На собесе:
- вы в пентест можете?
- ммм, нет
- а в форензику?
- эээ, тоже нет.
- отлично, вы нам подходите!

Почему ты думаешь, что это именно то, что от него потребуется?)

Аудит это не обязательно пентест)

я бы прям сказал, что пентест - это точно не аудит )))

Есть ещё аудит бизнес процессов, на соответствие бест практис и тд., выгрузка различных проводок в erp-системах и тд

а еще все мировые стандарты по аудиту, ага.
Аудит - это оценка соответствия конкретному набору требований (стандартам)

Не правильно тебя понял 😁

))

Pentest тоже конечно аудит)) в том числе))

не буду спорить, но нет )))) Как аудитор говорю ))) См основной критерий выше. Или все истории про 27001, PCI DSS QSA, CISA и и т.д. врут )

Ну, с помощью инструментов которыми проводят Pentest можно много чего нарыть, вычислить пробелы в настройках, конфигурациях, того как проводится патчинг и тд, установить новые возможные векторы атаки, дать рекомендации, нет?)

Big4 интересные на старте, но специфичные. Там есть свои жесткие шаблоны, формальности и рамки и ты работаешь четко в их пределах. Для старта и понимания некоторого уровня качества это хорошо, да и потом можно переориентироваться под более гибкие истории, но если у тебя уже сложился приличный опыт и он не в том ключе немного (а часто это так), то придется ломать через колено себя. Это если речь как раз об аудите и compliance, но у них сейчас и проектные команды/направления вроде появляются

но это не аудит - это обследование техническое

аудит, это когда у тебя есть четкий перечень конкретных требований и требований по оценке соответствия ему и ты идешь по пунктам. А не система и свобода действий с точки зрения найти дыру

Знаешь, аудиторы запрашивают конкретные вещи у админов, которые могут не соответствовать реальности)

То что они передадут аудитора всмысле))

Ты наверняка с этим сталкивался как аудитор))

есесно. Есть требование где-то по длине пароля не менее 12 - запрашивают (как пример). Не понял что не так-то

или давай конкретный пример о чем речь