Тестирование на проникновение невероятно важно для кибербезопасности вашей компании. Однако, как и во всем остальном, важно сбалансировать стоимость теста на проникновение с окупаемостью инвестиций. К сожалению, иногда трудно ответить на вопрос о цене напрямую, просто взглянув на веб-сайт компании, занимающейся кибербезопасностью, потому что существует очень много факторов, влияющих на определение стоимости теста на вторжение.
Вот 5 факторов, которые определяют стоимость теста на проникновение:
1. Масштаб проекта и требуемый уровень усилий
Проще говоря, более крупные тесты требуют от пентестера больше времени и, следовательно, обходятся дороже. Это может показаться достаточно простым, но существует множество элементов, влияющих на размер проекта и усилия, необходимые для выполнения теста на проникновение.
Усилия, необходимые для теста на проникновение в сеть, будут сильно различаться в зависимости от объема IP-адресов и внутренних серверов, на которые нацелен тест. На цену также повлияет количество устройств в сети, что требует дальнейшего анализа специалистом для определения полного влияния уязвимости на сеть.
Для теста на проникновение веб-приложения усилия сильно различаются в зависимости от функциональных возможностей, доступных в приложении, и технологий, которые сделали возможной его разработку. Например, веб-приложение с функцией аутентификации, которое также обрабатывает платежи по кредитным картам, потребует больше усилий, чем приложение без какой-либо функции. Кроме того, приложение, предлагающее различные функциональные возможности как для аутентифицированного пользователя, так и для неаутентифицированного пользователя, также может потребовать нескольких этапов, чтобы убедиться, что каждый рабочий сценарий был протестирован.
Кроме того, в некоторых случаях расширенное тестирование, такое как тестирование на проникновение SCADA/ICS, может потребовать присутствия специалиста на месте для тестирования компонентов и устройств, к которым нет доступа в другом месте. Например, на вашем объекте может потребоваться присутствие специалиста по тестированию на проникновение, чтобы убедиться, что ваша промышленная сеть правильно сегментирована и не может быть потенциально взломана злоумышленниками, как внутри вашей компании, так и за ее пределами.
Кроме того, на стоимость теста на проникновение могут повлиять и другие факторы, в том числе состояние целевой системы. Например, работающая в настоящее время промышленная сеть, которую невозможно воспроизвести в тестовой среде, потребует от специалистов более внимательного подхода. В некоторых случаях это ограничение заставит их использовать определенные методы, которые не нарушат целостность системы и не вызовут сбоев в производственной линии, что потребует более длительных усилий для выполнения.
2. Подход (автоматический или ручной)
Подход, используемый во время теста на проникновение, является одним из основных факторов, определяющих время, затрачиваемое на анализ. Автоматизированное тестирование часто рассматривается как недорогое решение для проведения тестирования на проникновение, но оно выполняется в разных контекстах и не должно ошибочно интерпретироваться как эквивалентное, поскольку дает совершенно разные результаты.
Автоматизированные тесты
Автоматическое тестирование на проникновение, также известное как сканирование уязвимостей или сканеры уязвимостей, является недорогим и эффективным средством выявления распространенных неправильных конфигураций, устаревшего программного обеспечения и известных уязвимостей в ваших системах. Сканирование уязвимостей предоставляет список известных уязвимостей, связанных с технологиями, доступными в вашей экосистеме, что часто приводит к ложным срабатываниям или ложным отрицательным результатам, которые ИТ-отделы считают точными. Неверная интерпретация этих ложных срабатываний может привести к пустой трате времени и ресурсов вашей ИТ-команды, пытающейся исправить уязвимость, которая не существует или практически не влияет на фактическую безопасность вашей компании.
