Пентест адаптируется к целям безопасности и масштабам анализа. Если конечные клиенты в первую очередь сосредоточены на защите своих данных, то сначала можно проверить возможности доступа к онлайн-решению извне. Если это SaaS-решение (многопользовательское), то сначала также следует проверить возможность доступа к учетной записи клиента через другую учетную запись клиента. Если целостность пути клиента является основным вопросом, приоритет должен быть отдан тестированию всего пути клиента на наличие технических и логических уязвимостей. Если непрерывность обслуживания имеет решающее значение, в пентест следует включить тестирование DoS. И так далее, в том числе пентест адаптируется к стартапам, учитывая их потребности на рынке.
Результаты также адаптируются к конечным целям. В дополнение к техническому отчету, который является основным результатом, где описывается каждая выявленная уязвимость и технические исправления, которые должны быть реализованы, можно получить различные результаты, более ориентированные на коммуникационные цели:
- отчет о встречном аудите, подтверждающий устранение уязвимостей.
- нетехническое резюме для руководства или внешних партнеров.
- сертификат аудита безопасности или печать безопасности, позволяющая осуществлять общую коммуникацию без раскрытия деталей проведенного пентеста.
Адаптация теста к темпам производства
Пентест можно проводить через регулярные промежутки времени. Проведение регулярных пентестов позволяет достичь нескольких целей: постепенное тестирование объема (проведение нескольких «маленьких» пентестов, распределенных во времени, вместо «большого» пентеста за один раз), тестирование исправлений, внедренных после предыдущих пентестов, и тестирование новых разработок по мере их внедрения в производство.
Для стартапа, разработавшего продукт (веб/мобильный /IoT), регулярное тестирование новых разработок является важной задачей для обеспечения безопасности продукта. Часто возникает вопрос о правильной частоте проведения пентестирования: каждый год? каждые полгода? каждый квартал? каждый месяц?
Правильный ответ зависит от нескольких факторов: критичности цели (или уровня требований конечных клиентов), скорости выпуска продукции и способности технической команды интегрировать обратную связь по безопасности по мере необходимости. Для большинства стартапов правильным балансом является соотношение между одним пентестом в семестр и одним пентестом в квартал (т. е. от 2 до 4 пентестов в год). В случае особо критичного решения (например, методы оплаты) можно сохранить темп в один пентест в месяц. В этом случае тесты короче и сосредоточены на последних изменениях, чтобы предотвратить любую возможность появления дыр в системе.
В некоторых случаях сохраняется норма в один пентест в год. В этом случае это очень полный пентест, который позволяет глубоко протестировать новую версию решения с акцентом на все функциональные возможности. Это соответствует стартапам, которые относительно автономны в вопросах безопасности и чьи конечные клиенты не нуждаются в просмотре последних отчетов.
Адаптация пентестирования к растущему уровню подверженности рискам
Хотя киберриски затрагивают всех и не существует такого понятия, как нулевой риск, существуют различные уровни подверженности риску. Например, стартап, публикующий методы онлайн-платежей или криптовалютную платформу, представляет собой более критическую цель, чем стартап, предоставляющий услуги между физическими лицами.
Но уровень подверженности риску зависит не только от основной деятельности. Стартап, который привлек несколько миллионов евро, повышает свою узнаваемость в СМИ и стремится увеличить свою долю рынка, что также повышает киберриски. Приобретение первых клиентов или партнеров с крупными счетами повышает требования к кибербезопасности. Кроме того, по мере роста многие стартапы вынуждены разрабатывать новые услуги или продукты, тем самым расширяя свой портфель и поверхность атаки. С увеличением числа сотрудников растет и организационная сложность, что влечет за собой необходимость в большем количестве процессов и средств контроля безопасности, а также увеличивает риск атак с применением социальной инженерии.