BSidesUkraine Security Week 10.12.2020

Добрый вечер, наши слушатели.

Спасибо, что вы снова с нами. Скажите, пожалуйста, напишите нам в чат, или меня слышно. Как вы помните, я люблю разговаривать сама с собой.

Сегодня у нас четвертый день нашей конференции Security

Beside Security Week 10 декабря. Сегодня у нас будет два докладчика Назар Тимошик, который расскажет про... Вот, кстати, и Назар, который расскажет про свой опыт в пентесте за последние приблизительно 8 лет. Мы с Назаром познакомились где-то 4-5 лет назад на Аваспе, и с тех пор как бы в моем поле зрения Тарас остается активным участником комьюнити. Привет! Вот после него где-то около 8, да, тебя слышно, все нормально. Где-то около 8 у нас будет Дмитрий, он расскажет про имплементацию доступа для...

сотрудников, скажем так, небольших финансовых установок, как они это делали, потому что это вопрос, с которым стыкаются, в принципе, в свое время все. Хотим поблагодарить компанию Huawei за помощь, за спонсорство и поддержку комьюнити и нашего... А, я ошиблась. Назар, представляешь, я тебя назвала Тарасом. Прошу меня простить. Назар. Я думаю, что Назар дальше про себя расскажет сам. Пожалуйста, всем приятного просмотра и я надеюсь удачи, удачного и много новой информации.

Окей, а ты скажи, нас тут только двое израильских английских? У нас здесь с тобой только двое в Zoom. Основная трансляция идет на YouTube. І там будуть задавати питання і я їх тобі буду звичайно звичайною голосом. Якщо хтось захочет задати питання голосом, він сюди присоединиться. Ясно, круто, добре. Тоді вітання всім з Бандьоровського логову нашого у Львові. У нас тут, як бачите, є різного роду різнотланові прапори. Ми зараз працюємо з офісу. Корона в нас багато в кого вже прийшла. Радий, що насправді Це четвертий квартал і грудень місяць насправді надзвичайно зустрічений подіями, конференціями в кібербезпеки. Просто так один за одним. Там був у вас, я знаю. Зараз бі-сайдс, там ще планується якийсь там Practical Cyber Security Days. До речі, дуже раджу так само наступний спіч мого колеги.

on the topic, on the topic, has a lot of perspective and has a big potential in terms of what needs to be client. To be today, I would like to

share with you.

Let me share my screen.

Я буду постараться коротко поделиться какими-то основными вещами, которые я видел в бизнесе, которые меняли в последние десятки лет. Наверное, я где-то лидерам этой дирекшн уже в 2011 году. Возможно, тут много набитых шишек и вопрос, что будет дальше, куда движется this industry offensive security pen testing and how companies from Ukraine, in Ukraine, will be successful on global markets, which help not to prevent, which Gulli already learned from under defense. We are now in the last few days, where there are 55 people with locations in Kyiv, in Poltav, in Warsaw and in...

Upstate New York. This year, if I don't remember, we made about 50 and 60 fan tests. The year was, on the contrary, something that I felt very interesting in terms of і клієнтів, які приходили, і нашої трансформації. Тобто ми реально змінюємося кожен рік. Багато помилок, які ми зробили, ми вже навчалися фіксити. А тут напевно про кожну з цих помилок я попробую розказати коротко, але те, що важливо. Якщо можна, перебувайте мене зразу питаннями. Мені буде краще, щоб я генерував вам цінність, а не робив це в форматі лекції. So, what are the points of the pan-test business? First of all, it's people. People are always problems, because with people, especially in Ukraine, there is a problem with ethics.

It's a big problem. When... The problem with the fact that the market is quite often degraded, or people who So, let's say, every company finds those people who are the best. We've been looking for a long time, well, a little bit more recently, we found a recruiting agency that we found, went through the market, we chose people from which we can pick. And I'll tell you that the market is extremely red. In terms of, if you find a competent person with two hands, So

this person wants of course quite a lot. The salary is almost nothing from Poland. For example, now in offensive security I look at the market of Turkey and even the market of India. People there in general Ukrainians are cool because they are hackers in their mindset. To get the second system, they are put in us, in the houses. But it's also a good and bad side of the expertise. It is what creates for us a very good and bad reputation in the world. As for example, one of our clients who wanted to help promote under-defense on the US market, is sent to me a article about the fact that two guys from Ukraine who were identified as a Fin7 group, give 2

million bucks FBI. And when you as a business owner try to build a brand and you don't hide and say, we are from Ukraine, we have a capability of people who are in the center of UGO, in Kiev, in Poltavia, and they say, yes, but how to know that you are not in credit for anything? We are as a contract, you have the right to us to break, but how to know that you are not ethical to do it, that you are not going to break and it creates a real pressure and communication. On one hand, one of the things we are doing now is in action than we had before. Before we did a pan test and clip-up, which was on

our server. We had a really great point. was such a load, such pipeline, that we clipped one pan-test a week for a person. And with very good results, it was me, I, Jura, Bodja.

