Что спросить при покупке премиум-теста на проникновение для вашего бизнеса?

Что спросить при покупке премиум-теста на проникновение (PT) для вашего бизнеса?

Найти хорошего и надежного поставщика услуг по тестированию на проникновение — непростая задача, какими бы ни были ваши потребности. В этой короткой статье мы рассмотрим основные аспекты, которые следует учитывать при выборе поставщика услуг по тестированию на проникновение.

Прежде чем мы начнем, важно понять, что универсального решения не существует. Разным предприятиям нужны разные поставщики. Это зависит от вас, чтобы найти фирму, наиболее подходящую для ваших нужд. 

Нужно ли мне премиум-тестирование на проникновение для моего бизнеса?

Это решение вам нужно принять самостоятельно, а не с поставщиками, с которыми вы разговариваете. «Тестирование на проникновение» — очень широкий термин, и его можно использовать для описания многих возможных аудитов безопасности на рынке.

Разница между простым тестированием на проникновение и премиум-тестированием в основном заключается в количестве времени и опыта, затрачиваемых на тестирование вашей безопасности. В конечном итоге это означает компенсацию, которую вам необходимо будет произвести.

Четыре основных фактора, которые следует учитывать при принятии решения о необходимости качественного тестирования на проникновение:

• Предотвращение нарушений безопасности — если нарушение безопасности может разрушить ваш бизнес, нанести ущерб вашей репутации или помешать клиентам работать с вами в будущем, настоятельно рекомендуется инвестировать в более качественное тестирование на проникновение, чтобы снизить этот риск до минимум. 
• Корпоративные клиенты. При заключении новых сделок с клиентами, особенно с корпорациями, некоторые могут потребовать от вас предоставить отчет о тестировании на проникновение, чтобы убедиться, что ваши услуги безопасны и не поставят под угрозу их данные. Если тестирование на проникновение не соответствует их стандартам, они могут отклонить его или попросить вас провести более комплексное тестирование. Это может стать серьезным препятствием для многих предприятий.
• Конфиденциальные данные. Если ваша компания хранит конфиденциальные данные, такие как личная информация или записи о финансовых транзакциях, вы можете подвергаться более высокому риску стать целью злоумышленников. Более того, в случае нарушения вы можете быть обязаны по закону возместить ущерб клиентам, чья информация была скомпрометирована. Таким образом, гарантируется более качественное тестирование на проникновение для предотвращения будущих потерь.

Имеет ли этот поставщик опыт тестирования моей технологии?

Поскольку количество технологий, используемых на рынке, растет, вам необходимо убедиться, что выбранный вами поставщик имеет опыт работы с конкретной технологией, которую вы используете.

Двумя основными категориями для этого являются тестирование на проникновение приложений и инфраструктуры. 

Тестирование приложений на проникновение могут быть разделены на основе целевых приложений для различных платформ, таких как Интернет, Android/IOS, Windows/Linux/Mac. Поставщик тестирования на проникновение, который, например, имеет опыт работы с Android, может быть или не быть хорошо осведомленным в веб-приложениях. Поэтому вам следует расспросить потенциальных поставщиков об их опыте, прежде чем совершать сделки.

Тестирование на проникновение в инфраструктуру можно разделить на разные категории. Тестирование серверной инфраструктуры для транснациональной компании с сотнями тысяч клиентов — это совсем другое дело, чем тестирование инфраструктуры для небольшого стартапа. Поставщик тестирования на проникновение, не имеющий опыта крупномасштабных операций, вероятно, не подходит для более крупной компании. Технология, используемая в вашей серверной части, также важна при поиске поставщика. Вы должны выяснить у своих потенциальных поставщиков, с какими технологиями они работали раньше.

В общем, тестирование на проникновение может быть либо черным ящиком, либо белым ящиком. Тестирование на проникновение методом «черного ящика» означает, что тестировщики не исследуют внутренности системы (исходный код и т. д.), имитируя реальную атаку. Тем не менее, у этого метода есть некоторые недостатки. Во-первых, настоящие злоумышленники не ограничены во времени, как тестировщики, а во-вторых, тестировщики могут пропустить важные уязвимости. Тестирование методом «белого ящика» — это полная противоположность: тестировщики имеют доступ к внутренним компонентам системы. Это часто требует тщательной проверки кода, что требует от тестировщиков больше времени и усилий. Таким образом, в свою очередь, делая тест более дорогим.

Поставщики обычно специализируются либо на PT «черного ящика», либо на «белом ящике», поэтому важно изучить их опыт. Например, поставщик, хорошо разбирающийся в тестировании методом «черного ящика», может не иметь опыта методической проверки кода.

Во многих случаях сочетание двух подходов дает наилучшие результаты. Название этого комбинированного теста — тестирование серого ящика. Поскольку для теста нет точного определения, оно будет варьироваться в зависимости от разных тестов и компаний. Сообщив поставщику о сроках, технических требованиях и целях, вы сможете определить тестирование серого ящика (предоставление доступа к VPN, учетных записей администратора, списка конечных точек и т. д.). Кроме того, эффективная коммуникация сделает процесс тестирования эффективным с точки зрения времени и цены.

Кто будет проводить тестирование? 

Наиболее важным, но почти всегда наиболее игнорируемым фактором в определении качества ПК является тестировщик или тестировщики, которые будут выполнять работу. 

