среда, 27 июля 2011 г.

Пентестеры = тестеры (Q&A)? #pentesting #security

   Нашел тут (судя по записям парень работает в сфере связанной с тестированием и оценкой защищенности, кстати, а где я работаю судя по моим записям?) пару интересных интеллект-карт. а именно OSSTMM и предлагаемая версия пентеста по OSTMM.


   И что, собственно, представляет из себя одна из наиболее известных методологий пентеста (OSTMM то бишь)? Да серию простых и подробно расписанных действий..Да, для нормального пентеста нужна куча специалистов (Cisco, MS, *nix, DB спецы обязательны), но ничего подобного тому о чем в RISSPA говорили - никакого особого "исследования" или "пытливого ума" в упор не вижу. Да, теоретически и "исследования" и "пытливый ум" могут быть полезны при оценке не формальной а "реальной защищенности" - но что покажем финдиректору? Любая услуга должна иметь четкий объем работы (чеклисты аудиторов не от хорошей жизни придуманы...и служат не только для обеспечения точной и гарантированной проверки определенных вопросов но и для формальной отчетности в случае чего) и если его нет то сразу вопрос - за что платим? За "пытливый ум"? Это прямо анекдот для финансового директора, у которого кроме услуг пентеста есть еще десяток других, в том числе "родные" финансовый и налоговый аудиты, с намного более понятными объемами работ.
   Так что серийный, "промышленный" пентест обречен быть аналогом Q&A, где никакого творчества особо не прослеживается, а большая часть тестировщиков не хотят быть тестировщиками (мнение технического директора Parallels). А "пытливый ум" замануха для молодых (впрочем есть и другие заманухи на рынке ИБ, у расследователей например;))

Хорошего дня!:)