Должны ли вы перед началом теста на проникновение (пентеста) представлять свой продукт или решение пентестерам (специалистам, отвечающим за аудит безопасности)? Все зависит от вашей ситуации и ваших целей!
В чем преимущества отказа от демонстрации перед тестом на проникновение?
Если вы хотите оценить безопасность вашего решения в реалистичных условиях, максимально приближенных к кибератаке, предпочтительнее не проводить демонстрацию для пентестеров. Во время теста на проникновение они узнают о решении во время подготовки, из информации, доступной в Интернете, и в процессе атаки. Они ставят себя на место атакующего, следуют тем же путем мысли и видят те же уязвимые места.
Предоставление пентестерам возможности ознакомиться с вашим продуктом или решением имеет дополнительное преимущество, поскольку позволяет им по-новому взглянуть на ситуацию. Более того, они не будут фокусировать тесты на указанных вами элементах, а сами определят приоритетные атаки в соответствии с собранной информацией.
Отказ от представления своего решения хорош для продуктов, которые функционально просты в использовании. Пентестеры имеют опыт тестирования различных решений, что позволяет им определить рабочие процессы продукта без необходимости презентации.
Такой подход без демонстрации соответствует внешнему тесту на проникновение (external pentest). В качестве злоумышленника, имеющего доступ в Интернет к вашему решению, пентестеры находят и тестируют элементы, которые доступны всем. Эти элементы, доступные и открытые в Интернете, являются частями, которые необходимо тщательно контролировать, поскольку они подвержены общим или целевым атакам. Тест на проникновение может быть аудитом «черного ящика» (Black Box pentest) или аудитом «серого ящика» (Grey Box pentest).
Каковы преимущества проведения демонстрации перед тестом на проникновение?
Презентация вашего решения перед началом теста на проникновение имеет то преимущество, что дает пентестерам хорошее понимание продукта. Это актуально для сложных бизнес-решений, для которых рабочий процесс специфичен и связан с сектором деятельности. Таким образом, проводимые атаки будут разумными по отношению к конкретным задачам бизнеса. Хорошее понимание бизнес-логики также необходимо для тестирования логических недостатков.
Наличие демонстрационной версии также является преимуществом при проведении углубленных тестов на проникновение, целью которых является детальная оценка безопасности решения. Заранее зная, как сформулированы функции, легче их тестировать, чтобы не забыть элементы, которые используются в продукте. Это также подходит для продуктов, которые развиваются функционально или для которых регулярно добавляются новые функциональные возможности.
Наконец, презентация позволяет пентестерам составить план атаки в начале теста на проникновение, чтобы оптимизировать время, отведенное на аудит безопасности. Таким образом, они непосредственно нацеливаются на важные элементы, подлежащие тестированию, поскольку знают, как работает ваш продукт.
