Привет всем! Я Гриша Прохоров, аналитик из команды PT Cyber Analytics, и это моя первая статья на Хабре.

Наши эксперты регулярно проводят тестирование на проникновение в компаниях, чтобы оценить уровень их защищенности. Это необходимо, чтобы организации увидели «масштаб катастрофы», с одной стороны, а с другой, выдохнули и пошли закрывать уязвимости и фиксить баги, чтобы их продукты становились более безопасными, а клиенты — защищенными. Пентестеры делают свою работу, что называется, в полевых условиях, а аналитики потом собирают полученную информацию, исследуют ее и делают соответствующие выводы. Такой вот симбиоз. О том, кто такие пентестеры и чем они занимаются, читайте в мартовской статье Димы Серебрянникова.

Собранные аналитические данные помогают оценить проблему не одной конкретной компании, а целой отрасли, к примеру сделать вывод о состоянии защищенности той или иной отрасли от года к году. В новом большом исследовании мы подвели итоги таких тестирований за 2023 год, с ними можно ознакомиться на сайте. В этой статье хочу остановиться на ключевых моментах, в частности на уязвимостях.

Подробности

​Все статьи подряд / Информационная безопасность / Хабр

Read More

Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
1
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

1 Комментарий
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
Бывалый
Администратор
5 месяцев назад

На мой взгляд, пентесты, сами по себе, именно как реализация проникновений в ИС и сети, мало что дают для обеспечения безопасности. Это одна из самых популярных, дорогих и, вместе с тем, бесполезных для большинства заказчиков услуг.

Для обеспечения адекватной защиты нужна систематическая работа по управлению уязвимостями, конфигурациями и обновлениями, основанная на оценке бизнес рисков.

А то, что отдельно взятый хакер смог куда-то проникнуть с использованием критичной уязвимости из CVE каталога мало о чем говорит и не стоит потраченных на это проникновение денег. Для выявления известных уязвимостей не требуется пентест и их эксплуатация.

Стоит оговориться, что для особо критичных систем нужны и пентесты и учения по кибербезопасности. Просто надо разделять мероприятия по выявлению уязвимостей, анализ защищенности, пентесты, учения, а не называть это все пентестами.

1
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x