It was cool, but on the contrary, we were very excited. Now we are now, I have such pipeline in the projects that I have to give these projects to partners. partners, which we

can do together, we contract them to make some part of work. And what I saw, many people do similar to us, but there are opinions about quality, there are opinions about funning. Very often, I will say, we also decided to do this. We did a lot of Juns but even Juns must be guided constantly. The future person must be senior, who is responsible for the help of the people who are responsible for the help of the trustee.

Скажеш, що ми поляки, вам будуть більше довіряти. Коли ти скажеш, що ми українці, скажеш, о, ви талановиті хлопці, але ви можете поламати щось не то. Або можуть бути інші проблеми пояснені з цим. У нас бізнес, проблема такого пантест-бізнесу типового в Україні, яким займаються дуже багато компаній, я зараз покажу далі список, хто такий більш очевидний на ринку, це, знову ж таки, skill. Людей немає, If you need to come to normal pipeline, you built a brand, you built trust, you built marketing, you sold sales, you took top people

with high salaries, then you have a problem with growth, velocity, utilization of these people. планувание проблемы с тем, что разов зарплаты, проблемы с тем, кого на какой проект нужно санять, потому что каждый пан-тестер, который имеет свою специализацию, even looking at how people work, someone, for example, can do social engineering, someone is not able to do it, someone is good in application security, someone is good in, for example, external and internal. Even external and internal are two different people who have a lot more specialization. And here in Ukraine, to be honest, компанію, ну це впирається в людей, тобто рахується в люди на годинах. Люди типово хочуть мати вільний час так само, щоб рости. Це кльово, але знову ж таки, ти

впираєшся в те, що є обмежена кількість людей, які можуть захендувати цей проєкт. Плюс багато хто вважає, що це супер класний бізнес. Вважаю, змушу вас розчарувати, це не так. Оскільки люди вважають, що це супер класний бізнес, вони йдуть.

або в аутсорсі відкривають напрямок Cyber Security або відкривають його там в окремій компанії і впираються знову ж таки в те що вони беруть переманюють людей створюють підігріваючи ринок ринок і так перегріти відповідно ціна за яку ти не маючи трасту продаєш пентест виходить низенькою люди знову ж таки хочуть дискаунтити коли ти дискаунтаж, ти виграєш діл, але тоді в тебе виходить дуже маленький запас живучості на цьому, ну, щоб за, якщо раптом, а, до речі, от пайплайн – це та штука, яка є непостійною, тобто сьогодні, в грудні, в нас вагон проєктів, в січні типово кожен рік в нас є в січні і квітні просідання і в той момент може бути, що взагалі там є один проєкт, а в тебе там зарплат fund-servant, such

a project, such a project, and you have to protect it. And very often, many people who manage these areas, in the outsourced area, it's easy, it's all over the account of a large amount that goes on the simple 132. And one of the mistakes that I did in my time on the sub-servie, is to protect

to close... Please, it's the end of the day and after this meeting, the mind is a little bit overpowered. To close the indicators for business, my mistake was that I was raised by people in the projects that are called SDLC. I think it was a big mistake for myself. Why? Because in SDLC projects, where a person actually works as a security QA, a lot of the increase of people is reduced. That is, a person is assigned to one project with one client for a long period of time, 6-9-12 months. We sometimes, in my time, there was Igor on a project for WAF as a security engineer. And, accordingly, a year has been going through the project, skill has not always been

able to polish it. But if it was really the existence of different different projects, skill is a So, when you want to build a security business, you need to clearly determine focus. I am only doing this or only this. I am only doing application tests, or I do organization penetration tests, or I am doing SDOC, architecture consulting and so on. Fortunately, those of my close-to-knife and leaders and leaders in cybersecurity companies they already found their specialization quite cool. We picked up clearly that our direction is red teaming and we just love to do social engineering with external and internal and again up with pen tests. All the rest of us just overshad. We say sorry, no, it's here today, for example, a client says

We say sorry guys, I'm convinced that it will be expensive. Ok, tell who is cheaper, who is better and so on. We, let's say, small clients, we understand who is not our client. In fact, it's a very important moment. To be able to stop the client who is not your partner, who is mentally not similar. Normally, to give it to friends, friends, young companies, who only grow. Because it's a very small IT-Solo, where everyone knows, where reputation is such a thing that costs very expensive, and it's hard to make, it's easy to lose, and, accordingly, it needs to support and good connections and also help those who stand on the legs. So, accordingly, one of the reasons this presentation today is about

those under-the-the-ground stones that I saw and with whom I had the deal. The question of growth and scale is very... ...problems are not big, because, as I remember earlier, we... Why did we start to do projects and often did them at the beginning with Junn? Because I was a great support team, it was my expertise in soft server and, accordingly, we managed to grow just really fantastic, crazy people from zero to here. I can say that any Jun under Defense is senior everywhere else. If you look LinkedIn, it is about the same. So it is also what allows scale-ups to grow. And one of the main points of work with Junn is to form this

