"Мы не продадим вам наш пентест, вы еще не готовы"

Многие продавцы тестирования на проникновение любят рассказывать, как важно заказчику нанимать только высококвалифицированых пентестеров, как отличить крутую пентест-контору от "обычной" и вообще, что пентест это state of art. Понятно, что продавцам такой миф подерживать выгодно: надо же как-то конкурировать.

А я как заказчик скажу. Пентест -- это commodity-услуга, никакого искусства там нет и байки на эту тему слушать не стоит. И вот почему.

Задача проведения пентеста сторонней организацией -- независимо и непредвзято проверить качество ваших контролей ИБ. Если у вас нет построенных и уже проверенных вами самими контролей (физической безопасности, анализа кода, сетевого сканирования, патч-менеджмента -- чего угодно), заказывать пентест глупо, это пустая трата денег. Если у вас контроли построены, то вы можете и должны привлекать каждый год только лучших пентестеров, чтобы проверить высоту и прочность своих барьеров. "Вася не сломал, Петя не сломал -- хорошо! А вот Коля сломал, работаем дальше".
Но проблема в том, что почти никто на рынке не применяет пентесты "по назначению". Почему так и кто виноват в глобальном помутнении рассудка заказчиков -- отдельная тема для разговора, здесь же отмечу, что в действительности пентесты обычно заказывают для:

- Аутсорса тестирования безопасности того, до чего пока еще не дотянулись собственные руки и контроли (типичный пример: покупаем стороннюю компанию, хотим быстро понять масштаб проблемы с безопасностью их сети или приложения);

- Комплаенса, когда необходимость пентеста тупо диктуется отраслевым стандартом или является требованием внутреннего аудита;

- "Красной тряпки", чтобы поразмахивать отчетом перед CEO/CFO с криками "смотрите как все плохо, дайте денег" или, наоборот, вставить пистон CISO "а чем вы вообще занимаетесь?", когда диалог CISO с топ-менеджментом не налажен. Благо коплекс "not invented here" сильно развит во всех отраслях и любой топ-менеджер поверит серьезным заявлениям в отчете аудитора-пентестера, особенно если он подписан каким-нибудь именитым брендом.

Правда заключается в том, что девять из десяти компаний заказывают пентест при возникновении одной из трех обозначенных потребностей. Десятая компания заказывает пентест вообще без причины (бюджет освоить), а пентест "по уму" практически не встречается в реальном мире. Правда также заключается в том, что для выполнения каждой из описанных трех задач хватает "good enough" пентестера. Поэтому, когда продавец будет вам в очередной раз рассказывать, что "вендор не заинтересован в качестве пентеста", спросите у него: а кто задает планку качества, исполнитель или заказчик?