После того как разбойники ограбили крепость и забрали налоги целой области в королевстве Жадины I, король Эрик Справедливый учредил в военном министерстве инспекционный департамент. Данный департамент должен был заниматься инспектированием крепостей и гарнизонов, проверкой боеготовности гарнизонов и уровня знаний командиров.
В состав департамента входило особо секретное подразделение, которое занималось проверкой боеготовности, в том числе путем несанкционированного проникновения на территорию военных городков, лагерей и крепостей. Так появилось первое подразделение пентестеров.
Тестирование на проникновение (жарг. Пентест) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Процесс включает в себя активный анализ системы на наличие потенциальных уязвимостей, которые могут спровоцировать некорректную работу целевой системы, либо полный отказ в обслуживании. Анализ ведется с позиции потенциального атакующего и может включать в себя активное использование уязвимостей системы. Результатом работы является отчет, содержащий в себе все найденные уязвимости системы безопасности, а также может содержать рекомендации по их устранению. Цель испытаний на проникновение — оценить его возможность осуществления и спрогнозировать экономические потери в результате успешного осуществления атаки. Испытание на проникновение является частью аудита безопасности.
Королевские пентестеры занялись проверка готовности к возможному проникновению врага. Но после проведения нескольких подобных проверок оказалось, что тестирование проникновением это хорошо, однако это не дает реальной картины безопасности. Как быть? Тогда с целью углубленной проверки в инспекционном департаменте было создано подразделение аудита, которое, в свою очередь, проверяло соответствие выполнения приказов министерства и устранение ранее найденных недостатков. По итогам аудита составлялся отчет. Если обнаруживались ошибки, то выделялось время для их устранения. Если же в срок недостатки не устранялись снова, то соответствующий руководитель уходил с понижением, а в случае особо выраженных недостатков — просто увольнялся без выходного пособия и пенсии.
Да, строго, да страшно, но что важнее? Быть добреньким или отвечать за безопасность и жизнь своих подчиненных? По-моему, ответ очевиден. Не можешь — не работай! То же самое касается и вас, господа безопасники. Не забудьте, что вы должны регулярно проверять безопасность вашей сети. Ведь отвечаете за нее вы, не так ли?
Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor.