Як формується ціноутворення на Тестування на проникнення
Часто у наших замовників та клієнтів виникає питання: як формується ціна на послугу тестування на проникнення? Щоб детально розібратися в цьому питанні, ми разом із залученими експертами ESKA зібрали основні фактори, що впливають на ціноутворення, та оцінку їхнього впливу на кінцеву вартість.
Перш ніж ми перейдемо до детального розгляду процесу ціноутворення та факторів, що впливають на формування ціни на тестування на проникнення, варто ще раз нагадати, що таке пентест: Penetration test (Pentest) – це процес виявлення, дослідження та використання вразливостей у сфері кібербезпеки організації. Ця послуга насправді потрібна різним компаніям, незалежно від їхньої сфери діяльності.
У процесі тестування, фахівець з пентесту досліджує:
- Вебсайти;
- Веб-додатки;
- Мережеві служби;
- Базу даних;
- Мережеве обладнання;
- Протоколів OSI;
- Засобів захисту даних;
- Програмне забезпечення.
Традиційно тестування на проникнення розпочинається з технічного аналізу, під час якого фахівці з кібербезпеки виявляють та експлуатують уразливості в програмному забезпеченні чи обладнанні. Здійснюються всі заходи, аби забезпечити, щоб дії спеціалістів не впливали на роботу структур підприємства. Загалом, використовуються як автоматичні, так і ручні інструменти для тестування. Безумовно, всі етапи тестування узгоджуються з відділом інформаційної безпеки компанії-клієнта.
Також проводяться тести, що базуються на методах соціальної інженерії. Тобто експерти перевіряють, наскільки співробітники обізнані з питань інфобезпеки та чи знають вони, як розпізнати загрозу та як діяти в таких ситуаціях. На жаль, часто у відділах багатьох компаній рівень обізнаності співробітників досить низький, що призводить до порушень інструкцій або повного незнання їх змісту. Це може призвести до відкриття інфікованих електронних листів, завантаження файлів з невідомих джерел та передачі даних через телефон, що надає зловмисникам доступ до конфіденційної інформації.
Деякі дослідники виокремлюють соціотехнічні пентести, які поєднують принципи двох попередніх підходів, дозволяючи виявити найімовірніші напрямки атак зловмисників.
Тести на проникнення поділяються на кілька категорій:
- Black Box Penetration Testing
Пентестування "чорного ящика" надає можливість вибирати цілі з багатьма активами, максимізуючи ефект від виявлених вразливостей, аналогічно до реальної атаки. Цей аудит вимагає мінімальної підготовки від замовника.
Перевага цього методу полягає в тому, що він дозволяє пентестерам оцінювати систему з нової точки зору, як це робив би зловмисник, виявляючи неочевидні потенційні вразливості. Це може допомогти уникнути надмірного фокусування на захисті лише ключових елементів, оминаючи інші потенційні ризики. Проведення тесту "чорного ящика" без попередження команд безпеки дозволяє перевірити здатність організації розпізнавати та реагувати на атаки.
- Grey Box Penetration Testing
У процесі пентесту "сірого ящика" пентестери вже мають певну інформацію про ціль. Це може включати дані про функціонування об'єкта аудиту, доступ до облікових записів на платформі з обмеженими правами, а також доступ до ресурсів, які не є публічними. Це забезпечує можливість проведення більш детального тестування та кращого розуміння контексту. У рамках "сірого ящика" аудитори концентруються на конкретних областях, які вже були ідентифіковані як найбільш ризиковані, чутливі або доступні тільки всередині компанії. Це дозволяє моделювати потенційні атаки, які можуть бути здійснені клієнтами, партнерами, відвідувачами або співробітниками.Перевага цього підходу полягає у можливості точно налаштувати обсяг тестування відповідно до пріоритетів, наприклад, для перевірки нещодавно запущених у виробництво функцій або особливо чутливих компонентів.
