Inspired by Insecure

консалтинг

20/07/09 |Blog # ,

Пентест vs. Консалтинг

Ознакомившись с постом Дмитрия Евтеева, касающегося тестов на прониктновение, согласился с мыслью, что при грамотной обработке результатов пентеста можно улучшить стратегию укрепления СУИБ. Однако ни один пентестер не предоставит полной картины безопасности исследуемой инфраструктуры, ведь работа заключается в проникновении, а не в обнаружении всех «узких» и потенциально «узких» мест.

 

Смысл не в том, что в идеале тест на проникновение должен комплексно оценить степень защищенности объекта, а в том, что на российском рынке услуг своя «реальность». Здесь пентестер (a.k.a. хакер) получает свои кровные по факту проникновения, работая по шаблонным и хорошо отработанным методикам. Как заметил Крис Касперски, тест на проникновение по большей части, осуществляется в «фоновом режиме». 
 

Другое дело – security-консультант, получающий «на руки» всю топологию исследуемого объекта и имеющий доступ ко всем его «углам». На мой взгляд, грамотный конслатинг должен включать в себя процедуру пентеста как подмножество.

Факт проникновения не может давать полной картины защищенности. И "расширенность" тестирования прямо пропорциональна степени финансовой "вложенности", что, естесственно, уже стремится к расценкам консалтинга.
 

0 likes no responses
Stay up to date

Twitter
RT @e_kaspersky: The other (vulnerable) side of "Connected Medicine" ⚕ 5 tips from @difezza to make it a safer place for everyone ⟹ https:/…
Connected Medicine and Its Diagnosis: the fatal flaws in medical IT-infrastructure and how to fix it. #SmartMedicine https://t.co/v7S3kwmufD
Cybersecurity in 2020: boosting protection with traps and tripwires to distract the attacker from the genuine asset. https://t.co/LKMtXxOAZo
Channel-to-channel crosstalk: data can be captured if "evil" device is plugged into adjacent ports on same USB hub https://t.co/V85zb3BseK
"Man in the Middle", now I know how you look like. #defcon25 https://t.co/eXJzbToo79
Recent Comments
- Sergey to Погружение в даркнет: Снифаем выходную ноду Tor и анализируем получившийся контент
лучше заходиииииииить через тор онлайн http://torproject.online/,...
- Denis Makrushin to The problems of heterogeneous means of protection
Of course!...
- K. Olbert to The problems of heterogeneous means of protection
Insightful diagram, Denis. Would you mind if I use it in a presentation, with credit, of course?...