Отправляясь на PT, убедитесь, что вы знаете имя и квалификацию людей, которые будут проводить тестирование. Придумайте следующие вопросы, которые вы можете задать своему поставщику по поводу тестеров:

• Есть ли у них более 2 лет опыта в этой области? 
• Они работают напрямую на поставщика или являются субподрядчиками? Практика делегирования работы субподрядчикам очень распространена среди крупных поставщиков систем безопасности. Такая практика может негативно сказаться на качестве обслуживания. Кроме того, делегирование работы субподрядчикам также может нанести ущерб подотчетности, поскольку субподрядчики обычно остаются анонимными.
• Являются ли тестировщики посвященными моему проекту или занимаются несколькими проектами одновременно?

Попросите оценить их предыдущую работу. Получали ли они какие-либо CVE (публично раскрытые уязвимости) за прошлые выводы? Они работали с тем же техническим стеком, что и мой?

Какая методология будет использоваться для моего теста?

Уважаемый поставщик средств проникновения будет использовать четко определенную методологию и структуру в качестве гарантии качества. Существует множество конкурирующих стандартов — вот краткий обзор:

• Руководство OWASP по тестированию веб-безопасности (WSTG) — раньше назывался OTG (Руководство по тестированию OWASP). Этот стандарт является лучшим руководством для веб-приложений и мобильных приложений. Это связано с тем, что он наиболее актуален и наиболее технически информативен в отношении тестов, которые необходимо выполнить при выполнении теста на проникновение. Этот стандарт в настоящее время является отраслевым стандартом де-факто для PT и обычно является требованием корпораций к своим поставщикам.
• Стандарт выполнения тестирования на проникновение (PTES) — стандарт высокого уровня, охватывающий общую методологию, которой должны следовать пен-тестеры. Сам стандарт не содержит технических подробностей пен-тестирования (т.е. что именно тестировать), но содержит дополнительные рекомендации с очень обширной информацией. Этот стандарт лучше подходит для тестов на проникновение в инфраструктуру. 
• NIST Cybersecurity Framework (CST) — этот стандарт Национального института стандартов и технологий США (NIST) лучше всего подходит для проверки общего состояния кибербезопасности организации. Однако он не предназначен специально для тестирования на проникновение. NIST также выпустил руководство (NIST 800-115), охватывающее технические аспекты тестирования безопасности.
• Building Security in Maturity Model (BSIMM) — эта структура была создана с использованием другого подхода: изначально авторы рассмотрели методы обеспечения безопасности 9 успешных производителей программного обеспечения и объединили их в единую модель. Самый последний выпуск, BSIMM12, основан на практике 128 различных организаций. Эта структура похожа на структуру NIST, поскольку она охватывает все виды деятельности, которые организации должны предпринять для повышения своей безопасности, а не сосредоточена только на тестировании на проникновение.
• Структура оценки безопасности информационных систем (ISSAF) — это устаревший стандарт, его последняя версия (0.2.1B) была опубликована в мае 2006 г., поэтому большая часть технической информации ISSAF не имеет особого значения.

При покупке премиум-теста на проникновение или любого аудита безопасности убедитесь, что используется правильная методология. Если ваш поставщик PT не использует какую-либо методологию или использует устаревшую, это может привести к низкому стандарту теста, который часто будет отклонен вашими клиентами.

Проверка ручная или автоматическая?

Автоматическое тестирование хорошо подходит для легкого тестирования на проникновение и обеспечивает начальное покрытие. Они дешевы в исполнении и, следовательно, снижают общую стоимость теста. Ручное тестирование на проникновение лучше подходит для поиска «нулевых дней», неизвестных уязвимостей в вашей настройке, которые могут сильно повлиять на ваш бизнес.

Качественный PT должен представлять собой смесь автоматических сценариев и ручных исследований, проводимых опытным тестировщиком. 

Автоматические сценарии отлично подходят для поиска известных однодневных уязвимостей, которые часто присутствуют в сторонних службах и библиотеках.

Ручное тестирование помогает вам найти уязвимости в вашем личном коде, то есть в вашей собственной бизнес-логике. Этот тип тестирования уязвимостей нельзя легко автоматизировать, поскольку каждая система уникальна и имеет свою собственную долю уникальных уязвимостей.

Покупая тест, вы должны убедиться, что платите за качественный тест на проникновение, который обеспечит как автоматическое сканирование, так и ручное исследование. Имейте в виду, что большая часть комиссии пойдет на ручное исследование, поскольку оно стоит гораздо дороже и не может быть автоматизировано.

Обзор

Покупка теста на проникновение — сложная задача, особенно при сравнении двух поставщиков. Мы настоятельно рекомендуем вам понять цель теста на проникновение, прежде чем запрашивать котировки. Это только для сертификации? Ваши клиенты просят об этом? Насколько важен уровень безопасности для вашей компании? 

После понимания ваших внутренних потребностей убедитесь, что поставщик, с которым вы работаете, имеет опыт работы в вашей технологической области. И тестер на проникновение, который будет работать на вашей платформе, имеет прошлый опыт работы в этой области, а также имеет общедоступные CVE. 

Уточните у поставщика, какая часть бюджета предназначена для автоматизированных тестов, а какая — для ручных, ручные тесты должны составлять большую часть цены.

Попросите у поставщика пример отчета о тестировании на проникновение и просмотрите серьезность и сложность результатов, а также попросите рекомендации от прошлых клиентов.

А что касается всех сложных решений, доверяйте своей интуиции и берегите себя!