- White Box Penetration Testing
Аудит безпеки "білого ящика" виходить за межі традиційного пентесту, перетворюючись на інструмент більш глибокого аналізу. На відміну від пентесту, де аудитори мислять категоріями потенційного зловмисника, аудит "білого ящика" пропонує більш детальне вивчення захисних механізмів системи. Цей підхід дозволяє не лише виявити приховані вразливості, які можуть залишитися непомітними під час звичайного пентесту, але й глибше зрозуміти корені проблем безпеки, відкриваючи таким чином потенційні загрози, що ховаються в глибині системних налаштувань.
Спеціалізовані види пентесту включають:
- Тестування веб-додатків.
- Тестування хмарних платформ.
- Тестування мобільних додатків.
- Тестування мереж.
- Тестування програмного забезпечення.
- Тестування апаратного забезпечення.
- Тестування IoT та промислових систем.
- Тестування блокчейн-систем.
- Тестування методами соціальної інженерії.
Методології пентестингу
Методології, що регулюють проведення пентестів, включають:
- OWASP: низку стандартів та керівництв з тестування безпеки додатків.
- OSSTMM: структуровану методологію тестування відкритих систем.
- PTES та NIST SP 800-115: керівництва з виконання пентестів та оцінки безпеки ІТ-систем.
- MITRE ATT&CK: базу даних технік та тактик кібератак.
Пентест vs. Аудит кібербезпеки
Пентест активно використовує вразливості для імітації зловмисника, тоді як аудит кібербезпеки більше сфокусований на пасивному зборі та аналізі даних для оцінки вразливостей без активного втручання.
Етапи пентеста
- Планування та розвідка: збір інформації та визначення цілей тестування.
- Аналіз вразливостей та експлуатація: ідентифікація слабких місць та їх використання.
- Постексплуатація та аналіз: глибокий аналіз скомпрометованої системи.
- Складання звітів: документування процесу та результатів пентесту.
Пентестинг є невід'ємною частиною стратегії кібербезпеки, забезпечуючи підприємствам глибоке розуміння потенційних загроз та допомагаючи запобігти реальним атакам.
Процес ціноутворення на Пентест: причини та стадії формування
У нашій практиці бували випадки, коли клієнти зверталися до нас після невдалого досвіду співпраці з молодими компаніями. Попри проведені пентести, вони все ще знаходили нові вразливості у своїх системах. Це свідчить про те, що не всі виконавці можуть забезпечити належний рівень надання послуги.
Тому важливо звертати увагу на кілька ключових аспектів при виборі компанії для проведення пентесту:
- Досвід компанії: Вибирайте компанії з багаторічним досвідом у сфері кібербезпеки. Досвідчені фахівці краще розуміють сучасні загрози та мають ефективні методи їх виявлення та усунення.
- Успішні кейси: Запитайте про приклади успішно реалізованих проектів. Це допоможе оцінити, наскільки компанія здатна впоратися з завданнями, схожими на ваші.
- Відгуки клієнтів: Читайте відгуки та рекомендації інших клієнтів. Це дасть вам уявлення про рівень задоволеності клієнтів і якість наданих послуг.
- Контракт та гарантії: Уважно вивчайте умови контракту. Переконайтеся, що він містить чітко визначені обов'язки сторін, етапи виконання робіт та механізми вирішення спорів. Наявність гарантій на виконані роботи також є важливим показником надійності компанії.
- Тривалість існування компанії: Компанії, які працюють на ринку багато років, зазвичай мають стабільну репутацію та перевірені методики роботи.
Звертаючи увагу на ці фактори, ви зможете вибрати надійного виконавця, який забезпечить ефективний захист ваших систем та даних.
Для того, щоб забезпечити максимально ефективний захист ваших інформаційних систем, важливо не тільки провести пентест, але й ретельно оцінити обсяг та якість виконаних робіт. Одним з ключових аспектів такого оцінювання є визначення моделі дії потенційного зловмисника, що дозволяє більш точно ідентифікувати можливі вразливості та загрози. Нижче представлена таблиця, яка детально описує обсяг та якість робіт у проектах з пентесту, а також моделі дій потенційних зловмисників. Вона допоможе вам краще зрозуміти, як саме проводиться тестування та які фактори враховуються для забезпечення максимальної безпеки вашої системи.