ethical structure in them that will give you some certainty in business that these people are not really visible to the dark side. And they don't have connections with Russia Federation, with all kinds of dark, of people with not understood background, because when you play on offensive security side, risks are great. There are contracts and there may be an element of the situation where the client has a signed contract with you. You do a pen test and he comes to you and says, you should have lost me. He can come and write an FBI statement that this company has led against me attacks. So, how high risk is that you have to have a very solid insurance in the

goal with which you work. So, my philosophy is a strong team of seniors who mentor and they raise a new generation, even if people want to go somewhere, maybe in the future, maybe somewhere else, maybe somewhere else, maybe on the border to go, then these people can raise these strong people. And in principle, it's much better than any kind of course or something like that. If there are questions, I would like to answer this.

Дуже класне питання, дякую. В нас в компанії є така штука, як Novich Oblation. Вона прийшла до нас ще з софсерва. На софсерві я працював тоді фактично 8 років, 2 роки я був R&D директором. Я не буду дирекшн, що я говорю. Працював в R&D і моїм директором був Василь Мелько. Просто геніальна людина. А після того, фактично, решту часу я лідер вже напрямок, який вийшов з R&D, як окремий дирекшн. So, in SovServa it was a wonderful school of enrichment people. For us, Jun is a person from 0 to 2 years of practical experience, not including internship. We have my internship, it lasts 9 months. It's a quite intensive school, where there can be 2-3 courses at once, two

classes on each course a week. For me, Jun is a person from, I don't know, from two-year-old offensive security. We say it's two years, it's two years and it's three years. So, two Jun, two Meet and three Senior. Now I would say that it's a rockstar team. There are of course people, who I would like to also be joined to our offensive security team. But on this stage, let's say, Просто дружимо. Ще питання.

Треба хотіти за ідею працювати при вартості знань і часу, вкладених в них. А якщо, зараз, прошу питання. Треба хотіти за ідею працювати при вартості знань і часу, вкладених в них. Я думаю, це більш ріторичний такий випрос.

Я напевно не зрозумів питання, але дивіться, я напевно скажу, ідея це та штука, якої на сильних ідеях побудований світ. Ідея завжди потрібна, бо інакше ж це не має сенсу. Ви доростете до 36, як мені зараз, і будете задавати себе питання, а зачем це все. Без ідеї, ну тобто, то, що робиться, Просто робиться, ти заробляєш гроші. Заробляти гроші просто так не цікаво, ти заробиш їх, не знаю. Ну буде в тебе зарплата, не знаю, 7 тисяч. Є люди, які я інтерв'ював, і вони хочуть мати 7 тисяч. Чому вони хочуть мати 7 тисяч? Тому що... Притом люди реально, я би сказав, дуже-дуже класні, компетентні, але хочуть 7 тисяч. Добре. Чому? Навіщо тобі 7 тисяч? Тому що я чув, може ви має, чув, що десь там пацани, які грають

працюють напряму на американську компанію, ми теж американська компанія, заробляють з кастомером 7000. Окей, а що вони роблять? Вони працюють співді архітекторами, вони працюють в дефенсі, дійсно, вони працюють напряму, але вони працюють на топову компанію, яка підняла 100 мільйонів інвестицій, в яких просто запас жиру є такий космічний, що відповідає просто Полити кеш. Банк за кеш це одна з таких бізнес філософій великих технологічних стартапів, не сервісних компаній. Наприклад, ми і Бережа це сервісна компанія. Технологічний стартап це, наприклад, не знаю, Slack. Бути секретною в інженерному Slackі, да, ви можете мати в Україні 7000 заплати. Я думаю, що це абсолютно нерально, може й більше. Потому что людям все равно, где ты працюешь. Но без идеи ты просто делаешь работу, это нудно.

Как меня поправляют, это скорее спрашивают, как ты нефинансово мотивируешь ребят?

Нефинансово мотивируешь ребят. У меня есть магический пендель. Он всегда, на самом деле, мусит працювати, потому что Не знаю, в мене є, на жаль, постійне бачення, що того, що ми робимо не так, що ми робимо зле, що ми можемо робити краще. Ну, перше, це фінансова мотивація, вона є, вона працює. Друге, це те, що ми не... нас не просто є, не знаю, offensive security тіма, яка собі живе окремим кусочком. Ми її... ми це experience. Це важливий момент, це експеріенс. Інтегруємо з нашою Defensive Security командою, з нашою Compliance командою. Відповідно, це є постійний Knowledge Exchange. І,

скажімо так, для джунів завжди це мотивація йти за сініорами, вчитися в них. Нас, ну, врань-то, Не так давно пішли люди, які я вважаю фантастичними, яких я можу хвилити, рекомендувати. Наприклад, Тарас Зелек. Я би сказав, це одна з несподіваних рок-стар, яких я просто не міг мати на ринку досить довгий час. Але тут у другої був хлопчина, який просто мегаталант, дав ОСІПІ, ОСІІІ, і реально він вмів робити проекти дуже кльово. У нас є

