Как вы знаете, тестирование на проникновение играет важную роль в безопасности вашего бизнеса, поскольку оно позволяет защитить важную информацию клиентов и ваши системы от хакеров. Таким образом, выбор правильного специалиста по тестированию на проникновение имеет первостепенное значение. Вам нужен специалист по тестированию на проникновение, который обнаружит критические уязвимости в вашей системе и предоставит вам информацию, необходимую для повышения общей безопасности.
Вот 5 вопросов, которые помогут вам выбрать компанию для пентеста:
1. Какие сертификаты есть у ваших специалистов?
Существует множество сертификатов для пентестеров. Будь то CEH (сертифицированный этический хакер), CISSP (сертифицированный специалист по безопасности информационных систем), CCSP (сертифицированный специалист по безопасности облачных вычислений), OSCP (сертифицированный специалист по наступательной безопасности), LPT (лицензированный пентестер), диплом об образовании и так далее. Каждая сертификация приносит новый набор навыков и методов, помогающих тестировщикам в их оценке. Прежде чем выбрать компанию, вы должны узнать о сертификатах, которые имеют специалисты. Это даст вам лучшее представление об опыте, который они предоставят вам, а также об основных стандартах кибербезопасности, которые использует компания. Вы также можете спросить, кто будет выполнять ваш тест и какие сертификаты имеют, например, младшие члены их команды.
2. Каковы ваши методологии?
Когда вы нанимаете поставщика услуг по тестированию на проникновение, вы хотите быть уверены, что он даст реальные практические результаты. Чтобы получить представление о качестве тестирования, вам необходимо узнать об используемых методологиях тестирования. Важно проверить два ключевых элемента:
- Компания имеет структурированный подход к тестированию на проникновение. Он имеет хорошо зарекомендовавшие себя и задокументированные методы, которые позволяют эффективно и систематически выявлять уязвимости в заданном тесте.
- Компания использует комбинацию инструментов и ручных методов. Если компания использует только автоматизированные инструменты, вы платите за тест, который ваша ИТ-команда могла бы провести самостоятельно, можете быть уверены, что специалисты этой компании пропустят серьезные уязвимости, которые могут активно использовать хакеры.
3. Может ли тестирование нарушить повседневную работу?
Тесты на проникновение, несмотря на их необходимость, остаются симуляцией кибератаки. В зависимости от строгости или опыта вашего поставщика, тестирование на проникновение может вызвать много неудобств для команды и простой для ваших клиентов. В процессе выбора компании вы должны отдавать предпочтение той, которая понимает потенциальные опасности, принимает необходимые меры для смягчения любого потенциального воздействия и будет работать с вами, чтобы гарантировать, что во время теста не возникнет никаких перерывов в обслуживании или неудобств. Вы можете самостоятельно сообщить им о том, какие части системы лучше не трогать.
4. Используете ли вы субподрядчиков?
Когда вы заказываете пентест, вы хотите знать, с кем вы работаете. Настоятельно рекомендуется искать компанию, которая выполняет работу сама, а не отдает ее субподрядчикам. Во время тестирования ответственные специалисты могли получить доступ к очень конфиденциальным данным или выявить уязвимости, которые могут серьезно повлиять на ваш бизнес. Когда проекты передаются на аутсорсинг, возникает много проблем, связанных с конфиденциальностью и подотчетностью. Признанные поставщики и опытные компании проверяют своих кандидатов, требуют тщательной проверки биографических данных каждого тестировщика и принимают различные меры для обеспечения конфиденциальности ваших данных.
5. Что включает в себя ваш окончательный отчет?
Отчет является наиболее важной частью оценки. Среди различных элементов, которые должны появиться в отчете о тестировании на проникновение, в него желательно включать разделы с краткой информацией об отчете для заинтересованных сторон с меньшими техническими знаниями, технический раздел с подробным описанием масштабов каждой уязвимости, шаги для вашей айти-команды по повторению проверки указанных уязвимостей, рекомендации по устранению уязвимостей, адаптированные персонально для вас. Отчет о качестве также включает оценку риска, чтобы вы могли расставить приоритеты для каждой уязвимости и разработать план действий.
6. Как вы поможете нам исправить наши уязвимости?
Поиск уязвимостей — это только часть того, чего вы хотите достичь с помощью теста на проникновение. Когда вы нанимаете сантехника, вы, конечно же, ожидаете получить больше, чем отчет, объясняющий, как засорились ваши трубы. Для тестирования на проникновение вам следует нанять компанию, которая не только представляет свои выводы и практические рекомендации с внешними ссылками, но и которая после тестирования также помогает вашей команде исправить эти уязвимости. Это включает в себя повторное тестирование любых критических уязвимостей для проверки реализации рекомендуемых корректирующих действий. Если вы ищете тест на проникновение, обязательно спросите, как специалисты помогут вам исправить ваши уязвимости, обычно это является отдельной услугой, но она будет очень эффективна, ведь специалистам не придется заново разбираться в уязвимостях системы.