Представьте, что вы пентестер и проводите анализ защищенности инфраструктуры. У вас есть три потенциальных вектора атаки: 🔤 Веб-приложение 🔤 Сетевое оборудование 🔤 Подрядчики. За одним из этих векторов скрывается опасный 0-Day в виде RCE-уязвимости, которая дает полный контроль над анализируемой инфраструктурой. За двумя другими — давно известные и безопасные уязвимости, которые уже пропатчены. Вы выбрали один из векторов (допустим веб-приложение), но до его проверки вам кто-то (например, ваша служба Threat Intelligence или коллега из ИТ-подразделения) говорит: «Смотри, вот по этому вектору точно ничего интересного нет» и показывает один из двух оставшихся и невыбранных вами векторов (например, сетевое оборудование), который оказывается пустышкой. Теперь у вас выбор: 1️⃣ Оставить свой первоначальный выбор, то есть веб-приложения. 2️⃣ Переключиться на второй, ещё не проверенный, вектор, то есть подрядчиков. Вариант, что вы не поверите TI или коллеге на слово и будете долбиться через вектор сетевого оборудования я исключаю для простоты задачи. Как вы поступите? 👇 Отвечая, попробуйте абстрагироваться от конкретного вектора атаки. Вместо них могли бы быть средства защиты, нормативные документы и любые иные вещи и явления. #принятиерешений #пентест #оценказащищенности