свої CTF, CTF, які ми був за студентами, в нас з Attack Be Friends гра, в нас... Ми раніше ми брали, робили... Хто пам'ятає мене, хто мене знає, там, я був дідом львівського ВАСПу, ВАСП Україн, а потім в якийсь момент я, наприклад, відмовився від того, щоб робити якісь івенти, виступати і так далі. There is always a reason for it. Я побачив, що просто ком'юнті, воно не так воно рухувалося не туди в ком'юніті, рухувалося в міряння піськами, а не в саме менторінг, коучінг, обмін практичними знаннями. Відповідно, я зрозумів, окей, якщо я вже роблю свою маленьку Cyber School академію всередині Андридефенсу, то мені цікавіше, щоб

ми це робили швидше, гнучкіше і так далі. Але давайте скіпаємо далі, бо є так само кусок того, що сталося протягом 2011-2021, який буде, фактично, 10 років. І що я бачу, як це змінювалося, і про маркет, це буде цікавіше. Перш за все, є зараз дофіга фрілансерів. Тобто, якщо ви хочете робити бізнес, і знаходити з ними відносини, давати їм якісь тестові проекти, дивитися. От я, наприклад, один з моїх факапів з самого початку Under Defense, це був, в мене не було можливості робити проєкти, у мене тоді не було фактично сіньор людей, і я один з перших проєктів, дуже великі, дуже відповідальні, за отсорсив до

my friends, who I thought at that time the most powerful in Ukraine. And personally, it was a very bad experience, because our standards were our team on soft serve. They were, well, I would say, top check at that time. And the guys at that time were very bad, especially in communication, very bad. The guys did something and they were black box. And so when

Ви працюєте з кастомером, я дуже раджу, показуйте своїх людей. Не ховайте своїх людей, не бійтеся, їх не вкрадуть. Касти їх можуть аутсорсери, які просто торгують тушками. А ті, хто робить сервіс, бізнес,

якщо ви маєте репутацію на ринку, якщо ви навіть естаближете свій новий бізнес, не бійтеся показувати своїх людей. It's a question of trust, as I said before, without trust, you will not take any client or any contract. There was a DLC and the sale of people, the quality of security CA, as I already told. It's a topical variant, because this business is not scaled, there are no people, experts, people on such services just don't go and, accordingly, DLC can only be a mature person, like for example, Alexi Miesnik, my colleague, we met him in 2011, and he said that he was very security architect, who can do DLC on the project

from the beginning to the end. to understand architecture, understand what attacks are waiting for, to learn developers. We did a pen test with his company, where Alexei, for example, really проводил security awareness training for his team. And we were shocked from how people were really prepared, how easily they were able to не знаю, кооперували, реагували швидко, як вони співпрацювали зі своєю IT-секерідні командою. Тому це приклад дирекшіна, куди варто рухатися. Звичайно, що кожен джун хоче бути, от є така штука, навіть, T-shaped person. T-shaped – це коли в тебе є широта знань і глибина знань. Кожен джун хоче одразу йти в глибину знань. Моя філософія, напевно, трошки інакше. Дуже важливо розуміти цілу екосистему, мати вибір, and then do

that choice. Because otherwise you can be good in one thing, but if it exists, there is no way to pull it out and turn it into another place. You don't understand all the ecosystem, you don't understand clients, you don't know, you can't really, in the end, in 6 years, become a consultant. You will continue, quote, in the end. But it's important that in Ukraine there was more consult tariff, some people who can explain not just what it is, look at this, you see, there is a such a DDA, but explain how to close, why it is doing, how to reveal other things and teach those developers to do more than that. There was an expectation, on the contrary, that over the years

such companies like Vericode, IBM, with their instruments, Static Analysis, Dynamic Application Security Testing, they beat market pen tests, as well as BackBounty and HackerOne. I will say that my humble opinion, HackerOne, I certainly believe, will beat or at least greatly improve the industry, but I certainly believe not in the next 10 years. Why? Because in order to get to HackerOne, the company has to make a normal, healthy business. They have to make some fundamental, otherwise they can just put a lot of money on HackerOne. відповідно, там 2-3 пентези – це те, що буде допомагати, і це те, що я бачу зараз. Якщо об'єктивно, якщо ринок – це нормальний, ви знаєте, закон нормального розподілу, в законі нормального розподілу

є пік, є early adopters. От у 2011 році це фактично ми були early adopters. Ми продавали пантести як могли, їх було тяжко продавати, в той час вони, клієнти не зовсім ще розуміли, більшість наших клієнтів були технологічними компаніями. Зараз я би сказав, що ринок є в оцій першій фазі, коли він ще не є на піку, але на піку може бути там 2000, і хай буде 24-25,

коли вже всім будуть потрібні пантести. Афіцтово воно буде спадати, тому що фактично platforms have all the chances to replace companies with the old model fixed price, let's say, the value of the pen testing and security. On the other hand, competition on the Ukraine market is quite large, there are 30 companies, everything that I remember was in my memory, I remember. які мають дуже різні спеціалізації, які борються за кадри. Це дуже класно. Знову ж таки, моя філософія — це в тому, що не треба боротися за кадри, треба кадри вирощувати, тому що це є наш, скажімо так, кіберпотенціал ще так само, як країни. Відповідно,

For the next 5 years, I expect that the number of these companies, fast as well, can be doubled. Many of these companies will become more mature and mature. My philosophy was in the way that we are unique, we are better than all others. It was a bad idea.

