Як вибрати компанію для проведення пентесту, на що звернути увагу? Практичні поради та рекомендації
Ви не можете вирішити проблему, про яку не знає ваша організація. А тестування на проникнення дає змогу дізнатися про реальні можливості вашої системи кібербезпеки, імітуючи атаки, як це роблять справжні хакери. Це головна мета тесту на проникнення: підвищити безпеку та стійкість підприємства до можливих ризиків, пов’язаних із кіберзагрозами.
Отже, тест на проникнення – це не те, що ви робите для показухи. І важливо поставитися до цієї процедури з максимальною відповідальністю. Перш ніж вибрати провайдера послуги тестування на проникнення, вам спочатку потрібно визначити основні вимоги до тестування, цілі та бюджет. А потім можна переходити до вибору постачальника послуги.
Що таке тестування на проникнення та повний огляд процедури ми розглядали в іншій статті.
У цій статті ми розповімо вам, на що слід звернути увагу, вибираючи компанію-виконавця пентесту , а також надамо вам список запитань, які слід поставити потенційному провайдеру послуги.
Вибір компанії, що проводить тестування на проникнення: 7 практичних порад
1. Дізнайтеся про досвід компанії та інженерів, перевірте репутацію
Дуже добре, якщо команда пентестурів має великий досвід роботи в різних галузях, з різними компаніями, і розуміє велику кількість сценаріїв тестування на проникнення. Чим більш різноманітний досвід має команда, тим легше їй буде адаптуватися до ваших конкретних умов, специфіки бізнесу, технологій тощо. Також очевидно, що якщо ваша організація працює, наприклад, у фінансовому секторі, пентестери повинні мати досвід роботи з аналогічними компаніями.
Як і у випадку з іншими службами, вам слід вибирати пентестерів із перевіреною репутацією. Шукайте відгуки або зв’яжіться з клієнтами, які раніше працювали з цими пентестерами. Дізнайтеся будь-яку доступну інформацію так само, як і при будь-якій відповідальній покупці.
2. Переконайтеся, що компанія має відповідні сертифікати
Існує багато сертифікатів тестування на проникнення, які підтверджують кваліфікацію пентестерів. Один із найвідоміших — Certified Ethical Hacker (CEH). Щоб отримати цей сертифікат, необхідно скласти 4-годинний іспит, який складається із 125 питань. Існують також більш просунуті сертифікати, такі як Offensive Security Certified Professional (OSCP). Щоб його отримати, необхідно здати 24-годинний іспит, де кандидати повинні застосувати свої практичні навички. Ще один сертифікат — Certified Information Systems Security Professional (CISSP) — один із найцінніших сертифікатів у галузі. Для його отримання необхідно скласти 6-годинний іспит, відповівши на 250 питань. Мінімальний стаж – 5 років.
Також звертаємо Вашу увагу на те, що всі перераховані вище сертифікати є у фахівців ESKA.
Нижче наведено деякі інші сертифікати:
- Веб-експерт з наступальної безпеки (OSWE);
- Burp Suite Certified Practitioner (BSCP);
- Сертифікований експерт з тестування проникнення (CEPT);
- Тестер проникнення веб-додатків GIAC (GWAPT) і Тестер проникнення GIAC (GPEN);
- CREST Certified Infrastructure Tester (CREST CCT) і CREST Registered Penetration Tester (CREST CRT);
Як бачимо, в галузі кібербезпеки не існує універсальної системи кваліфікаційної сертифікації. І при прийнятті рішення ви завжди повинні озиратися на реальні навички та досвід пентестерів, а також брати до уваги складність проектів, які вони вже завершили.
3. Дізнайтеся більше про те, які методології використовує провайдер і як здійснює процес тестування
Існує багато методологій тестування на проникнення. Методика - це сукупність взаємопов'язаних методів і прийомів. А методи – це конкретні способи чи інструменти. Як правило, досвідчені пентестери добре володіють кількома методологіями.
Наприклад, експерти ESKA використовують такі методики: OWASP, OSSTMM і MITRE ATT&CK.
Деякі з найпоширеніших методологій:
OWASP (Open Web Application Security Project) — формалізована та структурована методологія, яка регулює майже всі аспекти тестування на проникнення, зосереджуючись на пентестуванні комп’ютерних мереж;
OSSTMM (Open Source Security Testing Methodology Manual) — методологія, яка вузько орієнтована на пентестування веб-додатків, детально описує процес пентесту;
MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) — загалом, не стільки методологія, скільки база знань, яка містить опис тактик, прийомів і методів атак, які використовують хакери.
Інші методики:
Структура оцінки безпеки інформаційних систем (ISSAF);
Стандарт виконання тестування на проникнення (PTES);
NIST SP800-115.
Також дізнайтеся деталі про те, як відбувається сам процес пентесту та які етапи він включає. Потрібно точно знати, що пентест крім автоматичного тестування (сканування вразливостей) також містить ручне тестування за певними методиками. Таким чином можна оцінити зрілість компанії, яка надає послуги тестування на проникнення.
4. Дізнайтеся, як компанія захищає конфіденційну інформацію клієнтів
Крім знань і досвіду пентестерів, вам також важливо дізнатися про механізми, які компанія використовує для забезпечення надійності своїх співробітників і захисту активів клієнтів.
Тобто встановити, чи проводяться перевірки при прийомі працівників на роботу. Оскільки ці люди матимуть доступ до вашої внутрішньої інформації, можливо, деяких комерційних таємниць, фінансової інформації тощо.
