Человеческий фактор

Альтернативный подход к пентесту

решения разных задач

Альтернативное видение пентеста


 У пентеста и аудита соответствия разные цели, соответственно, разумно их применять для решения разных задач. проверка безопасности сервера Во-первых, я вижу мало смысла в пентесте коммерческого продукта: зачем мне финансировать исследования безопасности, скажем, Microsoft, — достаточно того, что я честно купил их продукты и исправно плачу за поддержку!


Во-вторых, между обнаружением уязвимости и ее успешной эксплуатацией — огромная разница, стоящая подчас колоссальных ресурсов. настройка безопасности сервера Отчасти, именно для того, чтобы хоть как-то адресовать эти ресурсы, товарищи из Microsoft придумали свой индекс эксплуатируемости.


В-третьих, я склонен считать пентесты продуктом, выходящим за рамки умения пользоваться готовыми инструментами, так как для последних есть специальное название, да и я сам так умею: ) это сетевой сканер безопасности

Я в понятие пентест вкладываю понятие исследование. проверить настройки безопасности Именно это мне дает надежду считать, что когда я наразрабатываю кучу софта, понастрою систем, где заказчиком, архитектором и исполнителем работ буду я сам, найдутся реальные исследователи, способные обнаружить уязвимости в моем творении, исследовать вопрос их эксплуатируемости и довести эту эксплуатацию, возможно, с моей помощью, до реального бизнес-влияния, которое докажет не только мне самому, но моему топ-менедженту необходимость как-то адресовать проблемы с безопасностью.

Этот абзац очень важен, поэтому я скомпилирую его в дайджест: есть 3 уровня результата аудита:

  • только обнаружить уязвимость
  • исследовать ее эксплуатируемость, проэксплуатировать
  • сделать из этой эксплуатации бизнес-кейс, поднять эксплуатацию до реального профита для атакующего\ущерба для бизнеса. сравнение сетевых сканеров безопасности

Так вот, для заказчика важен результат именно третьего уровня.


Возможно, сторонники commodity-услуги правы в том, что с точки зрения аудитора подход все равно будет одинаков: пентестит он Active Directory или АИС Моя АБС, по крайней мере начало, — есть понятный набор практик и подходов, определенный набор инструментов, как умею, так и работаю: ), да и моя супер-пупер-уникальная система все равно может быть представлена как совокупность стандартных компонетов: стандартной ОС, стандартной СУБД, стандартного сервера приложений и т.п.

Но неправильно провоцировать людей думать, что раз услуга стандартна, то стандартно и предложение на рынке, откуда делается неправильный вывод, что любой игрок, предлагающий такую стандартную услугу, окажет ее со стандартным уровнем качества, регулируемым все тем же рынком. проверка безопасности сервера

Нет, не так.

Именно потому что здесь велика доля ресерча, качество результата далеко нестандартно и инструменты типа Критерия минимальной цены здесь отработают неэффективно.

Похожие статьи Pentest

  • Информационная безопасность

    Безопасность информационных систем является частью более широкой проблемы: безопасность компьютерных систем или еще более общей проблемы — информационной…

  • Что такое информационная безопасность

    Информационная безопасность — это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или…

  • Информационная безопасность

    На раннем этапе автоматизации внедрение банковских систем вообще средств автоматизации банковской деятельности) не повышало открытость банка. Общение…

  • Новости информационной безопасности

    Пентест может оказаться на уровне state-of-art, или, наоборот, разочаровывающим. Многое зависит от ваших ожиданий, которые сформированы предыдущим…

  • Комплексный аудит информационной безопасности

    Ключевой задачей отдела информационной безопасности каждой современной компании остается защита ее информационных ресурсов от различных угроз внешних и…

информационная безопасность