Комментарии 6
Думаю, пора менять password management на passwordless, красота названия концепции не пострадает
По моему мнению, пентест это процесс более высокого уровня зрелости, результаты которого не будут использованы со 100% кпд, если до этого не выстроены процессы мониторинга и реагирования на инциденты безопасности и не применен комплексный подход. Например, пентестер может полгода колупать сеть заказчика без обнаружения, потому что нет мониторинга, или он может обнаружить 0-day уязвимость, но так как нет процесса управления уязвимостями и, соответственно, процесса тестирования и установки обновлений, то такие уязвимости будут возникать регулярно несмотря на то что по этому случаю дыру закроют.
Просто для вау-эффекта или чтобы проверить ошибки конфигурации - да, на таком уровне подойдет.
Согласен с тем, что пентест, как и управление уязвимости должно быть регулярным. Но в данном случае он тоже применим, как вы и написали, больше для вау-эффекта, что бы можно было показать начальству, что вот мы деньги потратили с толком. Пентест можно заменить аудитом. Главное, что бы кто-то со стороны посмотрел на инфраструктуру непредвзято. Ну и те, кто озадачиваются такими вопросам, как управление инцидентами и мониторинг уязвимостей, уже вряд ли будут интересоваться темой этой статьи :) Она больше для новичков в ИТ.
Ну и так же не забываем про бэкапы-бэкапы-бэкпы.. и ещё раз бэкапы.
все эти системы защиты выше чаще всего прокалываются на "осведомлённость" сотрудников.
Если уж утечка персональных данных произошла, то можем только посочувствовать (да-да, банки просто закатывают глаза и говорят -"это не я", то хоть от вирсуов шифровальщиков спасёт отчуждаемый внешний жестяк под подушкой. а лучше 2. один по чётным дням недели,
второй - по нечётным
6P Концепция информационной безопасности