Кількість, оснащення, підготовка та обізнаність потенційних порушників, а також деталі їхніх дій — все це пентестерам доведеться імітувати у проекті. Тому угоду про всі ці аспекти слід укласти заздалегідь, і саме на основі цих критеріїв встановлювати справедливу ціну.
Отже, з огляду на зрозумілі моделі поведінки зловмисників та способи імітації їхніх дій, можна перейти до опису ціноутворення. Як можна визначити, скільки має коштувати пентест за моделлю "початківця", який триватиме п'ять робочих днів та виконуватиметься “джуном”, та скільки має коштувати командна робота RedTeaming, що займатиме три місяці і залучатиме групу топ-спеціалістів?
Зазвичай собівартість проведення пентесту формується з кількох компонентів:
- Складу команди.
- Запланованої кількості робочих днів на проект.
- Методу тестування (чорний, сірий або білий ящик).
- Обсягу тестування (публічні сервіси, Wi-Fi тощо).
- Дати останнього аудиту та інших змінних.
Для різних об'єктів тестування застосовуються різні підходи до формування команд і калькуляцій вартості. Таким чином, поняття "низької" або "високої" ціни на пентест не існує — є лише потреба бізнесу в перевірці на певному рівні. Визначивши рівень складності, можна обрахувати виправдану вартість тестування.
Немає сенсу витрачатися на складні і дорогі командні тести Red Teaming, якщо компанія лише починає розвивати процеси інформаційної безпеки. Так само не варто витрачати гроші на пентест за моделлю зловмисника "школяр", якщо компанія регулярно проводить перевірки, налагоджує механізми захисту та має вже більш зрілі процеси ІБ. Крім ціни важливо також враховувати потреби бізнесу у перевірці певного рівня, обсяг робіт, необхідних для досягнення мети проекту, рівень кваліфікації спеціалістів, їхній досвід та загальновизнані досягнення: сертифікати OSCP, OSCE, eWPTX; участь у програмах Bug Bounty, "залах слави", дослідженнях тощо, модель зловмисника.
Формування ціни на послуги пентесту: детальний аналіз
Формування ціни на послуги пентесту є багатокомпонентним процесом, що враховує різні фактори, які впливають на загальну вартість. Нижче детально розглянуті основні чинники, що впливають на ціну.
1. Обсяг робіт
Обсяг робіт визначає кількість та складність завдань, які необхідно виконати в рамках пентесту. Основні аспекти, що враховуються:
- Розмір та складність інфраструктури: велика корпоративна мережа або численні веб-додатки вимагають більше часу на аналіз.
- Типи тестування: зовнішнє, внутрішнє тестування, тестування соціальної інженерії, тестування мобільних додатків тощо.
- Глибина перевірки: поверхневе сканування вразливостей або детальне тестування на проникнення.
2. Терміновість
Часові рамки проекту суттєво впливають на бюджет. Основні моменти:
- Терміновість: якщо необхідно виконати пентест у стислі терміни, може знадобитися додаткове залучення фахівців або робота понаднормово.
- Плановість: заздалегідь заплановані проекти дозволяють ефективніше розподілити ресурси.
3. Рівень залучених спеціалістів
Рівень кваліфікації та досвід спеціалістів суттєво впливають на вартість. Зазвичай, команда складається з фахівців різного рівня, де кожен залучений до виконання конкретних завдань, що відповідають його компетенціям:
- Молодші інженери (Junior): виконують базові завдання під наглядом старших колег. Вони займаються кропіткою та рутинною роботою, але не допускаються до виконання критично важливих завдань.
