v
тут проблема скорее в том - как описать такие рамки, чтоб не присесть субьекту по итогам пентеста... тут риски может и повыше чем пострадать от реальной атаки
Size: a a a
2019 February 19
ED
274 рассматривает неправомерный доступ.. а если по договору пентеста уже правомерный, не? другой вопрос нарушение правил эксплуатции и прочие особенности нарушения ТБ это уже другой вопрос
AK
vadim.s.
тут проблема скорее в том - как описать такие рамки, чтоб не присесть субьекту по итогам пентеста... тут риски может и повыше чем пострадать от реальной атаки
Однозначно выше на порядок.
AK
274 рассматривает неправомерный доступ.. а если по договору пентеста уже правомерный, не? другой вопрос нарушение правил эксплуатции и прочие особенности нарушения ТБ это уже другой вопрос
Да, нарушение правил эксплуатации.
v
а с подходом "мы тут профи, но все риски на вас", конечно спорить никто не будет что профи.... но и интерес конечно слабый... А тестовые зоны, накладная затея...
ED
пнетестер просто должен знать когда остановиться, это тоже можно обговрить в договре... а тесты атак на саму асутп в лабаратории, тестовых комплектах и на худой конец резервном полукомлекте...
v
понятно что и для пентестера, можно так по итогам проекта закрыться и как компания и как человек... тоже знаете ли
v
пнетестер просто должен знать когда остановиться, это тоже можно обговрить в договре... а тесты атак на саму асутп в лабаратории, тестовых комплектах и на худой конец резервном полукомлекте...
не думаю что на таких условиях они согласятся с рисками
ED
в смысле, если указана граница... а дальше уже на тестовых стендах
v
пнетестер просто должен знать когда остановиться, это тоже можно обговрить в договре... а тесты атак на саму асутп в лабаратории, тестовых комплектах и на худой конец резервном полукомлекте...
резерв нельзя... он должен быть всегда...
ED
да.. это крайний случай
ED
про резерв согласен
DK
Alexander Kremlev
Провести пентест без риска для субъекта, иначе ни один субъект не согласится на такое.
В моей практике был пентест, в котором сканирование сетью nmap'ом на сутки остановило работу логистического центра :)
Поэтому гарантии "пентеста без риска" никто не даст. А брать на себя ответственность за рукожопость программистов заказчика? На рынке дефицит пентестеров, а не заказчиков :)
Поэтому гарантии "пентеста без риска" никто не даст. А брать на себя ответственность за рукожопость программистов заказчика? На рынке дефицит пентестеров, а не заказчиков :)
AK
В моей практике был пентест, в котором сканирование сетью nmap'ом на сутки остановило работу логистического центра :)
Поэтому гарантии "пентеста без риска" никто не даст. А брать на себя ответственность за рукожопость программистов заказчика? На рынке дефицит пентестеров, а не заказчиков :)
Поэтому гарантии "пентеста без риска" никто не даст. А брать на себя ответственность за рукожопость программистов заказчика? На рынке дефицит пентестеров, а не заказчиков :)
Напоминает хакеров и директора столовой.
DK
Alexander Kremlev
Напоминает хакеров и директора столовой.
Вам смешно, а я разруливал исключительно на личном обаянии :)
ED
В моей практике был пентест, в котором сканирование сетью nmap'ом на сутки остановило работу логистического центра :)
Поэтому гарантии "пентеста без риска" никто не даст. А брать на себя ответственность за рукожопость программистов заказчика? На рынке дефицит пентестеров, а не заказчиков :)
Поэтому гарантии "пентеста без риска" никто не даст. А брать на себя ответственность за рукожопость программистов заказчика? На рынке дефицит пентестеров, а не заказчиков :)
тут проблема в том, что при нарушении работы промышленного объекта денег потеряется больше, а не дай бог еще бабахнет, последствия увы веселее
DK
тут проблема в том, что при нарушении работы промышленного объекта денег потеряется больше, а не дай бог еще бабахнет, последствия увы веселее
Поэтому на таких объектах правило "не разрешали - не трогай" соблюдается неукоснительно
v
Поэтому на таких объектах правило "не разрешали - не трогай" соблюдается неукоснительно
и кажется это лучшая орг мера....
ED
просто четко знать надо и обговаривать перед работами... . например при остановке вот этой станции оператора ничего страшного... а вот этот сектор не трогать. и дальше проводить только лабараторные исследвоания для закрытия полного вектора
AK
Насколько лаба сможет быть приближена к реальности это вопрос.