
О сертификации VM-продуктов по качеству детектирования. Моё мнение - такая сертификация должна быть. Добровольная или обязательная, государственная или негосударственная. Но хоть какая-то должна быть. Это ненормально, когда вендор может начать продавать буквально любой треш, а задача оценки качества детектирования уязвимостей (равно как и ответственность в случае инцидента) целиком ложится на клиента. 🤷♂️ Рыночек тут не порешает.
Такая сертификация должна гарантировать приемлемый уровень качества детектирования уязвимостей для типичной IT-инфраструктуры российской организации.
И тут встают очень интересные вопросы:
🔹 Какая инфраструктура типичная? Кто это может решить? У кого есть такая статистика?
🔹 Результаты работы какого средства детектирования (с каким движком и контентом) должны браться за эталон?
🔹 Как будут решаться спорные вопросы?
Если с этим определиться, то создание автоматических тестов становится делом техники.