Необходимо учитывать стадию развития и уровень риска, чтобы реализовать стратегию пентестов, адаптированную к реалиям стартапов. Вопреки распространенному мнению, очень молодой стартап может начать пентестирование на ограниченном периметре с очень небольшим бюджетом. Включение первоначальной обратной связи по безопасности с помощью мини-пентеста даст стартапу возможность убедиться в прочности его основ и при необходимости быстро исправить некоторые технические решения. Затем, по мере продвижения сессий, можно предусмотреть постепенное проведение пентеста: немного более глубокие тесты на определенные особо чувствительные функции, затем все более полные тесты в техническом масштабе, затем тесты, интегрирующие атаки социальной инженерии, затем углубленный обзор облачной инфраструктуры и т.д. Такая работа позволяет постепенно поддерживать стартап в его конкретных вопросах безопасности, адаптируя тесты к приоритетным вопросам и бюджету.
Дополнительные тесты: сканирование уязвимостей, «баг баунти» и т. д.
Сканирование уязвимостей (автоматический поиск) и платформы «баунти» (краудсорсинг) являются дополнительными решениями. В промежутке между двумя сеансами пентестирования эти решения обеспечивают непрерывное тестирование, но каждое из них отвечает разным потребностям.
Для тестирования безопасности большого портфеля или большого количества целей подходящим решением является сканирование уязвимостей. Они способствуют первому уровню тестирования на очень большом периметре в дополнение к регулярным тестам на проникновение на наиболее важных и/или технически представительных целях. Когда объем целей меньше, сканирование уязвимостей также может быть первым шагом в «черновой» работе перед тестом на проникновение. Однако следует помнить, что работа с этими инструментами требует времени и навыков, в то время как пентестинг может выявить недостатки первого уровня (в дополнение к сложным недостаткам) без дополнительных затрат.
Для тестирования безопасности критически важного объекта, выставленного в Интернете, интересным решением является баг-баунти. Оно позволит искать редкие дефекты без ограничений по времени, поскольку некоторые исследователи согласятся потратить много времени на поиск зацепки в обмен на привлекательную бонусную перспективу (приписываемую только в случае окончательной идентификации дефекта). Это будет дополнением к обычным тестам на проникновение, которые методично и всесторонне охватывают периметр.
Выбор поставщиков услуг безопасности и пентестов для стартапа
При выборе поставщика услуг безопасности возникает вопрос, выбрать ли компанию, предлагающую разные услуги по кибербезопасности, или гиперспециализированную компанию. В одном случае преимуществом будет наличие единой точки входа для различных видов услуг. В другом случае преимуществом будет сосредоточение на очень сильной экспертизе в определенной области (например, пентестинг).