VMcertification | Александр В. Леонов

О сертификации VM-продуктов по качеству детектирования. Моё мнение - такая сертификация должна быть. Добровольная или обязательная, государственная или негосударственная. Но хоть какая-то должна быть. Это ненормально, когда вендор может начать продавать буквально любой треш, а задача оценки качества детектирования уязвимостей (равно как и ответственность в случае инцидента) целиком ложится на клиента. 🤷‍♂️ Рыночек тут не порешает.

Такая сертификация должна гарантировать приемлемый уровень качества детектирования уязвимостей для типичной IT-инфраструктуры российской организации.

И тут встают очень интересные вопросы:

🔹 Какая инфраструктура типичная? Кто это может решить? У кого есть такая статистика?

🔹 Результаты работы какого средства детектирования (с каким движком и контентом) должны браться за эталон?

🔹 Как будут решаться спорные вопросы?

Если с этим определиться, то создание автоматических тестов становится делом техники.

Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.

Александр В. Леонов

Управление Уязвимостями и прочее

Архив метки: VMcertification

О сертификации VM-продуктов по качеству детектирования