При разработке стратегии обеспечения кибербезопасности в компании нельзя недооценивать возможности и мотивацию злоумышленников: даже, казалось бы, идеально выстроенные системы защиты успешно взламываются хакерами, данные похищаются даже из физически изолированных информационных систем, а опытные и обученные сотрудники в какой-то момент могут допустить фатальную ошибку. Поэтому и при выстраивании системы управления ИБ (СУИБ) с нуля, и при внесении изменений в существующую СУИБ следует делать допущение о том, что атакующие уже некоторое время назад успешно скомпрометировали инфраструктуру, но до сих пор никак себя не проявили, а их действия остались незамеченными для систем безопасности. Например, кто может дать гарантию, что установленное когда-то давно ПО на одном из серверов не содержало в себе программную закладку, которая с определенной периодичностью обращается к некоторому интернет-серверу и получает с него команды: до определенного момента такое поведение не будет вызывать срабатывания большинства средств защиты, поскольку формально никакие вредоносные действия не выполняются. Однако, по желанию атакующих в определенный момент сервер может передать данному ПО команду на копирование или уничтожение всей информации и на сервере размещения, и на всех элементах инфраструктуры, к которым есть доступ с данного устройства.

Подробнее: https://www.securityvision.ru/blog/pentesty/