Kako kupiti varnostno testiranje: Vodic za odlocitelje

Vsi penetracijski testi niso enaki. Videl sem organizacije, ki so placale znatne vsote za nekaj, kar je bilo v bistvu avtomatizirano skeniranje z logotipom na naslovni strani. Videl sem tudi ugodne projekte, ki so prinesli izjemno vrednost, ker je tester razumel okolje in se osredotocil na tisto, kar je bilo pomembno. Po osemnajstih letih na strani izvajanja varnostnega testiranja vam ponujam posten vodic, ki vam bo pomagal pridobiti resnicno vrednost iz vase naložbe.

Vprasanja za ponudnike

• Kateri metodologiji sledite? - Verodostojen ponudnik bi moral omenjati okvire, kot so OWASP Testing Guide, PTES ali OSSTMM. Prosite jih, da vas popeljejo skozi pristop k tipicnemu projektu. Poslusajte dokaze o rocnem testiranju, ne le skeniranju.
• Kdo bo dejansko izvajal testiranje? - Mnoga podjetja prodajajo projekte s starejsimi svetovalci, nato dodelijo mlajse osebje. Vprasajte za imena in kvalifikacije. Certifikacije, kot so OSCP, OSCE ali OSCE3, kazejo na prakticno usposobljenost, vprasajte pa tudi o projektni zgodovini.
• Kaj je vkljuceno v porocilu? - Dobro porocilo vkljucuje izvrsni povzetek, tehnicne ugotovitve z dokazi, ocene tveganja in navodila za odpravo. Prosite za redigiran vzorec. Kakovost porocila razkrije kakovost testiranja.
• Ali zagotavljate podporo pri odpravi? - Odkrivanje ranljivosti je le polovica vrednosti. Dobri testerji pomagajo razumeti ugotovitve in izvesti ponovno testiranje za potrditev odprave.
• Kaksen je vas pristop k sirjenju obsega? - Kako ponudnik obravnava ugotovitve zunaj obsega, ki predstavljajo znatno tveganje? Dober ponudnik te oznaci in razpravlja o moznostih.

Opozorilni znaki

• Izjemno nizke cene - Temeljit penetracijski test zahteva znatno kvalificirano delo. Ce se ponudba zdi prepoceeni, verjetno vkljucuje vecinoma avtomatizirano skeniranje z minimalmo rocno analizo. Pregledal sem porocila ugodnih ponudnikov, ki so bila v bistvu preoblikovan izhod Nessusa z drugo glavo. To ni penetracijski test.
• Brez vprasanj o vasem okolju - Ponudnik, ki ponudi ceno brez razumevanja vasega okolja, tehnoloskega sklada, stevila aplikacij, kompleksnosti omrežja in poslovnega konteksta, ne more zagotoviti smiselne ocene. Ce ne postavljajo vprasanj, prodajajo blago, ne storitev.
• Enotne ponudbe za vse - Vsako okolje je drugacno. Ponudba, ki izgleda enako ne glede na stranko, nakazuje, da ponudnik ne prilagaja svojega pristopa. Nacrt testiranja za oblacno aplikacijo z mikrostoritvami bi moral izgledati povsem drugace od tradicionalnega on-premises okolja Windows.
• Nepripravljenost za vzorcna porocila - Ce vam ponudnik ne pokaže redigiranega vzorca svojega dela, je to pomemben opozorilni znak. Kupujete njihove ugotovitve in analize; vedeti morate, kako to izgleda, preden se zavežete.
• Brez imenovanih testerjev ali informacij o ekipi - Preglednost o tem, kdo izvaja delo, je temeljnega pomena. Ce vam ponudnik ne more povedati, kdo bo testiral, morda oddajajo delo neznanim podizvajalcem ali dodelijo kogar koli, ki je na voljo, ne glede na strokovnost.

Kako izgleda dobro

• Jasna razprava o obsegu - Ponudnik postavlja podrobna vprasanja o vasem okolju, ciljih, omejitvah in skrbeh. Pomagajo vam dolociti obseg, ki obravnava vase dejansko tveganje, namesto da preprosto testirajo vse, kar lahko.
• Imenovani, usposobljeni testerji - Veste, kdo bo izvajal delo, lahko pregledate njihove kvalifikacije in imate zaupanje v njihovo strokovnost. Dodeljeni tester bi moral imeti relevantne izkusnje za vas tehnoloski sklad.
• Pregledna metodologija - Ponudnik zna natancno pojasniti, kako bo pristopil k projektu, katera orodja in tehnike bo uporabil ter kako uravnotezi avtomatizirano in rocno testiranje. Pojasnijo svoj proces brez skrivanja za žargonom.
• Izvrsno in tehnicno porocilo - Porocanje za dve publiki zagotavlja, da tako vodstvo kot tehnicne ekipe dobijo uporabne informacije. Izvrsni povzetki morajo sporocati poslovno tveganje, ne le nastevati ranljivosti.
• Navodila za odpravo in ponovno testiranje - Projekt se ne konca s porocilom. Dobri ponudniki podpirajo odpravo s pojasnjevanjem ugotovitev razvojnim ekipam, predlaganjem specificnih popravkov in preverjanjem, da popravki delujejo, z ponovnim testiranjem.

Razumevanje cen

Cene penetracijskega testiranja se znatno razlikujejo in najcenejsa moznost je redko najboljsa vrednost. Cena bi morala odrazati kompleksnost obsega, raven izkusenj testerjev, globino testiranja in kakovost rezultatov. Pri primerjavi ponudb se prepricajte, da primerjate enakovreden obseg in globino, ne le koncno stevilo.

Kako iztisniti najvec iz vase naložbe

Vrednost penetracijskega testa sega prek samega porocila. Nacrtujte pregled ugotovitev, kjer tester razloži ranljivosti vasi razvojni ekipi. Prednostno razvrstite odpravo na podlagi dejanskega tveganja, ne le ocen resnosti. Sledite napredku odprave in nacrtujte ponovno testiranje. Uporabite ugotovitve za izboljsanje razvojnih praks in varnostne arhitekture, ne le za krpanje posameznih tezav. Organizacije, ki dobijo najvec vrednosti, varnostno testiranje obravnavajo kot priloznost za ucenje, ne kot oznako skladnosti. Najboljsi testerji vam pomagajo razumeti ne le, kaj je pokvarjeno, ampak zakaj se je pokvarilo in kako prepreciti podobne tezave v prihodnosti.