Про що запитати, купуючи преміальний тест на проникнення для свого бізнесу?

Про що запитати, купуючи преміальний тест на проникнення (PT) для вашого бізнесу?

Знайти хорошого та надійного постачальника тестів на проникнення – непросте завдання, незалежно від ваших потреб. У цій короткій статті ми розглянемо основні аспекти, на які слід звернути увагу, купуючи постачальника тестування на проникнення.

Перш ніж почати, важливо зрозуміти, що універсального рішення не існує. Для різних компаній потрібні різні постачальники. Ви повинні знайти фірму, яка найкраще відповідає вашим потребам. 

Чи потрібне мені преміальне тестування на проникнення для мого бізнесу?

Це рішення, яке вам потрібно прийняти самостійно, а не з постачальниками, з якими ви розмовляєте. «Тестування на проникнення» є дуже широким терміном, і його можна використовувати для опису багатьох можливих перевірок безпеки на ринку.

Різниця між легким тестуванням на проникнення та преміум-тестом полягає головним чином у кількості часу та досвіді, витраченому на перевірку вашої безпеки. Зрештою це означає компенсацію, яку вам потрібно буде зробити.

Вирішуючи, чи потрібне вам якісне тестування на проникнення, слід враховувати чотири основні фактори:

• Запобігання порушенням безпеки – якщо порушення безпеки є чимось, що може знищити ваш бізнес, зашкодити вашій репутації або перешкодити клієнтам працювати з вами в майбутньому, настійно рекомендується інвестувати в якісніше тестування на проникнення, щоб зменшити цей ризик до мінімум. 
• Корпоративні клієнти. Укладаючи нові угоди з клієнтами, особливо корпораціями, деякі можуть вимагати від вас надати звіт про тестування на проникнення, щоб переконатися, що ваші послуги захищені та не скомпрометують їхні дані. Якщо тестування на проникнення не відповідає їхнім стандартам, вони можуть відхилити його або попросити вас виконати більш повний тест. Це може стати серйозним перешкодою для багатьох компаній.
• Конфіденційні дані. Якщо ваш бізнес зберігає конфіденційні дані, як-от особисту інформацію чи записи про фінансові операції, ви можете піддаватися більшому ризику стати мішенню для зловмисників. Крім того, у разі порушення ви можете бути змушені за законом відшкодувати збитки клієнтам, чия інформація була скомпрометована. Таким чином, для запобігання майбутнім втратам гарантовано якісніше тестування на проникнення.

Чи має цей постачальник досвід тестування моєї технології?

Оскільки на ринку зростає кількість технологій, вам потрібно переконатися, що обраний вами постачальник має досвід роботи з конкретною технологією, яку ви використовуєте.

Двома основними категоріями для цього є тестування на проникнення додатків і інфраструктури. 

Тестування на проникнення додатків можна розділити на основі цільових додатків різних платформ, таких як Інтернет, Android/IOS, Windows/Linux/Mac. Постачальник тестування на проникнення, який, наприклад, має досвід роботи з Android, може бути або не знати веб-програм. Тому ви повинні запитати потенційних постачальників про їхній досвід, перш ніж взяти на себе зобов’язання.

Тестування проникнення в інфраструктуру можна розділити на різні категорії. Тестування внутрішньої інфраструктури для транснаціональної компанії з сотнями тисяч клієнтів — це зовсім інший звір, ніж тестування інфраструктури для невеликого стартапу. Постачальник тестування на проникнення, який не має досвіду великомасштабних операцій, ймовірно, не підходить для більшої компанії. Технологія, яка використовується у вашому сервері, також важлива при пошуку постачальника. Ви повинні дослідити потенційних постачальників, з якими технологіями вони працювали раніше.

Загалом, тестування на проникнення може бути чорним або білим ящиком. Тестування на проникнення Blackbox означає, що тестери не досліджують внутрішні елементи системи (вихідний код тощо), імітуючи реальну атаку. Тим не менш, у цього методу є деякі мінуси. По-перше, справжні зловмисники не обмежені часом, як тестувальники, а по-друге, тестувальники можуть пропустити важливі вразливості. Тестування Whitebox є прямою протилежністю, тестувальники піддаються впливу внутрішніх систем системи. Це часто передбачає ретельний аналіз коду, який потребує більше часу та зусиль від тестувальників. Таким чином, у свою чергу, роблячи тест дорожчим.

Постачальники зазвичай спеціалізуються на Blackbox або Whitebox PT, тому перегляд їхнього досвіду є важливим. Постачальник, який, наприклад, обізнаний у тестуванні «чорної скриньки», може не мати досвіду методичного аналізу коду.

У багатьох випадках поєднання двох підходів дозволить досягти найкращих результатів. Назва цього комбінованого тесту — тестування сірої коробки. Оскільки немає точного визначення тесту, воно буде різним для різних тестів і компаній. Повідомлення про терміни, технічні вимоги та цілі вашому постачальнику допоможе визначити тестування сірого ящика (надання доступу до VPN, облікові записи адміністратора, список кінцевих точок тощо). Крім того, ефективна комунікація зробить процес тестування ефективним з точки зору часу та ціни.

Хто проводитиме тестування? 

Найважливішим, але майже завжди ігнорованим фактором у визначенні якості PT є тестер або тестери, які виконуватимуть роботу. 

