Pentesting ora sta solo eseguendo strumenti come Nessus e creando un rapporto basato su di esso? e in realtà non sfrutta nulla da solo in base all'accordo?
Nella mia concezione, ciò che hai descritto può essere chiamato valutazione della vulnerabilità, che consiste nel trovare possibili punti di penetrazione nel sistema. È notevolmente migliorato dagli strumenti automatici grazie al volume di test che può elaborare in pochissimo tempo. Va notato, tuttavia, che le valutazioni della vulnerabilità non sono perfette e, di solito, richiedono l'assistenza manuale dell'operatore.
Il test di penetrazione, d'altra parte, è molto più di questo. Si occupa effettivamente di ottenere l'accesso al sistema sfruttando le vulnerabilità disponibili. Inoltre, può utilizzare metodi non digitali, come l'ingegneria sociale. Nei test di penetrazione, è richiesto un grande sforzo manuale da parte dell'operatore.
tl; dr: No. I test di penetrazione non sono solo strumenti automatici in esecuzione.
Non sono sicuro che ci sia una risposta a questa domanda. Ogni pentestore ha il suo modo di fare le cose e la tua affermazione che riduce l'intero settore a una stampante collegata a Nessus dovrebbe probabilmente essere supportato un po 'meglio.
Leggi altre domande sui tag penetration-test