Посмотрел эфир Awillix про оценку стоимости пентеста. Основная идея, насколько я понял, в следующем. У вас есть организация с некоторым уровнем развития ИБ. Прежде чем заказывать пентест нужно реалистично прикинуть от какого рода злоумышленников имеет смысл её защищать:
🔻 Script kiddie (а кто покруче всё равно проломит 🤷♂️)
🔻 Хакер-одиночка (а кто покруче всё равно проломит 🤷♂️)
🔻 APT-группировка
После того как выявили уровень злоумышленника, атаку которого имеет смысл сымитировать, прикидываем сколько и каких специалистов нам нужно привлечь:
🔸 Script kiddie
🛡 пентестер-джун на 5–7 рабочих дней, 200–400 тыс.р.
🔸 Хакер-одиночка
🛡 2 мидла и сениор на 15–20 рабочих дней, 400 тыс. ‑1 млн.р.
🔸 APT-группировка
🛡 3–5 сениоров и лид на >3 месяцев, 4–12+ млн.р.
Это чисто из примерных грейдов специалистов и времени. Дальше зависит от модели тестирования, скоупа и т.д.
➡️ У Awillix есть прикольный интерактивный лендинг, где они подробно всю методологию оценки показывают.