Тест на проникновение vs. аудит vs. исследование уязвимостей

Сделал сегодня обобщающий комментарий в дискуссии Украинской группы информационной безопасности на тему разницы между мероприятиями в сабже. Потянет не небольшой пост.


В результате собственного опыта, а также по мотивам многочисленных дискуссий на эту тему, в которых я имел неосторожность участвовать ранее, у меня сформировалось определенное мнение. Разрешите поделиться.

Любые споры на тему penetration test vs audit vs vulnerability assessment -- бессмысленны. Потому что эти три мероприятия преследуют три совершенно разные цели и при этом являются совершенно различными по своей природе.

Пентест -- это proof of concept, одноразовый акт тестирования системы на предмет устойчивости к компрометации в определенных временных, квалификационных и бюджетных пределах. Не более и не менее. Все, что видно из результата пентеста, это то, что данная команда, располагая вот такими ресурсами и такой вот подготовкой, за такое-то время и при наличии таких-то актуальных уязвимостей в исследуемой системе, смогла (или не смогла) это самую систему скомпрометировать. Точка. Блекбокс, грейбокс, 2*балйнд и пр. -- это методические ароматы одного и того же процесса, варьируются они в четких пределах. Как правило, предоставляя одной из сторон-участниц какую-то дополнительную информацию о дизайне и эффективности имеющихся в системе контролей, тем самым просто "подкручивая" параметры процесса. И как следствие удерживая результат тестирования в не менее четких рамках. "ДА" или "НЕТ".

Аудит -- это проверка системы контролей. Проверка в ключе А) соответствия (адекватности) выполняемых контролей актуальным для системы рискам и Б) эффективности этих контролей. Очевидно, диапазон результатов тут совершенно иной, и он значительно шире по сравнению с пентестом.

Исследование уязвимостей -- это вообще частный случай источника информации об угрозах для проведения оценки рисков. Его нельзя сравнивать ни с пентестом, ни с аудитом, и если кто-то при вас будет этим заниматься, можете смело менять собеседника.

Надеюсь кому-то это было интересно. Естественно, готов к конструктивным возражениям, ибо "век живи -- век учись" (С).

Ссылки на страницу в LinkedIn и веб-сайт Ukrainian Information Security Group.