Izbira ponudnika penetracijskega testiranja v Sloveniji

Slovenski trg ima vse več ponudnikov penetracijskega testiranja, od samostojnih izvajalcev do mednarodnih podjetij z lokalno prisotnostjo. Kot prvi OSCE3-certificirani penetracijski tester v državi sem videl, kaj ločuje angažma, ki resnično izboljša varnost, od tistega, ki proizvede poročilo, ki ga nihče ne prebere. Tukaj je, kako izbrati pravega ponudnika.

Kaj iskati

Certifikati so prvi objektivni pokazatelj sposobnosti. V penetracijskem testiranju niso vsi certifikati enakovredni. Certifikati OffSec (OSCP, OSEP, OSWE in kombinacija OSCE3) so široko priznani kot praktične kvalifikacije, ki zahtevajo izkazovanje resničnih veščin izkoriščanja ranljivosti. Certifikati CREST so podobno zahtevni.

• Ustrezni certifikati: Iščite poverilnice OSCP, OSEP, OSWE, OSCE3 ali CREST. Ti zahtevajo uspešno opravljanje praktičnih izpitov, ne le odgovarjanje na vprašanja z izbiro.
• Izkušnje v industriji: Ali je ponudnik testiral organizacije, podobne vaši? Tester z izkušnjami v finančnih storitvah morda ni najboljši izbor za OT/ICS okolje.
• Jasna metodologija: Profesionalni ponudniki bi morali jasno artikulirati svoj pristop, pa naj sledi ogrodjem OWASP, PTES ali OSSTMM. Zahtevajte podrobnosti.
• Kakovostna vzorčna poročila: Dobro poročilo jasno pojasni ranljivosti, prikaže vpliv s pomočjo dokazov koncepta in zagotovi uresničljive napotke za odpravo, prioritizirane po tveganju.
• Reference: V tesno povezani slovenski poslovni skupnosti se ugled hitro širi — tako dober kot slab.

Opozorilni znaki

Določeni vzorci dosledno kažejo na nizkokakovosten angažma.

• Brez imenovanih testerjev: Vedeti morate kvalifikacije posameznikov, ki bodo imeli dostop do vašega okolja.
• Izjemno nizke cene: Kakovostno penetracijsko testiranje zahteva usposobljene strokovnjake, ki porabijo znatno količino časa. Če se ponudba zdi predobra, da bi bila resnična, ponudnik verjetno izvaja avtomatizirane preglede in pakira rezultate kot penetracijski test. V Sloveniji redno vidim ponudbe, ki ne bi pokrile niti dveh dni časa kvalificiranega testerja za obseg, ki zahteva dva tedna.
• Brez razprave o metodologiji: Ponudnik, ki ne more razpravljati o svojem pristopu v podrobnostih, verjetno ne bo dostavil temeljitih rezultatov.
• Samo avtomatizirano testiranje: Pregledovalniki ranljivosti imajo svoje mesto, a niso penetracijski testi. Avtomatizirana orodja zgrešijo kompleksne, verižene ranljivosti, ki jih izkoriščajo pravi napadalci.
• Brez podpore po testu: Ponudniki bi morali ponuditi razgovore, odgovarjati na vprašanja o ugotovitvah in pomagati vaši ekipi razumeti pristope k odpravi.

Vprašanja za postaviti

• Kdo bo izvajal testiranje? Zahtevajte življenjepise in certifikate dejanskih testerjev, ne prodajne ekipe.
• Kateri metodologiji sledite? Pričakujte konkretne odgovore, kot sta OWASP Testing Guide za spletne aplikacije ali PTES za infrastrukturo.
• Kaj je vključeno v podpori pri odpravi? Razjasnite, ali angažma vključuje razgovor, ponovno testiranje ali stalno svetovanje.
• Kako obravnavate občutljive ugotovitve? Kritične ranljivosti bi morale biti sporočene takoj, ne puščene za končno poročilo.
• Ali lahko zagotovite reference? V Sloveniji je priporočljivo preveriti reference tudi prek vaše profesionalne mreže.

Lokalni vidiki

Sodelovanje s slovenskim ponudnikom ponuja jasne prednosti.

• Poročila v slovenskem jeziku: Poročila v obeh jezikih so dragocena. Dokumentacija skladnosti z NIS2, predložena URSIV-u, pridobi z uporabo slovenščine.
• Razumevanje lokalnih predpisov: Ponudnik, ki pozna ZInfV, ZVOP-2 in zahteve URSIV-a ter Informacijskega pooblaščenca, lahko ugotovitve umesti v kontekst vaših skladnostnih obveznosti.
• Časovni pas in komunikacija: Komunikacija v istem časovnem pasu odpravlja zamude. Pri kritičnih ugotovitvah je neprecenljivo, da je vaš tester dosegljiv med vašim delovnim časom.

Razumevanje cen

Cene penetracijskega testiranja v Sloveniji se precej razlikujejo. Glavni dejavnik stroškov je število dni kvalificiranega testerja. Ocena spletne aplikacije lahko traja pet do deset dni, medtem ko celovit test notranjega omrežja lahko zahteva dva do tri tedne. Bodite pozorni na ponudbe s fiksno ceno, ki se zdijo prenizke — bodisi obseg ne bo ustrezno pokrit ali pa bo testiranje pretežno avtomatizirano. Poštena ponudba bi morala razčleniti napor po fazah in pojasniti, kaj je vključeno.

Kako izkoristiti angažma

Izbira pravega ponudnika je le prvi korak. Za maksimizacijo vrednosti zagotovite jasno dokumentacijo obsega, določite kontaktno osebo za obdobje testiranja, aktivirajte orodja za nadzor in načrtujte čas za temeljit razgovor po prejemu poročila. Organizacije, ki od penetracijskega testiranja pridobijo največ, ga obravnavajo kot sodelovalno vajo, ne kot nasprotniško zahtevo skladnosti.