- Середні інженери (Middle): здатні виконувати складніші завдання самостійно. Вони вже мають достатньо досвіду для прийняття рішень і виконання більш відповідальних завдань, що підвищує ефективність команди та забезпечує високу якість робіт.
- Старші інженери (Senior): мають великий досвід та здатні вирішувати найбільш складні завдання. Вони часто керують командами, розробляють стратегії та приймають критично важливі рішення. Інвестиції в розвиток цих спеціалістів забезпечують високу якість виконання робіт. Вони мають сертифікати на кшталт CISSP, CEH, OSCP, які підтверджують їхній високий рівень кваліфікації.
- Експерти та підрядники: залучаються для виконання специфічних завдань, що потребують вузькопрофільних знань та навичок. Вони можуть мати сертифікації як CISM, CISA, чи спеціалізовані сертифікати від вендорів, таких як Cisco (CCIE), Microsoft (MSCE) та інші. Їхні знання та досвід дозволяють вирішувати найскладніші технічні питання.
Сертифікація та постійне навчання
Важливо зазначити, що всі ці спеціалісти регулярно проходять навчання та мають відповідні сертифікати, які підтверджують їхні знання та навички. Серед найпоширеніших сертифікатів:
- Certified Information Systems Security Professional (CISSP): підтверджує глибокі знання у сфері кібербезпеки.
- Certified Ethical Hacker (CEH): сертифікат для спеціалістів з тестування на проникнення.
- Offensive Security Certified Professional (OSCP): підтверджує практичні навички в області атак та захисту інформаційних систем.
- Certified Information Security Manager (CISM) та Certified Information Systems Auditor (CISA): сертифікати для фахівців з управління інформаційною безпекою та аудиту.
Постійне навчання та сертифікація спеціалістів гарантують, що вони завжди в курсі новітніх методів захисту та можуть ефективно реагувати на сучасні кіберзагрози. Це є запорукою високої якості виконання робіт та надійності послуг, що надаються нашою командою.
4. Використання спеціальних інструментів
Деякі види тестування вимагають використання спеціальних інструментів та ресурсів:
- Програмне забезпечення для тестування: комерційні або власні рішення, які використовуються для проведення атак та аналізу.
- DDoS атаки: вимагають значних ресурсів для генерації трафіку.
- Ліцензії на ПЗ: можуть збільшувати витрати залежно від необхідних інструментів.
5. Інфраструктурні витрати
Використання та підтримка інфраструктури для тестування також враховується:
- Хмарні платформи: розгортання хакерських машин у хмарі забезпечує гнучкість, але додає витрат на оренду та адміністрування.
- Локальна інфраструктура: можливо, знадобиться розгортання додаткового обладнання на місці клієнта.
Приклад розрахунку вартості
Для прикладу, розглянемо проект пентесту середньої складності для корпоративної мережі:
- Обсяг робіт: зовнішнє та внутрішнє тестування, перевірка веб-додатків.
- Дедлайн: 1 місяць.
- Команда: 1 старший інженер, 2 середні інженери, 1 молодший інженер.
- Інструменти: використання комерційного ПЗ для сканування вразливостей, власні скрипти.
- Інфраструктура: хмарні ресурси для розгортання тестових машин.
Вартість такого проекту може складати від 5,000 до 30,000 доларів залежно від конкретних вимог та умов.
Хочемо нагадати, що компанія ESKA пропонує індивідуальні рішення для проведення тестування на проникнення, які будуть максимально відповідати потребам саме вашого бізнесу. Наші послуги включають:
- Оцінка ризиків та аналіз вразливостей: Ретельний аналіз інфраструктури для виявлення загроз та слабких місць.
- Індивідуальний підхід: Персоналізовані стратегії тестування, що враховують специфіку вашого бізнесу.
- Залучення висококваліфікованих спеціалістів: Сертифіковані експерти з багаторічним досвідом у сфері кібербезпеки.
- Використання передових технологій: Сучасні методи та інструменти для ефективного виявлення вразливостей.
