Четвертая проблема пентестов

Не секрет, что последние два года я занимался информационной безопасностью в одном английском банке. Это было интересное время в плане международного опыта, потому что подход к безопасности как проблеме бизнеса на Западе, конечно, намного более зрелый, чем в России. Но с другой стороны, если "взять в руки шашку", то увидишь, что и у нас и у них все одинаково плохо ;). Так как я по большей части занимался практикой, эта самая шашка была сточена не об одну информационную систему. Смею предположить, что какой-то полученный опыт может быть довольно интересен, а значит, не стоит держать его в себе.

Поэтому мне хотелось бы начать здесь крайне нерегулярную серию заметок про практические аспекты обеспечения безопасности в разрезе "как это делают у нас в России и как -- у них на Западе". Благо российского консалтинго-практического опыта в безопасности у меня за плечами тоже хватает. Может быть, кому-то будет интересно посмотреть на одни и те же вещи с разных ракурсов.

Первая заметка называется "четвертая проблема пентестов". В ней рассказывается о том, как надо правильно писать отчет о проведении зрелого теста на проникновение и как неправильно это делают пентестеры в России, Англии и Америке.

Я заранее прошу прощение за формат PDF. Это не потому, что мне хочется поиграть в резерчера и выпустить "вайтпейпер". Дело в том, что в тексте есть картинки, а мне просто-напросто лень перегонять их в веб-формат и вообще заниматься форматированием. За все полгода, что у меня валяется написанным этот текст, я так и не нашел в себе силы превратить его в веб-публикацию ;). Поэтому в итоге я просто перегнал документ из Office 2011 for Mac в PDF и положил у себя на сайте. Заодно это будет минимальным барьером для публики: кому интересно, пойдет и скачает.

Заметка тут: http://www.toxahost.ru/files/4th_problem_of_pentests.pdf