Ручные тесты
Ручное тестирование на проникновение выходит за рамки выявления уязвимостей. Ручной тест на проникновение направлен на проверку наличия уязвимостей в ваших системах и использует их, чтобы предоставить доказательства их потенциального влияния на ваш бизнес. Этот подход требует глубоких знаний различных языков программирования, технологий и сред, чтобы эксплуатировать уязвимости с использованием передовых методов и инструментов, используемых хакерами. Это поможет организации лучше оценить прямое воздействие, которое может оказать хакер, если воспользуется этой уязвимостью. Эти тесты основаны на признанных методологиях, включая OSSTMM или OWASP, чтобы лучше понять уязвимости в вашей системе и способы их использования. Из-за своей природы ручное тестирование требует от пентестера значительно больше времени и усилий, чем автоматизированное тестирование. В результате ваши заинтересованные лица могут полагаться на результаты ручного теста на проникновение для принятия решений, которые защитят их системы от кибератак, гарантируя прямой возврат их инвестиций.
3. Цели, которых вы хотите достичь
Стоимость теста на проникновение также может сильно различаться в зависимости от конкретных целей, которые компания планирует достичь с помощью этих тестов.
Например, нормативные требования PCI-DSS, предусматривающие ежегодное тестирование на проникновение, требуют доказательств того, что любые уязвимости в системах обработки карт, которые можно использовать, были должным образом устранены. В некоторых случаях может потребоваться второй этап тестирования, чтобы доказать, что уязвимости, выявленные во время первоначального тестирования, были успешно исправлены.
В некоторых случаях компании проводят тестирование в рамках своего цикла разработки, прежде чем выпускать новую функцию для приложения. Объем теста будет сосредоточен на недавно добавленных функциях, а не на всем приложении, что потребует меньше усилий и значительно снизит стоимость теста на проникновение.
В других случаях компаниям, стремящимся выполнить минимальные требования своего торгового партнера, может потребоваться только протестировать конкретное приложение или сеть, совместно используемую обеими сторонами, чтобы выполнить их требования, что требует меньше усилий.
4. Уровень экспертизы
Качество и стоимость теста на проникновение часто различаются в зависимости от уровня знаний специалистов, отвечающих за проведение вашего теста, поскольку они будут иметь прямое влияние на возврат ваших инвестиций.
Большинство высококвалифицированных тестировщиков на проникновение прошли различные сертификации, такие как GWAPT, которые требуют обширного и углубленного обучения, чтобы получить сертификат. Эти сертификаты, обычно очень дорогие для тестировщиков на проникновение, дают некоторый практический опыт использования и документирования уязвимостей в самых сложных средах и сценариях, встречающихся в отрасли. Некоторые из этих сертификатов требуют, чтобы специалист по тестированию прошел интенсивную оценку продолжительностью до 48 часов.
Эти сертификаты в сочетании с многолетним опытом работы в отрасли обеспечивают надежные результаты, которые можно использовать для принятия точных решений, помогая заинтересованным сторонам вашего бизнеса вкладывать свои ценные ресурсы в области с наибольшими рисками, что объясняет их влияние на стоимость теста на проникновение.
5. Тип теста на проникновение
Усилия, необходимые для выполнения теста на проникновение, также будут варьироваться в зависимости от компонентов, на которые нацелен тест. Тестирование на проникновение веб-приложений, например, требует более тщательного тестирования, потому что тестировщики на проникновение ищут сложные логические недостатки, которые часто появляются во время разработки приложений.
Для некоторых типов расширенного тестирования, таких как тестирование на проникновение IoT, могут потребоваться дополнительные исследования и обратный инжиниринг, чтобы узнать больше о возможностях использования данной технологии. Следовательно, тип необходимого вам тестирования на проникновение может существенно повлиять на требуемые усилия и, следовательно, напрямую повлиять на стоимость вашего тестирования на проникновение.
В заключение
Прежде чем компания сможет предоставить вам оценку стоимости теста на проникновение, необходимо определить и детально проработать многие факторы (такие как масштаб проекта и контекст, в котором он будет проводиться). Чтобы обеспечить максимально возможную производительность вашего теста на проникновение, вы должны учитывать несколько факторов, таких как уровень знаний и подход, используемый для теста.