Крім того, ви повинні бути впевнені, що компанія, яку ви використовуєте для надання послуг, належним чином подбає про безпеку ваших даних. Дізнайтеся, як інформаційні активи вашої компанії будуть передаватися, зберігатися та утилізуватися. Також запитайте, чи сам провайдер послуги був коли-небудь зламаний.
5. Гнучкість і час
Ще один важливий фактор – час і гнучкість у роботі. Кращі спеціалісти завжди знайдуть можливість зустрітися з вами та вивчити ваш бізнес. Крім того, потрібно чітко розуміти, в які терміни укладеться вся процедула тестування на проникнення, і коли пентестери зможуть приступити до роботи.
Зазвичай швидкість залежить від складності самого тесту. А час приготування варіюється від кількох днів до кількох тижнів. У деяких випадках навіть кілька місяців. Все це варто врахувати при плануванні.
Також майте на увазі, що найпростіше мати справу з постачальником послуг пентесту, який надав вам найбільше ясності щодо плану дій.
6. Отримати приклад звіту або його схему; дізнайтеся, що зазвичай входить до списку звіту після пентестування
Досвідчені пентестери можуть бути ефективними не тільки у зламі систем, але й в аналізі та систематизації результатів. Тобто ви повинні подбати про те, щоб у підсумку ви отримали чітко сформульований висновок і звіт про виконану роботу.
Дуже бажано, щоб цей звіт містив:
- Загальні висновки із зазначенням рівня кібербезпеки системи, а також опис елементів, які потребують негайного вирішення.
- Технічні деталі, опис кроків, які були зроблені для виявлення вразливостей.
- Список виявлених уразливостей і їх використання.
- Аналіз вразливостей: які критичні та вимагають негайної уваги, а які незначні та можуть почекати.
- Додатки, скріншоти, деталі, які могли б наповнити звіт контекстом і чітко продемонструвати, до яких саме активів було зроблено доступ.
- Рекомендації щодо оптимізації захисту, оцінка необхідних фінансових і часових вкладень; тимчасові та довгострокові рішення, опис технологій, які планується впровадити, тощо.
- Загалом, пентестовий звіт має бути зрозумілим людям, які не мають технічних знань, наприклад керівникам і керівникам компаній, щоб вони могли отримати загальне уявлення про силу кіберзахисту, а також про проблеми, ризики та загрози.
І при цьому в документі має бути достатньо деталей, щоб ваші ІТ-фахівці могли використовувати цю інформацію у своїй роботі: детальний перелік уразливостей і експлойтів, рекомендації щодо виправлення тощо.
7. Запитати про можливість повторного тестування, а також підтримку та допомогу у виконанні рекомендацій зі звіту
Якщо ви зацікавлені в довгостроковій підтримці експертів з кібербезпеки, обов’язково обговоріть це питання. Оскільки повторне тестування критично важливе, тому що тільки так ви можете бути впевнені, що заходи та рекомендації щодо усунення вразливостей були успішно реалізовані вашими ІТ-фахівцями.
Зазвичай надійні компанії з тестування на проникнення завжди зацікавлені в тому, щоб мати лояльних клієнтів і включають можливість повторного пентестування у свої пропозиції щодо продажу. Це сприяє довгостроковому партнерству, створенню сприятливої репутації та розширенню бізнесу.
І при цьому фахівці, які працюватимуть з вами на постійній основі, будуть детально знайомі з нюансами вашого бізнесу, а також з технологіями, які ви використовуєте. Відповідно, ефективність їх роботи буде вищою, а також рівень кібербезпеки вашої компанії.
Запитання, які варто поставити постачальнику послуги тестування на проникнення
Який досвід має компанія?
Які сертифікати мають пентестери?
З якими компаніями ви вже працювали?
В яких країнах працюють наймані працівники?
Як пентестери підтримують зв'язок між собою?
Як відбувається процес набору?
Як проводиться тест на проникнення, які етапи він включає?
Які методології використовуються для пентестування?
Яка частина пентесту автоматизована, а яка виконується вручну?
Чи зможе компанія продовжувати роботу під час пентесту?
Хто матиме доступ до конфіденційної інформації?
Як будуть зберігатися дані компанії?
Як будуть надаватися дані компанії?
Як будуть утилізовані дані?
Постачальника послуг коли-небудь зламували?
Скільки часу займе підготовка до пентесту?
Скільки часу займає тест на проникнення?
Які деталі містить пентест-звіт?
Є приклади звітів?
Чи можна розраховувати на довготривалу співпрацю та підтримку?
Зверніть увагу, що цей перелік питань не є вичерпним. Пам’ятайте також, що тісне спілкування з постачальником послуг тестування на проникнення, як усне, так і письмове, допоможе вам забезпечити досягнення ваших цілей безпеки.
Зрозуміло, що тестування на проникнення є одним із ключових компонентів захисту інформаційних активів компаній. І незалежно від того, перевіряєте ви свою компанію на відповідність галузевим нормам чи покращуєте свою систему безпеки, важливо переконатися, що ви вибрали правильного постачальника для своїх потреб.
Якщо вам потрібна допомога в проведенні тесту на проникнення в мережу або веб-програму, ми готові її запропонувати. , щоб дізнатися більше про те, як ми працюємо та які результати ви отримаєте. Зрештою, працюючи з ESKA, ви зможете забезпечити дійсно стійку кібербезпеку для вашої організації чи продукту.