Select Page

Підсумував свої думки щодо різниці між чотирма основними типами перевірки кібербезпеки. Подробиці та трохи питань й відповідей можете подивитися у записі. Вийшов цілком непоганий матеріал, але я ще узагальню.

Application Security це не лише тестування. Тестування безпеки – це навіть не 5% всіх вправ у цій дисципліні. Зорієнтуватися в цій сфері знань найлегше за допомогою проекту OWASP SAMM. Там лаконічно та доступно перелічені всі поширені практики AppSec та надані напрямки, де шукати більше.

Penetration Test це настільки широке та навантажене поняття, що я його намагаюся уникати, навіть якщо це шкодить SEO. На жаль, так зараз називають що завгодно в континуумі між “трохи складніше скана” та кваліфікованим редтімінгом. Але якщо ж взялися до діла, то є певні очікування, які треба виправдати, інакше це шарлатанство.

Secuity Assessment або оцінка захищеності. Тут все зводиться до перевірки стану абстрактного «чогось» у момент в часі. Це може бути gap analysis проти якогось бенчмарку, стандарту або внутрішньої документації: політик, процедур, тощо. Але це точно не аудит, бо вимоги до цього процесу менш строгі, а очікування менш формальні.

Security Audit це незалежна перевірка ефективності виконання контролів за період. Тобто, якщо у вас аудит, то у вас вже має бути набір вимог, способи їх задовольнити, оцінка ризиків, система внутрішніх контролів, журнали їх виконання… І тоді у вас є до чого застосовувати аудит. Інакше – варто виконувати іншу вправу і бажано називати її відповідно.

Докладніше – у відео.

Share via
Copy link
Powered by Social Snap