Cosa chiedere quando acquisti un Penetration Test Premium per la tua azienda?

Cosa chiedere quando acquisti un Penetration Test (PT) Premium per la tua azienda?

Trovare un fornitore di test di penetrazione valido e affidabile non è un compito facile, indipendentemente dalle tue esigenze. In questo breve articolo, esamineremo gli aspetti principali che dovresti esaminare quando acquisti un fornitore di test di penetrazione.

Prima di iniziare, è importante capire che non esiste una soluzione valida per tutti. Aziende diverse richiedono fornitori diversi. Sta a te trovare l'azienda più adatta alle tue esigenze. 

Ho bisogno di test di penetrazione premium per la mia azienda?

Questa è una decisione che devi prendere da solo, piuttosto che con i venditori con cui stai parlando. "Test di penetrazione" è un termine molto ampio e potrebbe essere utilizzato per descrivere molti possibili controlli di sicurezza sul mercato.

La differenza tra un test di penetrazione della luce e uno premium sta principalmente nella quantità di tempo e nelle competenze investite nel testare la tua sicurezza. Alla fine questo si traduce nel risarcimento che dovrai fare.

I quattro fattori principali da tenere in considerazione quando si decide se è necessario un test di penetrazione di qualità per te sono:

• Prevenzione delle violazioni della sicurezza: se una violazione della sicurezza è qualcosa che può devastare la tua attività, danneggiare la tua reputazione o impedire ai clienti di lavorare con te in futuro, si consiglia vivamente di investire in test di penetrazione di qualità superiore per ridurre questo rischio a un minimo. 
• Clienti aziendali: quando si concludono nuovi affari con i clienti, in particolare le aziende, alcuni potrebbero richiedere di presentare un rapporto sui test di penetrazione per assicurarsi che i servizi siano sicuri e non compromettano i loro dati. Se il test di penetrazione non è all'altezza dei loro standard, potrebbero rifiutarlo o richiederti di eseguirne uno più completo. Questo potrebbe essere un grosso problema per molte aziende.
• Dati sensibili: se la tua azienda detiene dati sensibili come informazioni personali o record di transazioni finanziarie, potresti correre un rischio maggiore di essere preso di mira da malintenzionati. Inoltre, in caso di violazione, potresti essere obbligato per legge a risarcire i danni ai clienti le cui informazioni sono state compromesse. Un test di penetrazione di qualità superiore è quindi garantito per prevenire perdite future.

Questo fornitore è esperto nel testare la mia tecnologia?

Poiché esiste un numero crescente di tecnologie utilizzate sul mercato, è necessario assicurarsi che il fornitore scelto abbia esperienza con la tecnologia specifica che si sta utilizzando.

Le due categorie principali per questo sono i test di penetrazione dell'applicazione e dell'infrastruttura. 

Test di penetrazione delle applicazioni possono essere suddivise in base alle diverse piattaforme applicative target, quali Web, Android/IOS, Windows/Linux/Mac. Un fornitore di test di penetrazione che ha esperienza con Android, ad esempio, può o meno essere esperto di app Web. Dovresti quindi chiedere ai potenziali fornitori la loro esperienza prima di impegnarti.

Test di penetrazione delle infrastrutture possono essere suddivisi in diverse categorie. Il test dell'infrastruttura back-end per un'azienda multinazionale con centinaia di migliaia di clienti è una bestia completamente diversa rispetto al test dell'infrastruttura per una piccola start-up. Un fornitore di test di penetrazione non esperto di operazioni su larga scala probabilmente non è adatto a un'azienda più grande. Anche la tecnologia utilizzata nel tuo back-end è importante quando trovi un fornitore. Dovresti sondare i tuoi potenziali fornitori per quali tecnologie hanno lavorato prima.

In generale, i test di penetrazione possono essere blackbox o whitebox. Blackbox penetration test significa che i tester non indagano sull'interno del sistema (codice sorgente ecc.), simulando un attacco reale. Tuttavia, ci sono alcuni aspetti negativi di questo metodo. In primo luogo, i veri aggressori non sono limitati dal tempo come i tester e, in secondo luogo, i tester potrebbero non notare importanti vulnerabilità. Il test Whitebox è l'esatto opposto, i tester sono esposti agli interni del sistema. Ciò comporta spesso una revisione completa del codice, che richiede più tempo e impegno da parte dei tester. Così, a sua volta, rendendo il test più costoso.

I fornitori di solito sono specializzati in blackbox o whitebox PT, quindi rivedere la loro esperienza è importante. Un fornitore esperto di test blackbox, ad esempio, potrebbe non avere esperienza nelle pratiche metodiche di revisione del codice.

In molti casi, combinando i due approcci si otterranno i migliori risultati. Il nome di questo test combinato è test graybox. Poiché non esiste una definizione precisa per il test, varierà tra diversi test e aziende. Comunicare le scadenze, i requisiti tecnici e gli obiettivi con il fornitore aiuterà a definire il test graybox (concedendo accesso VPN, account amministratore, elenco di endpoint, ecc.). Inoltre, una comunicazione efficace renderà il processo di test efficace in termini di tempo e prezzo.

Chi eseguirà il test? 

Il fattore più importante, ma quasi sempre il più trascurato nel determinare la qualità del PT, è il collaudatore o i collaudatori che eseguiranno il lavoro. 