і необхідна думка відповідно в єдності сили, як показав досвід після тих 3,5 років в цьому бізнесі і набагато краще об'єднуватися, набагато краще допомагати один одному, субконтрактити один одних, тому що якщо ти маєш можливість брати, не знаю, ентерпрайз класу клієнта, І ти хочеш його взяти насправді, тому що це набагато цікавіші типи проєктів, ділів, складності і технологій, і об'єм організацій, який фактично сам досить часто навіть командою з 70 людей, ти не можеш закрити. Тому, відповідно, мати надійних партнерів в цьому

It's a very cool thing. With, literally, one, two, three, four, five, seven companies, we have a lot of this relationship with us. And it's very nice. I'm glad to promote them. The general manager said. Yes, I already said about contractors and my first, the biggest backup. And why people also Пентестери теж повинні думати не тільки про зарплату, а про те, що в кінці вони теж будують цю компанію, в якій вони зараз працюють. От кожен з компаній, кожен з цих пентестерів також будує. Він її напряму впливає, особливо якщо ти там компанія ще маленька на early stages, не знаю, секьюрно знаю, що маленькі like I know, they have a new Octal, they have success. I would like to support these people

and form. Every person who works in my company has a direct impact on who we are, who we will be in a year, two, three, already today. There was a case when We took a great, great client, I outsourced this piece of work for other companies. And the client, well, the job was so-called, but the client did not pay for it. And this was, I don't know, one of the first projects. The project cost a lot of money. The

client did not pay for it. The client did not pay for it. And the other half did not pay for it. And so the project was very difficult. I had no money at that time. It was the beginning. I had 4 students who couldn't do this project. And so they did other people. And the question of dilemma. As I said, most people would be thrown, not paid because I would not pay for the client. I with my partner, I would have thought to build this feeling of trust, even if I didn't

pay for the benefits, these people,

they have guarantee that you are going to be honest business, that you don't throw them in and so on. Quality is the thing that allows you to put trust and compromise. What do I say? And word of mouth references, which allows you to get more work. With quality you don't need to compromise. We have a situation where our citizens, for example, now come and say, Nazar, let's give them such a price. I ask, why do they have such a price? Is there any money in them? They say, I don't know. Logically, go and find it. Because if you give the client a price, you discount the market and you sell yourself. Наприклад, якщо є там, не знаю, дві компанії А і Б і компанія А робить за,

не знаю, 10, а компанія Б робить за 2, то відповідно компанія 2 буде помирати від того, що вона робить багато, але дуже мало, а компанія Б буде окей і буде там час від часу просто мати, не знаю, якісь там просадки в пайплені. Тому набагато краще, коли

You don't sell yourself, all understand the situation on the market and, accordingly, the price is highly-valued. And you can then compete with the quality, you can compete with the speed, you can do the job with the best people. One of the factors is that In fact, it's also for small company from big company. What does it difference? Small company is quite crazy because it's a Tusa. Managing 7 people is great. Managing 50 people is hell, it's scary. When you have 7 people, this Tusa has very good relationships, all of them are friends and so on. As long as this Tusa causes change from TUS in something more sustainable, sustainable business. It's a business that will not be able to get to the crisis tomorrow, that will not

be closed. TUS starts to break, because it's not like it was before. So, those who are ready to come and start their company, come and I can help you, I can tell you about your facts. запобігти, тому що набагато вагше вчитися на чужих помилках, ніж на своїх.

Я думаю, що в мене в принципі... Ага, так, це я в принципі розказав трошки. Дуже класна модель — це коли не робити просто один пентест і забути про клієнта. Я бачу, багато компаній так роблять на ринку, а це коли ти можеш пакувати кілька and several services, and a few pen tests, for example, a year, but with a lot more price than you take one time for a pen test. So, think always from a long-struck perspective. I just want to say more about your time. We always need different, young, and experienced talents, more than more experienced, because young people we have enough. Якщо комусь буде цікаво, так само будемо раді поспілкуватися і побудувати відносини. О, і в нас цього тижня виявилося, ми отримали награду від клач. Тобто

ми протягом довішли до того, щоб стати на пікет номер два зараз на клачі серед Global Security Consultants. Перепрошую за таку сумбурність. Дуже багато роботи. Буду удерживать ваши вопросы. Спасибо большое за доклад. Здесь возникали вопросы у слушателей. Очень интересуется, что, например, middle, только по годам берете градацию или должен быть какой-то ползнаний? Дивіться, хороше питання. По узнанні є, в нас є новий чоловіщий модель, в якій є рекферментом, що має знати June, що має знати Meet і що знає Matas Tier. Дуже таким очевидним рекферментом, наприклад, є сертифікація СІП і ОСІІ. У нас ОСІІІ – це перехід з June на Meet-2, з ОСІІ – це вже певний Meet.

