Современный пентестинг – это сочетание технических компетенций и психологии. В рамках проверки систем на уязвимость учитывается не только оснащение системы элементами безопасности и адекватность реакции безопасников, но и поведение обычных сотрудников. В практике любой пентест-компании есть случаи, когда хорошо продуманная система защиты «падала» по вине отдельного сотрудника, который подключил к системе зараженную флешку или открыл письмо с вредоносным ПО.
Евгений Царёв:
Компании, как правило, боятся внешних злоумышленников, в связи с этим и заказывают внешний пентест. Однако, практика расследования инцидентов показывает обратное соотношение – примерно 75% инцидентов происходят из-за внутреннего нарушения, умышленного или по неосмотрительности.
Источник: Cyber Media