Знакомая история? Компания заказывает пентест, получает отчёт на 80 страниц, закрывает найденные уязвимости — и выдыхает. Галочка стоит. Бюджет потрачен. Можно спать спокойно, но сон крепче не стал.
Проблема не в пентестерах. Проблема в формате.
Классический пентест работает так: специалист ищет путь к цели — например, к домен-администратору. Находит один. Фиксирует. Пишет рекомендации. Уходит.
Но один найденный путь не означает, что других не существует.
Атакующий не ограничен ТЗ, таймингом и бюджетом. Он будет искать столько, сколько нужно. И зайдёт туда, куда пентестер просто не смотрел — например, через подрядчика, которому вы доверяете.
Именно поэтому после формального пентеста многие компании продолжают жить с иллюзией защищённости. Не с защищённостью — а с её имитацией.
Что остаётся за кадром стандартного теста
Есть вещи, о которых в индустрии не принято говорить громко:
Атаки на цепочки поставок почти никогда не входят в перечень работ пентеста. Хотя именно через подрядчиков, вендоров и интеграторов сегодня проходит один из самых распространённых векторов атак.
Kill chain предсказуем — и пентестеры это знают. Они идут по наиболее очевидному маршруту. Это быстро, укладывается в бюджет и закрывает формальные требования. Но реальный злоумышленник пойдёт нестандартным путём.
Стандарты — это минимум, не максимум. PTES, OWASP, NIST SP 800-115, OSSTMM — хорошие ориентиры. Но они описывают нижнюю планку, а не реальную проверку на прочность.
Это не значит, что пентест бесполезен
Пентест — важный инструмент. Но только если понимать, что именно вы покупаете.
Формальный тест и реальная проверка защищённости — это разные продукты с разной ценой, разным перечнем и разным результатом. Проблема в том, что заказчики часто не знают, как их различить. И подписывают договор на первое, рассчитывая получить второе.
Хотите разобраться глубже?
Мы проводим бесплатный вебинар, на котором практикующие специалисты по пентесту разберут всё это без воды и корпоративных формулировок:
✔️ Как устроен пентест изнутри — и что реально остаётся за кадром
✔️ Реальные кейсы: один путь и несколько путей и что это значит для бизнеса
✔️ Атаки на цепочки поставок — почему это важно именно сейчас
✔️ AI в пентесте — как это меняет правила для атакующих и защитников
✔️ Как выбрать формат теста под ваш бизнес и не переплатить
Спикеры — Александр Кубляков, руководитель направления тестирования на проникновение, и Сергей Прохоров, эксперт в области кибербезопасности.
Люди, которые видели изнутри сотни реальных проектов. Никакой теории ради теории.
👉 Регистрация. Участие бесплатное.
Приходите, если хотите понять реальный уровень защищённости своего бизнеса — а не просто закрыть очередную галочку.