«Да зачем нам ваш пентест? Любой пентестер придет и нас взломает. Мы и так это знаем.»
Довольно частое возражение, когда у клиента в организации вся безопасность заключается в установке бесплатных антивирусников. Казалось бы, в текущей ситуации кратного роста киберинцидентов только ленивый еще не озаботился информационной безопасностью собственных ресурсов. Но нет, до сих пор встречаются довольно крупные сетевые компании, у которых инфобез пока на нуле.
Но нам есть, что сказать в этой ситуации.
Здесь нужно понимать, что при проведении пентеста профессиональной командой по выверенной методике мы не просто взламываем инфраструктуру организации. Мы показываем траекторию взлома и даем рекомендации, чтобы предотвратить реализацию выявленных сценариев в будущем злоумышленником. Проще говоря, все ошибки и уязвимости, которые обнаружим в ходе работ, мы поможем исправить и закрыть, чтобы хакер не смог «пройти» этими путями.
Предвосхищая еще одно частое возражение, скажем сразу - полне возможно, пентестер обнаружит не все сценарии взлома. И это вполне нормальная история, ведь при проведении пентеста мы ограничены сроками исполнения проекта. На все работы отводится в среднем от 14-ти до 30-ти дней. При этом реальный злоумышленник не ограничен во времени. Если у него есть цель взломать именно вашу компанию, он будет заниматься разведкой и изучать вашу инфраструктуру столько, сколько ему необходимо для проникновения.
Что же в итоге?
По итогам пентеста организация получает отчет с рекомендациями по устранению всех найденных ошибок и уязвимостей, которые можно закрыть путем корректной настройки инфраструктуры, обновлений ПО, закрытия портов. Таким образом, не прибегая к закупке дорогостоящих средств защиты, можно уже сегодня значительно повысить свой уровень безопасности.
А теперь лайфхак =:)
Большинство компаний, выполняющих работы по пентесту, проводят первичное сканирование инфраструктуры. И в большинстве своем в итоговый отчет включают все уязвимости, а не только критические, как это положено при классическом пентесте. Не благодарите )
Также хотим напомнить, что с января этого года наша команда ведет запись подкаста "SOCRAT за стеклом". И совсем недавно мы залили на платформы Яндекс.Музыки и mave.digital новый выпуск, посвященный самым острым вопросам пентестов. С нашим экспертом Александром Мардарьевым, который руководит командой пентесторов в нашей компании, мы разобрали, почему в идеале стоит проводить пентест разными командами, а также зачем вписываться в программы багбаунти.
Переходите по указанным ссылкам, ставьте ваши лайки, чтобы не пропустить новые выпуски.