Жили-были дед да баба. Была у них Курочка Ряба. Снесла Курочка яичко, не простое — золотое.
Читателю. Создали ИТ-систему. Не простую. А уж очень важную. И дорогую. И пригласили специалистов тестировать безопасность. Первая Tiger Team называлась Дед. И была она исключительно мужской.
Дед бил, бил — не разбил.
Читателю. Ничего не вышло у первой команды. То ли работали не правильно, то ли не то тестили. Но не успокоилось ИТ-начальство, решило попробовать другую команду — Бабу.
Баба била, била — не разбила.
Читателю. И у этих ничего не вышло. Обрадовалось ИТ-руководство, решило, что все хорошо, успокоилось. Да не тут-то было! Пришел непонятно откуда злоумышленник, которого не ждали, нашел самое слабое звено, ударил по нему и... Упала ИТ-система! Упала! Рухнула!!!
Мышка бежала, хвостиком задела, яичко упало и разбилось.
Дед плачет, Баба плачет, а Курочка кудахчет:
— Не плачь, Дед, не плачь, Баба: снесу вам яичко не золотое — простое!
Вывод. Не стоит расслабляться, если при проверке вы не обнаружили уязвимых мест. Чаще всего это означает, что вы просто не там искали! И помните! Прочность всей цепи равна прочности самого слабого звена! Ищите это слабое звено! НЕ РАССЛАБЛЯЙТЕСЬ!
Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor.
