блог Дорофеева

Сейчас тестирование на проникновение становится довольно распространенной услугой и компании ее предоставляющие начинают биться за клиентов при этом используя довольно интересные способы продвижения своих услуг.

Так есть компании, которые занимаются тем, что отыскивают сайты, содержащие уязвимости, демонстрируют их использование и публикуют соответствующие статьи на различных Интернет-ресурсах, нанося при этом ущерб имиджу своим “потенциальным клиентам”. При этом, как правило, атакованная сторона даже не оповещается о том, что были найдены уязвимости на ее ресурсе: лишь на сайте “пентестеров” есть обращение, наподобие следующего: “если вы нашли в списке взломанных сайтов свой, то обратитесь к нам и мы ваc защитим”.

Довольно интересный подход. Я думаю, что подобная реклама скорее отпугнет клиентов, заинтересованных в собственном аудите информационной безопасности, но зато может привлечь клиентов, заинтересованных в проведении хакерских атак против своих конкурентов. Недаром, на английском языке тестировщиков на проникновение называют “ethical hackers”, подразумевая наличие этики. Также получение многих профессиональных статусов в области ИБ и аудита (например, CISSP, CISA) возможно только в том случае, если специалист согласен следовать определенным этическим нормам, запрещающим в частности наносить вред своими действиями.

Александр Дорофеев (c)