить процесс и на какой результат рассчитывать.

Программа

Цели и средства наступательной безопасности

Что такое Offensive Security (OffSec) и для чего это нужно?

OffSec — это процесс или набор методов и практик?

Какие методы чаще всего применяются в рамках процесса OffSec?

В чем принципиальная разница между пентестами, Red Teaming и Bug Bounty?

Относится ли к OffSeс класс решений Breach and Attack Simulation (BAS)?

Какие существуют ограничения для различных методов OffSec?

Сколько все это стоит и как обосновать затраты на OffSec?

Если Bug Bounty экономически выгоднее, то почему этим не заменить все остальное?

Какие можно выделить уровни зрелости OffSec в организации?

Почему недостаточно проводить периодические пентесты силами “лучших белых хакеров”?

Как традиционной команде защитников Blue Team правильно работать с результатами анализа защищенности?

Как безопасникам научиться работать в спарринге в формате Purple Team?

Стоит ли держать специалиста или команду OffSec внутри организации?

Практика Offensive Security

Мы пока не заходили дальше анализа защищенности и запуска специализированных сканеров. Как подступиться к OffSec?

Как формализовать процесс и правильно составить задание на OffSec?

Практические рекомендации для отдельных отраслей: финтех, ретейл, промышленность, госорганы?

Что важнее на практике: найти уязвимости или провести тренировку Blue Team и SOC?

Сколько по времени занимает качественный пентест, Red Teaming или старт программы Bug Bounty?

Как комбинировать пентесты, Red Teaming и Bug Bounty?

C бюджетом на пентесты и Red Team все понятно, но как не разориться на Bug Bounty?

Почему программы Bug Bounty столь стремительно набирают популярность в России?

Как должен быть организован процесс работы с результатами OffSec?

Сколько и каких людей на практике нужно, чтобы успевать качественно отрабатывать все найденные уязвимости?

Мы потратили кучу денег на OffSec, но нас все равно сломали. Кто виноват?

Насколько в реальной практике правильно выстроенный процесс OffSec снижает риски информационной безопасности?

Прогнозы

Как будут эволюционировать подходы к наступательной безопасности в ближайшие несколько лет?

Заменит ли Purple Team уже привычный Red Team?

Будет ли запущена государственная платформа Bug Bounty и как это повлияет на отрасль?

Сведет ли на нет внедрение подходов Secure by Design и кибериммунности необходимость в наступательной безопасности?

Модератор

Директор по информационной безопасности

Вебмониторэкс

Спикеры

Руководитель отдела анализа защищенности Solar JSOC

«Ростелеком-Солар»

Руководитель группы тестирования на проникновение

DeteAct

Руководитель группы анализа защищенности

Wildberries

Управляющий

RTM Group

Руководитель направления перспективных исследований

«Группа Астра»

Руководитель отдела безопасности программного обеспечения

«Лаборатория Касперского»

Независимый эксперт

Партнеры

При поддержке

Контакты

Илья Шабанов

Генеральный директор
«AM Медиа»

Анна Щербакова

Директор по работе с партнёрами «АМ Медиа»

Стать участником мероприятия

Заполните форму и наш представитель свяжется с вами