Защита мобильных устройств

Я отнюдь не утверждаю, что пентесты не нужны совсем

обычном аудите    безопасности    , по


Тесты на проникновение (penetration testing, pentest) - одна из востребованных услуг на рынке информационной безопасности. 

Успешно проведенный пентест - вещь довольно эффектная, по крайней мере, повышающая авторитет исполнителя в глазах заказчика. безопасность linux сервера Но есть ли польза от пентеста для самого заказчика?


Польза от пентеста для заказчика заключается в следующем:

    • психологическое воздействие на руководство и полезный для ИТ и ИБ специалистов (лучше один раз увидеть насколько слабо защищена ваша сис, чем сто раз об этом услышать)

    • возможность обнаружения и устранения одной или нескольких серьезных уязвимостей



    На этом, пожалуй, исчерпывается полезность пентестов для заказчика.
    Полезность пентеста для исполнителя состоит в следующем:

      • возможность потренировать своих специалистов за счет заказчика, испытать новые эксплойты и сетевые сканеры

      • возможность повысить свой авторитет в глазах заказчика в случае удачно проведенного пентеста

      • возможность заработать приличные деньги (пентест - услуга высокорентабельная)



      Теперь о том, чего заказчик не получает от пентеста:

        • объективной оценки защищенности своей корпоративной сети (успешное проникновение свидетельствует лишь о наличии конкретной уязвимости и умении исполнителя эту уязвимость использовать, а взломать, при желании, можно практически любую систему, вопрос только в том, сколько это может стоить).
        • Время затраченное исполнителем на проникновение и его квалификация не позволяют сделать никаких выводов о защищенности тестируемой системы. безопасность и человеческий фактор Другие исполнители, возможно, сделали бы это намного проще, или наоборот, потерпели бы неудачу.

        • идентификации и анализа всех существующих уязвимостей корпоративной сети, позволяющих судить об общем уровне защищенности (для успешного проникновения достаточно обнаружить лишь одну или несколько уязвимостей)

        • уверенности в том, что удалось устранить имеющиеся уязвимости и повысить защищенность систем (исполнитель продемонстрировал заказчику лишь один или несколько возможных сценариев проникновения, а сколько их еще может быть?)

        • уверенность в том, что конфиденциальные данные заказчика не утекли насторону (пентест не предполагает, что все действия исполнителя осуществляются под контролем представителей заказчика, как это происходит при обычном аудите безопасности, по крайней мере, вероятность утечки данных при пентесте значительно выше)



        Успешное проникновение свидетельствует только о том, что систему можно взломать (о чем известно заранее по-определению, т.к. абсолютно безопасных систем не бывает), а неуспешное проникновение свидетельствует только о том, что исполнитель не смог взломать вашу систему (вам это о чем нибудь говорит? может ему просто времени не хватило? или этот не смог, а другой сможет). безопасность web сервера Сухой остаток от пентеста - это возможная идентификация и устранение нескольких уязвимостей.

        Так стоит ли пыжиться исполнителю, а заказчику тратить весьма приличные деньги (работа квалифицированного взломщика стоит от $1000 в день и выше, а там таких взломщиков будет несколько) ради того, чтобы обнаружить и устранить несколько уязвимостей (и остаться с кучей других уязвимостей и в полном неведении относительно реальной защищенности своих систем)?


        Обычный анализ защищенности корпоративной сети при помощи сетевых и хостовых сканеров, требующий куда меньше времени (и квалификации) от исполнителя и денежных затрат от заказчика, позволять получить куда как более полезные результаты, а именно:

          • идентифицировать и проранжировать все имеющиеся технические уязвимости (по крайней мере те, о которых известно из доступных исполнителю источников)

          • дать объективную оценку уровня защищенности систем заказчика и его адекватность

          • разработать подробный план действий по устранению, либо смягчению всех имеющихся уязвимостей, а не только тех, которые использовались в ходе пентеста



          Таким образом, пентесты это занятие увлекательное и, в какой-то степени даже полезное (в основном для исполнителя), но готовы ли вы платить немалые деньги за это развлечение или для вас интереснее было бы все же уменьшить риски своего бизнеса?


          Я отнюдь не утверждаю, что пентесты не нужны совсем.

          Мы и сами оказываем подобные услуги. Я лишь хотел бы обратить внимание на тот факт, что анализ защищенности и пентест - это не одно и тоже. проверка почты на взлом Если вам нужен именно анализ защищенности, либо оценка рисков, тогда глупо заказывать пентест, т.к. заплатите вы намного больше, а требуемого результата в виде реального повышения уровня защищенности и уменьшения рисков не получите.

          Похожие статьи Pentest

          • Хакинг и тестирование на проникновение

            Нас часто спрашивают: Как научиться взлому?. Ответ прост: так же, как и любому другому предмету. Сначала ты глубоко и вдумчиво изучаешь теорию, затем...

          • Новости информационной безопасности

            Пентест может оказаться на уровне state-of-art, или, наоборот, разочаровывающим. Многое зависит от ваших ожиданий, которые сформированы предыдущим...

          • Тест на проникновение

            Тестирование на проникновение ( penetration testing , пентест) является одной из разновидностей аудита информационной безопасности и относится к...

          • Услуги по информационной безопасности

            Тест на проникновение является возможностью оценить уровень защиты информационной системы от незаконного проникновения в нее из сетей общего доступа....

          • Пентест стоимость

            Аудит информационной безопасности — независимая оценка текущего состояния системы информационной безопасности, устанавливающая уровень ее соответствия...