Как найти надежного пентестера?
Компаниям следует проявлять максимальную осторожность при выборе организации, которая проводит пентесты. Как и в случае с корпоративными поставщиками услуг физической безопасности, опыт и доверие являются важными факторами при работе по контракту. При выборе обратите особое внимание на квалификацию и сертификацию. Добавьте к этому контракт с четкими соглашениями об уровне обслуживания. Контракт обязательно должен включать следующие пункты:
- Обязанности по сотрудничеству
- Ответственность
- Конфиденциальность (соглашение о неразглашении)
- Защиту данных
Испытание ни при каких обстоятельствах не может быть начато до тех пор, пока оно не будет одобрено клиентом.
Что делать после проведения пентеста?
Каждый тест на проникновение — это лишь текущая оценка состояния ИТ-безопасности. Через несколько дней или недель аналогичный тест может пройти совершенно по-другому. Причина: постоянно появляются новые обновления и исправления от поставщиков, которые устраняют существующие уязвимости. В то же время появляются новые уязвимости.
Из отчета следует составить список приоритетов, чтобы как можно эффективнее устранить слабые места.
Каковы риски пентеста?
В худшем случае компании попадают к сомнительным исполнителям, которые используют полученные данные для преступной деятельности. Например для продажи информации об уязвимостях на хакерских форумах или несанкционированное извлечение и хранение данных. Это делает еще более важным проверку надежности выбранного поставщика услуг.
Казусы пентеста
Пентест не должен парализовать бизнес, но человеческие ошибки могут произойти и здесь. Неправильные договоренности, нечеткие формулировки в заказе или недопонимание — все это возможные сценарии, которые могут стать причиной сбоя системы. Другая классическая ситуация: если параллельно с тестированием проводится техническое обслуживание системы, это может существенно повлиять на результат. В этом случае необходимы соглашения между всеми задействованными отделами и внешними поставщиками услуг. Исключение: в двойных слепых тестах желательна непредвиденная атака.
Юридический аспект
Обе стороны должны позаботиться о точном определении объема целей тестирования. Кроме того, клиент должен гарантировать, что эти согласованные цели являются собственностью его компании. Тот, кто непреднамеренно атакует и/или нарушает работу стороннего облачного сервиса или веб-приложения, может столкнуться с серьезными юридическими проблемами.
Тест на проникновение, проведенный добросовестно, но без согласия компании, может считаться настоящей кибератакой в соответствии с уголовным законодательством. Прежде чем приступить к разработке теста, необходимо проверить права на все компоненты. Сюда входит аппаратное обеспечение (серверы), программное обеспечение (приложения) и другие сети (облачные сервисы и интерфейсы).
Тестирование на проникновение или IP-стресс?
Если вы поищете в интернете стресс-тест для собственных систем, вы быстро наткнетесь на так называемые IP-стресс-тесты. Эти поставщики услуг предлагают имитировать DDoS-атаки за небольшую плату. Однако здесь рекомендуется соблюдать предельную осторожность — многие операторы работают в серой правовой зоне. Если вообще не проверяется, от имени какого домена ведется атака, то поставщики услуг не только действуют крайне непрофессионально, но и совершают уголовное преступление. Работают ли IP-стресс-тесты легально или на самом деле маскируют криминальные услуги бутеров (DDoS по найму) покупателю зачастую не так просто понять. Веб-сайты намеренно оптимизируются для поисковых систем и разрабатываются, чтобы внушать доверие, и со стороны они могут выглядеть надежно. В итоге это может обернуться серьезными неприятностями.
Тест на проникновение основан на совершенно иной идее по сравнению с легальными IP-стресс-тестами: вместо имитации DDoS-атаки вместе с заказчиком разрабатывается индивидуальный пентест, включающий несколько уровней и факторов ИТ-риска. В случае DDoS-атак, например, это может означать использование нескольких различных методов атаки на всех уровнях, в то время как IP-тест обычно предполагает только атаки объемом (уровни 3, 4). Поэтому тот факт, что пентесты находятся в другом ценовом диапазоне, не должен вас расстраивать.