Приймаючи участь у тестуванні, переконайтеся, що ви знаєте імена та кваліфікацію людей, які виконуватимуть тестування. Подумайте про наступні запитання, щоб поставити своєму постачальнику про тестери:

• Чи мають вони більше 2 років досвіду роботи в цій галузі? 
• Вони працюють безпосередньо на постачальника чи є субпідрядниками? Практика делегування роботи субпідрядникам дуже поширена серед великих постачальників засобів безпеки. Така практика може негативно вплинути на якість послуги. Крім того, делегування роботи субпідрядникам також може зашкодити підзвітності, оскільки субпідрядники зазвичай залишаються анонімними.
• Тестувальники займаються моїм проектом чи виконують кілька проектів одночасно?

Попросіть переглянути їхні попередні роботи. Чи отримували вони будь-які CVE (публічно оприлюднені вразливості) для попередніх знахідок? Чи працювали вони з подібним до мого стеком технологій?

Яка методологія буде використана для мого тесту?

Поважний постачальник систем проникнення використовуватиме чітко визначену методологію та структуру як гарантії якості. Є багато конкуруючих стандартів – ось короткий огляд:

• Посібник з тестування веб-безпеки OWASP (WSTG) – Раніше називався OTG (Посібник з тестування OWASP). Цей стандарт є найкращим посібником для веб- і мобільних програм. Це пояснюється тим, що він найновіший і найбільш технічно інформативний щодо тестів, які необхідно виконати під час виконання тесту на проникнення. Цей стандарт наразі є галузевим де-факто стандартом для PT і зазвичай є вимогою корпорацій до їхніх постачальників.
• Стандарт виконання тестування на проникнення (PTES) – стандарт високого рівня, який охоплює загальну методологію, якої повинні дотримуватися тестувальники пера. Сам стандарт не вникає в технічні деталі ручного тестування (тобто, що саме перевіряти), але містить додаткову інструкцію з дуже великою інформацією. Цей стандарт кращий для тестів на проникнення в інфраструктуру. 
• NIST Cybersecurity Framework (CST) – цей стандарт Національного інституту стандартів і технологій США (NIST) найкраще підходить для аудиту загального статусу кібербезпеки організації. Однак він не створений спеціально для тестування на проникнення. NIST також випустив посібник (NIST 800-115), який охоплює технічні аспекти тестування безпеки.
• Building Security in Maturity Model (BSIMM) – цю структуру було створено з використанням іншого підходу: спочатку автори переглянули методи безпеки 9 успішних виробників програмного забезпечення та виклали їх у єдину модель. Останній випуск, BSIMM12, базувався на практиці 128 різних організацій. Ця структура схожа на NIST, оскільки охоплює всі види діяльності, які організації повинні виконувати для підвищення безпеки, а не зосереджуватися лише на тестуванні на проникнення.
• Структура оцінки безпеки інформаційної системи (ISSAF) – це застарілий стандарт, його остання версія (0.2.1B) була опублікована в травні 2006 року, тому велика частина технічної інформації ISSAF не є особливо актуальною.

Купуючи преміальний тест на проникнення або будь-який аудит безпеки, переконайтеся, що використовується правильна методологія. Якщо ваш постачальник PT не використовує жодної методології або використовує застарілу, це може призвести до низького стандарту тесту, який часто буде відхилений вашими клієнтами.

Тест ручний чи автоматичний?

Автоматичне тестування добре підходить для тестування на проникнення світла та забезпечить початкове покриття. Вони дешеві у виконанні і тому зменшать загальну вартість тесту. Ручне тестування на проникнення краще для пошуку «нульових днів», невідомих уразливостей у вашому налаштуванні, які можуть суттєво вплинути на ваш бізнес.

Високоякісний PT має бути сумішшю автоматичних сценаріїв і ручного дослідження, виконаного експертом-тестером. 

Автоматичні сценарії чудово підходять для пошуку відомих одноденних уразливостей, які часто присутні в службах і бібліотеках сторонніх розробників.

Ручне тестування допомагає знайти вразливості у вашому особистому коді, тобто вашій власній бізнес-логіці. Цей вид перевірки вразливостей не можна легко автоматизувати, оскільки кожна система відрізняється від інших і має свою частку унікальних уразливостей.

Купуючи тест, ви повинні переконатися, що ви платите за якісний тест на проникнення, який забезпечить як автоматичне сканування, так і ручне дослідження. Майте на увазі, що більшість комісії піде на дослідження вручну, оскільки воно коштує набагато більше і не може бути автоматизованим.

Підсумки

Купівля тесту на проникнення є складним завданням, особливо якщо порівнювати двох постачальників. Ми наполегливо рекомендуємо вам зрозуміти мету тесту на проникнення, перш ніж запитувати пропозиції. Це лише для сертифікації? Ваші клієнти цього вимагають? Наскільки важливий рівень безпеки для вашої компанії? 

Після розуміння ваших внутрішніх потреб переконайтеся, що постачальник, з яким ви працюєте, має досвід у вашій технологічній галузі. Тестер проникнення, який працюватиме на вашій платформі, має попередній досвід у цій галузі, а також має загальнодоступні CVE. 

Уточніть у постачальника, яка частина бюджету призначена для автоматизованих тестів, а яка — для ручних тестів; ручні тести повинні займати більшу частину ціни.

Попросіть у постачальника приклад звіту про тестування на проникнення та перевірте серйозність і складність висновків, а також попросіть рекомендації від попередніх клієнтів.

А щодо всіх складних рішень довіряйте своєму розуму та будьте в безпеці!