вторник, 14 сентября 2010 г.

К вопросу о полезности пентестов

Полезны ли пентесты? Безусловно! Но... только в определенных ситуациях. Очень хорошая заметка на тему пентестов и аудитов - на каких этапах развития компании они нужны: http://toxa.livejournal.com/487821.html. Автору респект :-)

Действительно, мы слишком часто рассматриваем пентест, как единственное решение проблемы с бюджетом на следующий год. Мы читаем, слушаем, рассказываем про "процессные подходы", "комплексную безопасность", "осознание ИБ бизнесом"... Но ведь это ж все на словах интересно, в теории. А на деле - скукота, рутина и еще не факт, что получится. Вот мы и ищем "волшебные таблетки" - денег заплатил и (о чудо!) все проблемы решены, в чек-листе поставил очередную галочку. Сейчас в моде пентесты, которые могут сразу же перевернуть отношение бизнеса к безопасности. Чуть раньше - это были системы DLP, раз и навсегда решавшие проблемы утечек информации. Ну и, конечно же, популярные во все времена торжественные порки несчастных рядовых пользователей, нарушивших требования ИБ - депремировал парочку и сразу же из курилок начинают доноситься обрывки обсуждений разделов политики информационной безопасности вместо традиционного шоппинга, футбола и погоды.

Вот только почему-то на практике "волшебная таблетка" оказывается не очень приятной на вкус и не такой уж волшебной (хотя, наверное, бывают и исключения). Бизнес все равно почему-то денег не дает и начинает как-то нехорошо коситься на безопасность, обнаруживается куча проблем безопасности, решение которых займет уйму времени, вместо старых "дыр" появляются новые, данные продолжают утекать, а пользователи, даже те, которых еще не пороли, науськивают на безопасность свое начальство... За что боролись... 

Конечно, все перечисленное выше - прекрасные и нужные инструменты. Но они нужны на определенном этапе развития безопасности компании, когда решено множество других проблем. Нужно очень хорошо понимать, зачем нужен каждый из инструментов, как он работает, когда он нужен. Нужно уметь пользоваться инструментом и иметь необходимые для его использования ресурсы - полностью автоматических средств безопасности не бывает... Вот когда все условия соблюдены, тогда инструмент работает результативно и эффективно.

Пентест - отличная штука, на практике подтверждающая успешность огромного объема проделанной ранее работы :-)

1 комментарий:

Анонимный комментирует...

как бы http://toxa.livejournal.com/487821.html КГ АМ

ну а тебе Евгений могу сказать ровно следующее, хотя ты и сам все прекрасно понимаешь... аудит реально нужен тем, кто реально занимается безопасностью, остальным, хватит и пентеста (однако, одно другого не исключает). может хватит голословно освещать тему в которой ты несколько "плаваешь" и поддерживать заведомо "заблуждавшиеся" мнение человека, который разбирается в этой теме еще хуже??!