Про бизнес-ориентированность и пентесты

В России компаний, оказывающих услуги тестирования на проникновение, наберется от силы десяток. При этом тех, которые обладают пентестерами хорошего (мирового) уровня, можно пересчитать по пальцам одной руки.

Вот почему эти компании, выделяя себя перед потенциальными заказчиками, начинают изобретать различные термины вроде "SAP-пентестер" или "пентест бизнес-приложений". Чтобы клиент мог сам себе ответить на вопрос, чем компания А лучше других B и С. За такие "специализированные" пентесты компании готовы брать больше денег, ведь XSS в SAP'е -- это не то же самое, что XSS в Bitrix CMS :-).

На Западе (UK, US) такого нет. Там есть лишь традиционное деление пентестов на "инфраструктуру" и "веб-приложения", но и то -- чисто техническое. С точки зрения заказчика, все -- бизнес. Услуги пентестов не предлагает только ленивый, а с учетом развитой практики contract jobs, толковых компаний с грамотными специалистами легко наберется несколько десятков. Придумывать свои buzzwords на таком рынке достаточно тяжело и глупо, как и дифференцировать стоимость работ. Поэтому существует согласованная сообществом фиксированная цена за рабочий день пентестера (в UK - около 1000 фунтов в день). При этом компании приманивают своих заказчиков не узкой ориентированностью пентестов, а количеством и разнообразием специалистов в ответ на запросы рынка. Например, конторы, которые успели заполучить в штате пентестеров мобильных приложений, сейчас не испытывают недостатка в заказах на территории туманного Альбиона.

То есть, разница в одном. У нас пентестеры, в отсутствие вменяемого рынка, пытаются сами его придумать и что-то диктовать. На Западе же услуги пентестеров -- это реакция на рыночную ситуацию.