27.01.2010

Просто слова или польза пентеста - 3

У многих профессиональных пентестеров есть клише, что безопасность делится на практическую (варианты: реальная, объективная) и бумажную (варианты: теория, беллетристика и т.п.). Вообще, бинарное восприятие действительности свойственно не только им, а причины изучены при царизме, но я в данный момент о следствии и лишь одном.
Как следствие, ими практикуется свободное обращение с базовыми понятиями - а какие проблемы, это же просто слова!

Есть неприлично большая разница между информационной безопасностью и защищенностью информационных активов. Есть существенная разница между защищенностью и защищенностью от проникновения. Есть в конце концов неслабая разница между информационным активами и техническими средствами обработки информации, между информацией и информационной системой, между угрозой и риском, анализом и оценкой и т.п.
С легкостью подменяя одно другим, они (намеренно или нет, но) вводят в заблуждение потребителя относительно того, что ему продают.
Подчеркиваю: пентест - не обман (исхожу из презумпции добросовестности), обман - позиционировать его как нечто другое.

Ок, не буду всех под одну гребенку. Пентестеры делятся на три группы:
Первые заблуждаются совершенно искренне, т.к. не интересовались словами и действительно думают, что анализируют информационную безопасность. И это еще не край, в наше время чуть ли не проверку сканером за анализ системы информационной безопасности выдают. Братцы, эти результаты сканирования (инъекции, спуфинга, брутфорса) - это даже не анализ. Анализ - это то, что потом будет сделано в отчете (если будет), это углубиться, это разбор. О том, как далеко это от информационной безопасности см. выше.
Вторые лукавят. У них есть соответствующий бэкграунд, но надежно скрывается внутри. "Наш пентест позволит оценить эффективность СУИБ." Ну да, позволит. Просто слова "косвенно" и "в какой-то мере" опущены. Но ведь он и правда позволит, а не запретит. Ой, да какие проблемы – это же просто слова, оговорка, расслабься! К пуговицам претензии есть?
Третьи - ангелы. Они всегда называют вещи своими именами, и по непонятной причине мой блог притягивает только таких. Но я рад.

p.s. Я уже израсходовал месячную норму по генерации контента. Хоть и задолжал за два прошлых месяца, но такой темп мне некомфортен. На всякий пожарный опять отсылаю к дисклаймеру, по которому никому ничего не обещал.

7 комментариев:

Евгений Родыгин комментирует...

К вопросу пе...тестеров...
Как их набирают...

Сталкивался с тем, что набирают так называемых "кулхацкеров" у которых глаза горят от каждой щелки... но не представляющих что зачем и почему...

Порой бывает так, что таких ребят привозят в черных мешках с повязкой на глаза и уши... и скотчем на рот, выпускают "похулиганить" после чего увозят и заставляют заниматься неприятной работой - написанием отчета...
Я конечно утрирую, но таких ребят не допускают общаться с заказчиками.. ибо как говорится в пословице:
Заказчик с планеты "амикрон-персей 6" а пентестер с планеты "амикрон-персей 8"

infowatch комментирует...

Но ведь чисто бумажная безопасность - бывает.

Ригель комментирует...

infowatch'у:
Ох, не хотел я сейчас туда лезть. Бумажная - это не безопасность, а что-то другое. Защищенность интересов бывает нулевая, низкая, охерительная, но бумажная не бывает.

Ригель комментирует...

Евгению Родыгину:
Ну, использование такой рабсилы, наверно, везде одинаково поставлено - на стройке тоже: привезли, заштукатурил от сих до сих, увезли, а где был, что строил - х.з.

Dmitry Evteev комментирует...

to Ригель:

хе-хе))) вижу уверовал истину;))

Ригель комментирует...

Дмитрию Евтееву: это ты первый раз заметил у меня истину ))
Но истины - это еще говно, я тут вообще ангелов начал видеть!

infowatch комментирует...

Но ведь чисто бумажная безопасность - бывает.

Отправить комментарий