Проведение пентеста (теста на проникновение) имеет свою стоимость. Стандартной цены на этот вид услуг не существует: все зависит от функциональной сложности цели, объема и желаемого уровня глубины тестов.
Если главная цель — иметь возможность показать, что пентест был проведен менее 6 месяцев назад, можно пойти на уступки, чтобы соблюсти крайне ограниченный бюджет.
Цель данной статьи — не поощрять компании выбирать «ухудшенные» услуги по бюджетным причинам, а предложить конкретные решения для тех, кто испытывает реальные проблемы с бюджетом, но при этом испытывает острую необходимость в проведении пентеста. Это особенно актуально для молодых начинающих компаний, которые находятся в процессе продажи своего решения крупным заказчикам и которые иногда блокируются из-за невозможности предоставить отчет по пентесту. В идеале, у них должно быть достаточно бюджета для проведения тщательного теста на проникновение, но, к сожалению, это не всегда возможно.
Ценность проведения «мини» пентеста
Пентест остается лучшим способом оценить уровень безопасности системы или платформы. Помимо анализа принятых технических решений и установленных средств защиты, на практике проверяется возможность обнаружения и использования недостатков безопасности. Этот подход является качественным и идет дальше, чем автоматическое сканирование.
Пентест можно провести, сократив объем и/или глубину аудита. Это позволяет ограничить время, затрачиваемое на тесты на проникновение, и, следовательно, стоимость услуги. В «крайнем» случае пентест может быть ограничен только 1 человеко-днем, что эквивалентно проведению «мини» пентеста.
В действительности, у каждого пентеста есть свои пределы. Почти всегда можно потратить больше времени, чтобы охватить более широкий периметр или продвинуть анализ дальше. Аналогично, сверхмотивированный хакер всегда сможет потратить больше времени на попытку взлома цели, если это того стоит. Поэтому для компании, желающей провести пентест, важно определить его с точки зрения проблем безопасности, уровня риска, приоритетов в плане защиты и коммуникации на уровне безопасности.
«Мини» пентест имеет следующие преимущества:
- Провести первоначальную оценку уровня безопасности конкретного объекта: веб- или мобильного приложения, IoT-решения, инфраструктуры, сети и т. д.
- Поиск основных уязвимостей. Например, для пентеста веб-приложений это будет включать сканирование уязвимостей, входящих в топ-10 OWASP.
- Возможность исправления выявленных уязвимостей, что в некоторых случаях означает значительное повышение уровня безопасности рассматриваемого объекта.
- Получение первого отчета по пентесту.
В зависимости от результатов пентеста будет достигнута одна из следующих ситуаций (или промежуточная между этими двумя ситуациями):
- Либо мини-аудит выявляет значительные недостатки, что означает значительный прогресс в области безопасности после недорогого аудита;
- Либо мини-аудит не выявляет никаких недостатков, что означает получение ценного для компании-клиента отчета по пентесту.
Подход «мини» пентеста интересен для объекта в производстве (для которого необходимо получить первоначальную обратную связь по безопасности) или для объекта в стадии разработки (например, приложение в стадии разработки).
Ограничения «мини» пентеста
Конечно, «мини» пентест подходит не для каждой компании. Во многих случаях это бесполезная услуга, поскольку она слишком поверхностна.
В некоторых случаях пентест, рассчитанный на 5 человеко-дней, также может считаться «мини» пентестом, учитывая проблемы безопасности компании и, следовательно, необходимость более всестороннего анализа. Цели, которые необходимо достичь, всегда должны рассматриваться в перспективе с учетом средств, которые будут выделены для их достижения.
Кроме того, для компаний, решивших провести «мини» пентест, это обычно является шагом к внедрению регулярных тестов на проникновение или даже других мер безопасности. Это способ начать работу, зная, что результаты первого пентеста могут привести к осознанию на уровне технической команды или на уровне руководства.
Даже в очень краткосрочной перспективе за «мини» аудитом обычно следуют вопросы:
- Если «мини» аудит выявил серьезные недостатки, у компании может возникнуть соблазн провести встречный аудит после устранения уязвимостей или даже повторить аудит в надежде получить более ценный аудиторский отчет;
- Если «мини» аудит не выявил никаких недостатков, компания может задуматься об уместности объема и продолжительности проверок и, возможно, захочет быстро провести более глубокий аудит для самоуспокоения.