В чем отличие пентеста от аудита безопасности?

Пентест (тестирование на проникновение) и аудит безопасности имеют разные цели и методы работы. 2

Пентест проверяет, как хорошо система защищает данные при реальной атаке. 2 Специалист пытается взломать систему, чтобы найти слабые места и понять, какие угрозы возможны. 2 Пентест ориентирован на практику, ошибки конфигурации, уязвимости в коде, слабые пароли, человеческий фактор. 3

Аудит безопасности проверяет, соответствуют ли настройки системы правилам и стандартам. 2 Здесь уделяют внимание документам, настройкам программ и оборудования, проводят опросы сотрудников, чтобы убедиться, что всё правильно настроено. 2 Аудит ориентирован не на технологии, а на процессы, документы, регламенты и организационные аспекты. 1

Некоторые другие отличия:

• Коммуникация с заказчиком. 4 В ходе пентеста нет постоянного взаимодействия с заказчиком. 4 Во время аудита происходит постоянный диалог с руководителями подразделений, уточняется информация о процессах. 4
• Результаты. 2 Пентест даёт отчёт об уязвимостях, которые нашли, и советы, как их исправить. 2 Аудит даёт обзор того, где система нарушает стандарты и что нужно улучшить. 2

Часто пентест и аудит безопасности используют вместе: аудит показывает, что задумано, а пентест — что реально происходит. 3