Top.Mail.Ru
/ Пентест: кому и зачем?

Пентест: кому и зачем?



«Да зачем нам ваш пентест? Любой пентестер придет и нас взломает. Мы и так это знаем.»

Довольно частое возражение, когда у клиента в организации вся безопасность заключается в установке бесплатных антивирусников. Казалось бы, в текущей ситуации кратного роста киберинцидентов только ленивый еще не озаботился информационной безопасностью собственных ресурсов. Но нет, до сих пор встречаются довольно крупные сетевые компании, у которых инфобез пока на нуле.
 
Но нам есть, что сказать в этой ситуации.

Здесь нужно понимать, что при проведении пентеста профессиональной командой по выверенной методике мы не просто взламываем инфраструктуру организации.  Мы показываем траекторию взлома и даем рекомендации, чтобы предотвратить реализацию выявленных сценариев в будущем злоумышленником. Проще говоря, все ошибки и уязвимости, которые обнаружим в ходе работ, мы поможем исправить и закрыть, чтобы хакер не смог «пройти» этими путями.

Предвосхищая еще одно частое возражение, скажем сразу - полне возможно, пентестер обнаружит не все сценарии взлома. И это вполне нормальная история, ведь при проведении пентеста мы ограничены сроками исполнения проекта. На все работы отводится в среднем от 14-ти до 30-ти дней. При этом реальный злоумышленник не ограничен во времени. Если у него есть цель взломать именно вашу компанию, он будет заниматься разведкой и изучать вашу инфраструктуру столько, сколько ему необходимо для проникновения.

Что же в итоге?

По итогам пентеста организация получает отчет с рекомендациями по устранению всех найденных ошибок и уязвимостей, которые можно закрыть путем корректной настройки инфраструктуры, обновлений ПО, закрытия портов. Таким образом, не прибегая к закупке дорогостоящих средств защиты, можно уже сегодня значительно повысить свой уровень безопасности.

А теперь лайфхак =:)

Большинство компаний, выполняющих работы по пентесту, проводят первичное сканирование инфраструктуры. И в большинстве своем в итоговый отчет включают все уязвимости, а не только критические, как это положено при классическом пентесте. Не благодарите )

Комикс оформление (3).jpg
Также хотим напомнить, что с января этого года наша команда ведет запись подкаста "SOCRAT за стеклом". И совсем недавно мы залили на платформы Яндекс.Музыки и mave.digital новый выпуск, посвященный самым острым вопросам пентестов. С нашим экспертом Александром Мардарьевым, который руководит командой пентесторов в нашей компании, мы разобрали, почему в идеале стоит проводить пентест разными командами, а также зачем вписываться в программы багбаунти.

Переходите по указанным ссылкам, ставьте ваши лайки, чтобы не пропустить новые выпуски.
10 июля 2024
Поделиться
Кейсистемс-Безопасность Контакты:
Адрес: пр. М. Горького, д. 18Б 428000 Чебоксары,
Телефон:88003333872, Электронная почта: support@ksb-soft.ru
Регистрация