Должны ли аналитики SOC проводить пентесты?

Val Smith написал замечательный пост на сайте attackresearch.com , в котором поднял тему трагического несоответствия существующих методов и техник тестирования на проникновение (penetration test, pentest) тем действиям кибер-преступников, которые эти пентесты по идее должны симулировать.

По мнению автора, и я склонен с ним согласиться, современный пентест это, как правило, проверка эффективности программы управления уязвимостями. В то время, как актуальные хакерские атаки уже давно не ограничиваются поиском известных уязвимостей в ПО и его настройках с их дальнейшей эксплуатацией.

Вместо проверки исправлений на серверах и маршрутизаторах, автор предлагает тренировать и проверять уровень подготовки подразделений ИБ. Путем симуляции атак, приближенных к реальным, наблюдаемым в диком интернете. Логически возникает вопрос: как и откуда черпать полную и подробную информацию о таких атаках? Автор предлагает замечательный способ - имитацией атак должны заниматься специалисты, постоянно задействованные в процессе реагирования на инциденты. То есть, имеющее полное представление о тактике атакующего и его инструментах.

Похожей теме был посвящен мой доклад на конференции UISGCON8, но в этом случае автор пошел дальше, копнул глубже, и вообще молодец. Поэтому, мое мнение в этом вопросе может быть необъективным, и я прошу высказаться коллег: как вы считаете, заслуживает ли внимания такой подход к организации процесса тестирования защищенности?