ИТ-безопасность и пентесты у всех на слуху. Соответственно, сегодня на рынке существует большой выбор компаний, которые проводят пентесты, но, на первый взгляд, у заказчика нет возможности определить, какие характеристики отличают хорошую компанию для проведения пентеста от плохой. На веб-сайтах и в информационных материалах все услуги выглядят одинаково. Соответственно, сравнение сложно для неспециалиста.
В нашем руководстве мы даем ценные советы и рекомендации о том, какие моменты следует учитывать при выборе подходящего поставщика пентестов и чем различные поставщики отличаются друг от друга.
Тест на проникновение (пентест) используется для поиска уязвимостей в инфраструктуре. При этом пентестер анализирует, как хакеры могут, например, получить доступ к вашим данным или парализовать ваш бизнес с помощью целенаправленной хакерской атаки.
Результаты анализа суммируются с советами и рекомендациями по дальнейшим действиям в отчете и отправляются клиенту, который может использовать их для укрепления своей системы и защиты ее от хакерских атак.
Ниже пять вещей, на которые стоит обратить внимание при выборе исполнителей.
1. ИСКЛЮЧИТЕЛЬНОСТЬ
В случае с компаниями, проводящими пентесты, всегда следует проводить различие между специализированными исполнителями, которые предлагают услуги исключительно в этой области, и компаниями, которые предлагают пентесты лишь как дополнение к какому-то пакету услуг. Чтобы накопить большой опыт в области ИТ-безопасности требуется время и множество индивидуальных проектов, а также постоянное обучение. Этого нельзя достичь только сертификацией.
Посмотрите, какие проекты специалисты по безопасности уже выполняли, каков был их объем, на чем сосредоточена работа консультантов по безопасности и так далее. Это даст вам представление о том, являются ли они настоящими специалистами в этой области.
2. ЦЕНООБРАЗОВАНИЕ
Пентест может быть полностью автоматизированным, частично или полностью ручным, стандартизированным или индивидуально подобранным. Заранее выясните, какой тип теста на проникновение является наиболее подходящим для вас.
Для полностью автоматизированного теста вам не нужен специалист; здесь программное обеспечение уже готовит соответствующий отчет. Однако результат полностью автоматизированного тестирования никогда не может быть таким же полным и качественным, как ручное тестирование, потому что некоторые уязвимости невозможно проверить автоматически.
Для полуручных или полностью ручных тестов вам нужны опытные специалисты, способные использовать не только готовые инструменты. Конечно, это будет отражено в цене.
Если цена и предлагаемые услуги не совпадают (как в большую, так и в меньшую сторону), то вам следует отнестись к этому скептически и более внимательно расспросить специалистов.
3. ИНДИВИДУАЛЬНОСТЬ
Многие поставщики услуг пентеста все чаще предлагают услуги по фиксированной цене, поскольку это упрощает процесс составления котировок для обеих сторон. Но как только у вас появляются индивидуальные пожелания или вы хотите, чтобы были проверены очень важные компоненты, оказывается, что это невозможно. Только действительно специализированные поставщики пентестов могут предложить вам пентест с учетом ваших потребностей. Если поставщик исключает возможность индивидуальных пожеланий, это, как минимум, говорит о значительно более низком уровне экспертизы.
4. ЗАКЛЮЧИТЕЛЬНЫЙ ОТЧЕТ
Итоговый отчет отличается уникальностью. Проверьте компанию и заранее узнайте из образцов отчетов, как будет выглядеть продукт, который вы получите в итоге и за который в конечном итоге заплатите — ведь сам по себе пентест не приносит вам никакой пользы.
Спросите, например, как оцениваются риски в отчетах и как структурирован отчет? Используются ли стандартные шаблоны или отчеты разрабатываются индивидуально?
5. РАСХОДЫ
Разумный пентест всегда согласуется с функцией тестируемой инфраструктуры. Если у вас один сервер с небольшим количеством функций, то тест, вероятно, пройдет очень быстро. Если у вас 100 серверов, то тест займет, соответственно, больше времени.
Поэтому стоимость проверки должна быть пропорциональна инфраструктуре. На вопрос «Сколько стоит пентест?» нельзя ответить однозначно.
Хорошим признаком добросовестной компании является то, что в процессе подготовки предложения задается много вопросов о вашей инфраструктуре, подлежащей тестированию, чтобы можно было как можно точнее согласовать тип и объем тестирования.
Убедитесь, что цифры кажутся вам обоснованными, и проверьте соотношение времени или размера инфраструктуры к усилиям по проведению пентеста чисто с логической точки зрения. Оцените правильную меру для себя и отличите разумное предложение от несоразмерного.