Comments | infowatch: Пентест как метод социальной инженерии

infowatch

Пентест как метод социальной инженерии

May 17, 2009 15:00

Вот тут многоуважаемый коллега Дорофеев пишет о тестировании на проникновение (также известном как пентест или пенетрэйшн-тест). И при этом всячески этот метод расхваливает. Дескать, он "позволяет получить достаточно объективную оценку уровня защищенности корпоративной сети". Ещё говорит, что "тестирование на проникновение дает более качественные ( Read more... )

защита информации, статья 272, статья 138, конкуренты, статья 273

Comments 12

arkanoid May 17 2009, 16:26:23 UTC

Ну привет, "пентест или сканирование уязвимостей"! "Оба хуже"!
Где нормальный архитектурный аудит и анализ не только актуальных, но и потенциальных угроз!? Мы информацию защищаем или "дырки затыкаем"?

Комментарий от Александра Дорофеева ext_185684 May 17 2009, 17:39:41 UTC

Спасибо за целый пост, посвященной этой интересной тематике! У меня со своей стороны есть несколько замечаний:

“Вот и получается, что тестирование на проникновение само по себе (без сканирования и других методов) никаких новых уязвимостей не выявляет.”

Сканирование на наличие уязвимостей является всего лишь одним из этапов тестирования на проникновение. Качественное тестирование на проникновение без автоматизированного и ручного поиска уязвимостей просто невозможно. Этапы тестирования приведены в описании нашего подхода к тестированию на проникновение . Эта же ссылка есть и в моей статье ( ... )

Re: Комментарий от Александра Дорофеева slothar September 8 2009, 09:51:36 UTC

уважаемый товарищ Дорофеев! я в последнее время активно смотрю в интенете что творится в теме пентестов. рад что Ваша компания возникла с этой темой и делает что-то в этой теме. это очень хорошо. как говорил Вольтер, "мне глубоко противно Ваше мнение, но я готов пожертвовать жизнь за Ваше право его высказать".

я собираюсь немного пропиарить свой взгляд на пентесты, который перпендекулярен Вашему, на Инфосекьюрити. может быть, Вам было бы интересно мне оппонировать?

anonymous May 17 2009, 21:00:50 UTC

Общеизвестно, что "сканеры безопасности" с той или иной долей достоверности дают погрешность.
Одно дело показать жуткий отчет с результатами сканирования и совсем другое дело проэксплуатировать хоть что-то из найденных "уязвимостей".
По-моему чисто логика, нет?

А уважаемый автор блога сколько сканирований и пентестов провел за свою практику, что уверен в неэффективности "проникновений"?

infowatch May 17 2009, 21:59:06 UTC

Автор-то как раз уверен в эффективности проникновений. И эта эффективность застит глаза, мешая закрывать другие уязвимости.

anonymous May 18 2009, 06:02:28 UTC

Прочитав статью АВТОРА у меня сложилось впечатление о целостности подхода и понимании автором проблемы. Комментарии некорректны - читать нужно внимательнее.

Тестирование на проникновение ext_185684 May 18 2009, 08:12:03 UTC

Проблема в том, что тестирование на проникновение у многих специалистов все еще ассоциируется с имитацией взлома с использованием лишь нескольких уязвимостей.

Такой подход действительно существовал несколько лет назад, но подобный упрощенный аудит очень сложно продать. Мало кто согласится платить деньги за отчет, в котором будет сказано, что его компанию можно взломать. Взломать можно практически любую организацию - вопрос исключительно в наличии временных и людских ресурсов. Поэтому современный подход тестирования на проникновение подразумевает проведение самых различных тестов, хорошо описанных в методологиях, ссылки на которые приведены в обсуждаемой статье. Автоматизированный и ручной поиск уязвимостей всего лишь часть тестирования.

Thread 7

slothar September 8 2009, 09:47:01 UTC

здравую мысль высказываете, товарищ ( ... )

https://h-xtech.com/ru/services?r=ak&c=9 ext_4926006 December 12 2018, 17:35:54 UTC

Проверять защиту можно и нужно!!!!!!

https://h-xtech.com/ru/services?r=ak&c=9