Відповідно, є така штука, є досвід, досвід вимірюється роками, а не хакнутими машинками «хак за бокс». Це дуже великий момент, який треба розуміти. Друга штука, є така штука, як називається «методичність». Дуже часто я бачу, що, не знаю, юні пентестери, для них пентест — це креативна наука. А насправді, коли ти подивишся, як працюють західні тестери, в них це є методологія. Колись ми працювали з вера кодою, в нас була конкретна методологія, яку ми повинні були фолловити. Є методологія, яка описана в фундаментальній книжці на 300-320 сторінок, це Web-Application Hackers Handbook. І люди не читають фундаментальних книжок, вони просто часто Ну, в союзі такими, не знаю, кавичкодавами. Тобто, надивилися, вони набувають практичні скіл, але є ремесло, а є наука. А, як написано, не знаю, ці скрипки. Ти

робиш скрипки, ти приходиш в компанію, і ти дивишся, як всі інші роблять скрипки, і ти поставлює білясинка, і ти робиш скрипки так само. А є методологія, чому ці скрипки робляться саме так, і чому вони мають звучати по такому унікальному. Людина, яка розуміє, як ця скрипка має звучати, це якраз відхід від ремесла до майстерновського, до того, що вона може зробити щось сама. Ба роки для джурнал – це все-таки часовий період, який показує, що людина набула якийсь досвід. А нужно ли... То есть ты считаешь, что это уже от меня вопрос, что Hacker Application Book, что она все еще актуальна, потому что я начинаю слышать отзывы о том, что она была выпущена достаточно давно и уже многого не покрывает. Камон,

это понятно, но давайте мы не будем и буквар читать в школе, потому что наши учите буквы. Ну, это буквар, так, но...

Давайте так, напевно важливий момент. Приклад. Приклад такий з життя. Там дали ми одному нашому тривні робити такий, не знаю, дуже легенький воліпіоті скан, скажімо так. І задача була, ну, за конекцією по VPN-у і просканати мережу.

І виявилося, що якщо в тебе немає знань про ці всі legacy networks, я мушу вам зайти цей скрін, показати його зараз, бо як виглядає виховання ethical-хакерів в Україні, як виглядає ментальна модель і чому ця ментальна модель настільки часто є помилковою. Вона подібна до цього, що ми хочемо жити як в Німеччині, а для цього, щоб жити як в Німеччині, потрібно поставити свідомість, сформувати цінності і ідеологію, і робити посвідомні реформи. Я зараз таке саме зайду по пантесту. В чому вивілася ситуація, що Хлопчина не розібрався в тому, як...

які бувають типу мереж, скільки цих мереж може бути, як їх всіх проідентифікувати і так далі. Тому що, ну, там, здавалося б, апи і мережі, то є там два різні напрямки, відповідно, ти маєш дуже добре розуміти, які бувають сабнети, які, як ці сабнети, які мають можливо... О, от вам є типово ньюкамер, так? Любий ньюкамер каже, я є там, курва, хакер, Чому? Тому що я переходжу з таку зразу з етапу программінг на бакханінг. Ні. Мені перекрик, коли ти даєш людям, не знаю, проект по full-scale, you know, organization penetration test, red teaming, а люди кажуть, ні, дайте мені якусь апку потикати. Тому, ну, це про T-shaped person. В security Ну, немає проблеми, тоді виходить, а в чим ти

відрізняєшся від індуса? Яка твоя точка диференціації? В тому, що тебе немає такого жорсткого акценту на англійський, англійська теж дуже важлива. Вах — це Біблія. Хочеш — не читай всі книжки, але тоді почитай цей трансний розділ «Методологія».

Добре, дякую. А є лие якийсь мінімальний пул знань чи сертифікатів, щоб почати спробувати з вами? Та ні, ми першого підсіюємо тесну адекватність. Це, напевно, найважливіша річ. У нас інтернатура, це на вхід, на інфід проходить 150 людей, наприклад, це останній киїз, бо минулого року було більше 250. Відповідно, з тих 150 просто HR за рахунок вербальної співбесіди, розуміючи, чим ця людина... Що таке цінності для українця? Що таке цінності? Це така фрім'ярна штука, яку не намажено хліб, правда? А нам цінності вони дуже важливі. Хорошо, в принципе я смотрю, что новых вопросов нету, вы там подобавляйте, попишите вопросы. Спрашивают, сколько людей в команде SOSCE у вас? СCE зараз у дым. Зараз у дым. Тарасам, менажаль трапова. Сейчас подождем буквально пару минут, может появятся еще какие-нибудь вопросы.