Quando ti impegni per un PT, assicurati di conoscere il nome e le qualifiche delle persone che eseguiranno il test. Pensa alle seguenti domande da porre al tuo fornitore in merito ai tester:

• Hanno più di 2 anni di esperienza nel settore? 
• Lavorano direttamente per il fornitore o sono subappaltatori? La pratica di delegare il lavoro a subappaltatori è molto comune per i grandi fornitori di sicurezza. Questa pratica può influire negativamente sulla qualità del servizio. Inoltre, la delega del lavoro ai subappaltatori può anche danneggiare la responsabilità, poiché i subappaltatori sono generalmente lasciati anonimi.
• I tester si dedicano al mio progetto o fanno più progetti contemporaneamente?

Chiedi di rivedere il loro lavoro precedente. Hanno ricevuto eventuali CVE (vulnerabilità divulgate pubblicamente) per i risultati passati? Hanno funzionato con uno stack tecnologico simile al mio?

Quale metodologia verrà utilizzata per il mio test?

Un fornitore di penetrazione rispettato utilizzerà una metodologia e un quadro ben definiti come garanzie di qualità. Esistono molti standard concorrenti: ecco una breve panoramica:

• Guida ai test di sicurezza Web OWASP (WSTG) – Si chiamava OTG (OWASP Testing Guide). Questo standard è la migliore guida per le app Web e mobili. Questo perché è il più aggiornato e il più tecnicamente informativo sui test che devono essere eseguiti durante l'esecuzione di un test di penetrazione. Questo standard è attualmente lo standard di fatto del settore per PT ed è comunemente un requisito delle aziende dai loro fornitori.
• Standard di esecuzione dei test di penetrazione (PTES) – uno standard di alto livello che copre la metodologia generale che i pen-tester dovrebbero seguire. Lo standard in sé non entra nei dettagli tecnici del pen-testing (cioè cosa testare esattamente) ma ha una linea guida supplementare con informazioni molto estese. Questo standard è migliore per i test di penetrazione dell'infrastruttura. 
• NIST Cybersecurity Framework (CST) – Questo standard del National Institute of Standards and Technology (NIST) degli Stati Uniti è più adatto per controllare lo stato generale della sicurezza informatica di un'organizzazione. Tuttavia, non è specificamente predisposto per i test di penetrazione. Il NIST ha anche rilasciato una guida (NIST 800-115) che copre gli aspetti tecnici dei test di sicurezza.
• Building Security in Maturity Model (BSIMM) – Questo framework è stato creato utilizzando un approccio diverso: originariamente, gli autori hanno esaminato le pratiche di sicurezza di 9 software house di successo e le hanno disposte in un unico modello. La versione più recente, BSIMM12, era basata sulle pratiche di 128 diverse organizzazioni. Questo framework è simile a quello del NIST in quanto copre tutti i tipi di attività che le organizzazioni dovrebbero intraprendere per migliorare la propria sicurezza, piuttosto che concentrarsi solo sui test di penetrazione.
• Information System Security Assessment Framework (ISSAF) - è uno standard obsoleto, la sua ultima versione (0.2.1B) è stata pubblicata nel maggio 2006 e, come tale, molte delle informazioni tecniche di ISSAF non sono particolarmente rilevanti.

Durante l'acquisto di un test di penetrazione premium o di qualsiasi audit di sicurezza, assicurati che venga utilizzata la metodologia corretta. Se il tuo fornitore di PT non utilizza alcuna metodologia o ne utilizza una obsoleta, ciò può portare a un test di basso livello, che spesso verrà rifiutato dai tuoi clienti.

Il test è manuale o automatico?

Il test automatico è utile per i test di penetrazione della luce e fornirà una copertura iniziale. Sono economici da eseguire e quindi ridurranno il costo complessivo del test. Il test di penetrazione manuale è migliore per trovare vulnerabilità sconosciute "zero-day" nella tua configurazione che potrebbero influire drasticamente sulla tua attività.

Un PT di alta qualità dovrebbe essere una combinazione di script automatici e ricerca manuale eseguita da un tester esperto. 

Gli script automatici sono ottimi per trovare vulnerabilità note di 1 giorno che sono spesso presenti in servizi e librerie di terze parti.

Il test manuale ti aiuta a trovare le vulnerabilità nel tuo codice personale, ovvero nella tua logica aziendale. Questo tipo di test di vulnerabilità non può essere facilmente automatizzato poiché ogni sistema è diverso e unico e ha la propria quota di vulnerabilità uniche.

Quando acquisti un test, dovresti assicurarti di pagare per un penetration test di alta qualità che fornirà sia la scansione automatica che la ricerca manuale. Tieni presente che la maggior parte della commissione andrà per la ricerca manuale in quanto costa molto di più da eseguire e non può essere automatizzata.

Sommario

L'acquisto di un test di penetrazione è un'attività complessa, in particolare quando si confrontano due fornitori. Ti consigliamo vivamente di comprendere l'obiettivo del test di penetrazione prima di chiedere preventivi. Serve solo per la certificazione? I tuoi clienti lo richiedono? Quanto è importante il livello di sicurezza per la tua azienda? 

Dopo aver compreso le tue esigenze interne, assicurati che il fornitore con cui lavori abbia esperienza nel tuo campo tecnologico. E il penetration tester che lavorerà sulla tua piattaforma ha esperienza passata nel campo oltre ad avere CVE pubblicamente disponibili. 

Verificare con il fornitore quanto del budget è destinato ai test automatizzati e quanto è destinato ai test manuali, i test manuali dovrebbero assorbire la maggior parte del prezzo.

Chiedi al fornitore un rapporto di esempio sul test di penetrazione e rivedi la gravità e la complessità dei risultati, chiedi anche referenze ai clienti precedenti.

E come per tutte le decisioni complesse, fidati del tuo istinto e stai al sicuro!