- Докладні звіти та рекомендації: Детальні звіти зі знайденими вразливостями та рекомендаціями щодо їх усунення.
- Постійна підтримка та консультації: Після завершення проекту ми надаємо підтримку та консультації з питань кібербезпеки.
Формування ціни на пентест є комплексним процесом, що враховує безліч факторів. Наша мета – забезпечити клієнтів якісними послугами за оптимальною ціною, враховуючи всі їхні потреби та особливості проекту. Ми завжди готові запропонувати індивідуальні рішення, які відповідатимуть вашим вимогам та бюджету.
Вартість пентесту для різних типів інфраструктур
Вартість пентесту може суттєво відрізнятися залежно від типу організації, складності її інформаційної інфраструктури та специфіки її діяльності. Нижче наведені приклади, як можуть коливатися ціни на пентест для різних типів компаній:
Розмір інфраструктури:
Маленька компанія до 50 серверів: Вартість пентесту для компаній з невеликою інфраструктурою становить орієнтовно від 5,000 до 10,000 доларів.
Середні компанії до 100 серверів: Для компаній із середньою інфраструктурою вартість коливається від 10,000 до 20,000 доларів.
Великі компанії від 100 та більше : Для великих та критичних проектів вартість пентесту може перевищувати 20,000 доларів.
Ціни можуть змінюватися залежно від кількості співробітників компанії, розміру інфраструктури та активів (assets), які потребують захисту.
Висновок
Як висновок зазначимо, що вартість пентесту є різноманітною і має широкий діапазон, який залежить від багатьох факторів, таких як обсяг робіт, складність завдань та кількість залучених спеціалістів. Верхньої межі вартості не існує, оскільки різні проекти можуть потребувати різних ресурсів та спеціалістів різного рівня.
Фактори, про які ми розповіли, впливають на коливання вартості. Наприклад, якщо порівняти два проекти в сфері електронної комерції, такі як Amazon і українська компанія електронної комерції, скажімо, Rozetka, перевірка їхніх систем буде значно відрізнятися.
Amazon - це глобальний гігант у сфері електронної комерції з величезною інфраструктурою, численними веб-додатками, мільйонами користувачів та безліччю інтеграцій з іншими сервісами. Пентест для Amazon потребуватиме залучення великої кількості висококваліфікованих спеціалістів, включаючи експертів з різних напрямків кібербезпеки. Крім того, такі компанії як Amazon часто мають програми bug bounty, де за одну виявлену вразливість можуть виплачувати від 5 до 20 тисяч доларів. Не потрібно плутати пентест з баг баунті: пентест є комплексним тестуванням на проникнення, яке здійснюється професійними командами за замовленням компанії, тоді як bug bounty дозволяє незалежним дослідникам добровільно знаходити і повідомляти про вразливості в обмін на винагороду. Це підкреслює високу ціну репутаційних втрат, яку можуть понести великі компанії у разі компрометації.
Rozetka - хоча і є одним з лідерів на українському ринку електронної комерції, масштаби її операцій та інфраструктура значно менші в порівнянні з Amazon. Відповідно, обсяг робіт для проведення пентесту також буде меншим. Пентест для такої компанії може включати меншу кількість спеціалістів, зосереджених на ключових аспектах безпеки. Вартість таких робіт буде суттєво нижчою, ніж для глобальних гігантів.
Великі компанії, яким є що втрачати, інвестують значні ресурси в кібербезпеку. Вони розуміють, що вартість компрометації їхніх систем може бути величезною, включаючи репутаційні втрати, штрафи за порушення регуляторних вимог та прямі фінансові збитки. Водночас для менших компаній, таких як локальні магазини або мобільні додатки, витрати на пентест будуть значно нижчими, але це не зменшує важливість забезпечення належного рівня безпеки.
Отже, вартість пентесту може значно варіюватися залежно від специфіки проекту. Важливо розуміти, що інвестиції в кібербезпеку виправдані, адже вони допомагають захистити бізнес від потенційних загроз та зберегти репутацію.