Назар, мы, если ты не против, оставим твои какие-то контакты. Наверное, там ссылку на Facebook какую-нибудь. Там она вахнула. Просто заговорит на моё имя и прозвищение. Ну, либо так. Кто ищет, тот найдёт. Хорошо, пока не вижу других вопросов.

Худ. Хорошо. Всё, спасибо тебе большое ещё раз. Спасибо, что ты к нам пришёл, что рассказал, поделился опытом. А опыт, как известно... Так, Юлиска, ты молодец. Вы делаете очень хорошую работу, будучи майбутнё уже сегодня. Спасибо. Так, если сейчас, безкоштовно. Спасибо. Это классно, там все ценности. Верни только мне хоста, пожалуйста. Ха. Мейк хост. Данно. Спасибо большое. Еще раз. Пармова часа. Да, всем хорошего. В смысле, тебе тоже хорошего вечера, а мы здесь еще остаемся. Спасибо, да, спасибо тебе большое. До связи и до удачных тебе свершений, в принципе, и еще опыта. Пока-пока.

Спасибо Назару. У нас сегодня есть еще один доклад. Это будет Дмитрий Шишло. Он более 15 лет работает в индустрии и занимается, у него более 15 лет опыта в кибербезопасности, риск-менеджменте, оценке рисков, в аудите и в основном он работал в финансовых организациях. Расскажет нам тоже достаточно, как по мне, интересную тему, как они настраивали доступ пользователей внутри своих системах небольшого, ну, среднего по размеру финансового учреждения. Насколько я знаю, что в разные периоды времени, в принципе, все с этим сталкиваются, поэтому, я думаю, вам будет интересно.

Это было несколько лет назад. Я вступил в свою новую позицию в новом банке, в новое предприятие. И я сидел в офисе, и стучат по двери, два аудитора ко мне приходят, и я понимаю, что у меня этот день пройдет как-то необычно и не очень приятно, наверное. когда аудиторы к вам приходят, это всегда значит, что они что-то нашли, у них есть какие-то вопросы. И они начинают объяснять, что они сравнивали учетные записи в разных системах со списком нынешних и бывших сотрудников, которые дали список, которые HR дал. И они начали, они нашли скажем, различия. То есть они нашли в системах учетной записи тех людей, которые уже в принципе не существуют, которые уже вышли из предприятия. Они в системах нашли люди,

которые в других департаментах работают, но у которых есть еще учетные записи в старых системах, потому что они поменяли должности. И они ко мне приходят, спрашивают, ну вы можете нам объяснять, почему это там так происходит? Это была наша первая проблема. Это значит, что где-то есть проблема с безопасностью. Во-вторых, всегда слышно, что новые сотрудники недовольны, потому что им нужно ждать несколько дней или даже недель, чтобы получить доступ к системе. И каждый обвиняет друг друга. HR обвиняет IT, что они не получают какую-то информацию, которую они должны передать. IT обвиняет HR, что они не получают ту информацию, которую они должны получать. Менеджеры недовольны, потому что их сотрудники не могут работать несколько дней или несколько недель. То есть такая разборка. А мы здесь. И нам задают вопрос, а почему?

И я понял, что если есть такая проблема, нам нужно ее решить. И, знаете, обычно смотреть на кибербезопасность как очень технический департамент, гики, которые там с компьютерами постоянно пытаются делать какие-то там атаки, а мы зашли с другой стороны. Мы решили решить этот вопрос, этот вопрос. с точки зрения организации и быть точкой соединения между бизнесом и IT. Почему у нас была такая ситуация? На самом деле я работал... Тогда было до 90-х, до конца 90-х. Был банк А. Банк А продался банк Б. И у этого банка B были две банки. Были Private Banking и Commercial Banking. Но Private Banking делал IT для весь B. Для Commercial Banking и Private Banking. И однажды банк B решил продать Private Banking банк C. Но пока банк C

Commercial Banking получал возможность сделать outsourcing или outsourcing с IT. Банк C делал IT для Commercial Banking. То есть у нас были элементы банка A, банка B, Private Banking, Commercial Banking и потом еще банка C. Плюс еще к этому добавлялись проблемы, как тайм-аут на логин. То есть пользователи ждали иногда до 10 минут, пока залогин из сессии. И у них, конечно, был тайм-аут, потому что после 10 минут был тайм-аут, то есть им приходилось перезагружать компьютер. То есть с точки зрения эффективности это было, собственно, не очень эффективно. И мы начали разговаривать с IT. Почему у вас там такие проблемы? Покажите нам, Active Directory, что там находится. Мы приходим к выводу, что для 150 пользователей у нас больше 800

этих группах в Active Directory. То, что в принципе не очень целесообразно. Потом мы смотрим скрипты для стартапа. Мы видим, что у нас там скрипты, у которых там больше 15 тысяч линий. И там есть элементы старого банка, еще банка, который уже... больше 10 лет не существует. То есть все было очень сложно. И к этому еще мы сталкивались с проблемой, что нам нужно будет перейти с XP на Windows 7. То есть это было 2013-е, начало 2014 года. И мы решили подходить к этому системно. То есть мы решили полностью построить новый Active Directory. на базе role-based access control.

