Accordi pen-test "No hack no fee" [chiuso]

0

Un tema comune nell'ingegneria della sicurezza è che la sicurezza perfetta è impossibile (oppure a almeno altamente improbabile ). Considera il Infinity Maxim di Johnston

:

There are an unlimited number of security vulnerabilities for a given security device, system, or program, most of which will never be discovered (by the good guys or bad guys).

Con questo in mente , che senso ha che i test di penetrazione siano organizzati su una base "no hack, no fee" (analogo a "nessun vincita, nessun compenso"). ? Detto in altro modo, l'Infinity Maxim vale anche per gli scenari di penna real-test? Sono interessato alle risposte di esperti pen-tester, senza riferimento a particolari ditte.

    
posta sampablokuper 24.04.2014 - 18:03
fonte

1 risposta

3

Questa non è semplicemente una valida opzione commerciale per le società di test di sicurezza, poiché non si può mai sapere in anticipo cosa si dovrà affrontare durante un coinvolgimento pentest.

Inoltre, questi servizi sono acquistati dai clienti per valutare il livello di sicurezza di un'applicazione / infrastruttura / dispositivo / qualunque, il vero compromesso del target è solo la conseguenza di una valutazione di successo, non l'obiettivo principale.

    
risposta data 24.04.2014 - 18:27
fonte

Leggi altre domande sui tag