У многих профессиональных пентестеров есть клише, что безопасность делится на практическую (варианты: реальная, объективная) и бумажную (варианты: теория, беллетристика и т.п.). Вообще, бинарное восприятие действительности свойственно не только им, а причины изучены при царизме, но я в данный момент о следствии и лишь одном.
Как следствие, ими практикуется свободное обращение с базовыми понятиями - а какие проблемы, это же просто слова!
Есть неприлично большая разница между информационной безопасностью и защищенностью информационных активов. Есть существенная разница между защищенностью и защищенностью от проникновения. Есть в конце концов неслабая разница между информационным активами и техническими средствами обработки информации, между информацией и информационной системой, между угрозой и риском, анализом и оценкой и т.п.
С легкостью подменяя одно другим, они (намеренно или нет, но) вводят в заблуждение потребителя относительно того, что ему продают.
Подчеркиваю: пентест - не обман (исхожу из презумпции добросовестности), обман - позиционировать его как нечто другое.
Ок, не буду всех под одну гребенку. Пентестеры делятся на три группы:
Первые заблуждаются совершенно искренне, т.к. не интересовались словами и действительно думают, что анализируют информационную безопасность. И это еще не край, в наше время чуть ли не проверку сканером за анализ системы информационной безопасности выдают. Братцы, эти результаты сканирования (инъекции, спуфинга, брутфорса) - это даже не анализ. Анализ - это то, что потом будет сделано в отчете (если будет), это углубиться, это разбор. О том, как далеко это от информационной безопасности см. выше.
Вторые лукавят. У них есть соответствующий бэкграунд, но надежно скрывается внутри. "Наш пентест позволит оценить эффективность СУИБ." Ну да, позволит. Просто слова "косвенно" и "в какой-то мере" опущены. Но ведь он и правда позволит, а не запретит. Ой, да какие проблемы – это же просто слова, оговорка, расслабься! К пуговицам претензии есть?
Третьи - ангелы. Они всегда называют вещи своими именами, и по непонятной причине мой блог притягивает только таких. Но я рад.
p.s. Я уже израсходовал месячную норму по генерации контента. Хоть и задолжал за два прошлых месяца, но такой темп мне некомфортен. На всякий пожарный опять отсылаю к дисклаймеру, по которому никому ничего не обещал.
Просто слова или польза пентеста - 3