Основные проблемы, с которыми сталкиваются пользователи и организация, это, в принципе, когда у вас, скажем, учетная запись, которая еще существует, допустим, вы увольняете одного сотрудника, и он, скажем, не очень довольный, с этим фактом. И он в принципе может что-то плохого творить в системе, удалять, скопировать и давайте разбираться с этим. Второе, мне очень нравится, это One Identity я сделал исследование в 2018 году. когда ваш начальник IT выступляет по телевидению и объясняет, почему существовал, почему произошло, допустим, там, data breach в компании. Я помню, в 2015 году такой международный французский канал TV Saint-Mon называется. Их тогда, ну как, хакнули, да, скажем, образно-то. выступает CIO, который объясняет, я не понимаю, почему у нас такое произошло, потому что у нас мы недавно установили firewall

почти новый. Что такое почти новый firewall? То есть CIO объясняет своими словами проблемы Data Breach, и в принципе понятно, что что-то непонятно.

И, конечно, все учетные записи с пассвордами, которые можно найти на Dark Web. Это именно наши основные проблемы для кибербезопасности. Это, скажем, когда ваш сотрудник не очень довольный, может даже произойти такое, скажем, в дата-центре. И мы поняли, что нам нужно решить этот вопрос. И показать, что кибербезопасность не только... технические люди, а в основном что? Они могут быть организационные, у которых есть, скажем, стратегический подход. То есть IT не может нормально с бизнесом общаться, нет никаких гайдлайнов, чтобы объяснять, когда приходит сотрудник, что с ним делать, каким системам он должен получать доступ, кто делает запрос, что в запросе должно стоять, какая информация, кто передает информацию. Проблема creeping privileges, то есть сотрудник перешел с одного на другой в другом департаменте, просто у

него остались старые учетные записи, и в принципе он может творить и в старых системах, и в новых системах, которые могут быть, которые противоречат segregation of duties или там for eye control. Конечно, аудиторы были очень довольны, потому что им было чем найти, на котором они могли ставить какой-то акцент. И мы решили,

скажем, решить эту проблему. Это, в принципе, когда вы получаете звонок этого человека, у вас нет ни большого выбора. Вы должны брать трубку или брать трубку. И вот как это получилось. То есть я сегодня объясню, каким образом мы имплементировали role-based access control в среднем предприятии. То есть это было где-то 150 человек. Я понимаю, что в больших организациях. То, что я объясняю, как мы это делали, это может быть чуть-чуть сложнее, потому что Это будет довольно мутная работа, и сегодня на базе Artificial Intelligence есть системы, которые могут это делать. Тем не менее, эти системы, они, конечно, дорогостоящие для средних предприятий. И, в принципе, большинство предприятий в мире, они маленькие или средние. То есть, этот, скажем, процесс, он, в принципе, адаптирован

для большинства предприятий. Что такое role-based assist control? То есть это возможность, когда у сюжета есть, это может быть человек, это может быть система, есть возможность получать доступ к какому-то объекту в соответствии с роли в предприятии или с

Ну, как с функцией. Обычно, как это все выглядит? То есть, есть ресурсы, есть пользователи. И у каждого пользователя есть доступ к какой-то ресурсу. И то есть, каждый раз, когда мы хотим создавать доступ к какой-то ресурсу, нужно вручную это делать на каждый ресурс. То есть у нас здесь Алиса, у нас Боб, Карол и Дейв, и у каждого есть разные доступы в разных системах. И то есть когда один пользователь уходит, значит нужно в каждой системе делать как DeepOvision. С Role Basics и с Control это чуть-чуть иначе. Мы просто создаем разные Это пример в Active Directory. Мы создаем Security Groups, и у каждого Security Group есть доступ к разных системам. И когда мы хотим давать доступ к этим всем системам новому сотруднику, мы

знаем, что этот сотрудник, что Алис, пришел, и она будет работать в бухгалтере как рядовой сотрудник. И у него будет доступ к этими системами через подключение к Security Group в Active Directory. Тот же самое для Bob, для Carolla и для Dave. Скажем, что завтра Dave уходит из предприятия. Вместо в каждой системе это все уничтожать, нужно просто убрать доступ Dave к этому Security Group и он автоматически лишается все доступа ко всем системам для него. Скажем, что Боб переходит с одного департамента в другом департаменте. Мы просто создаем новый, то есть мы ему даем доступ к новому security group, мы уничтожаем, мы его убираем со старого security group и таким образом у него есть новая роль и все проводы. То есть это намного проще и это намного быстрее, потому что одно дело

пойти вручную, да, и не забыть, что у него доступ в разных системах. Другое дело, когда мы знаем, что этого сотрудника больше нет, мы его убираем в Security Group и закрылся вопрос.