Посмотрел эфир Awillix про оценку стоимости пентеста. Основная идея, насколько я понял, в следующем. У вас есть организация с некоторым уровнем развития ИБ. Прежде чем заказывать пентест нужно реалистично прикинуть от какого рода злоумышленников имеет смысл её защищать:
🔻 Script kiddie (а кто покруче всё равно проломит 🤷♂️)
🔻 Хакер-одиночка (а кто покруче всё равно проломит 🤷♂️)
🔻 APT-группировка
После того как выявили уровень злоумышленника, атаку которого имеет смысл сымитировать, прикидываем сколько и каких специалистов нам нужно привлечь:
🔸 Script kiddie
🛡 пентестер-джун на 5-7 рабочих дней, 200-400 тыс.р.
🔸 Хакер-одиночка
🛡 2 мидла и сениор на 15-20 рабочих дней, 400 тыс. -1 млн.р.
🔸 APT-группировка
🛡 3-5 сениоров и лид на >3 месяцев, 4-12+ млн.р.
Это чисто из примерных грейдов специалистов и времени. Дальше зависит от модели тестирования, скоупа и т.д.
➡️ У Awillix есть прикольный интерактивный лендинг, где они подробно всю методологию оценки показывают.
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.