Пять «НЕ» при выборе команды пентеста

Александр Учителев

Руководитель направления presale по информационной безопасности компании ARinteg

Неминуемый разворот ИТ-отрасли от бумажной безопасности в практическую плоскость вывел сервис пентеста на вершину актуального тренда. Кого предпочесть из великого множества поставщиков услуги тестирования на проникновение? И если о ключевых факторах при выборе провайдера пентеста на страницах CyberMedia эксперты уже высказывались, то другая, но не менее важная сторона вопроса, незаслуженно осталась в тени. Предлагаю взглянуть на ситуацию с другой стороны и обратить внимание на то, что категорически нельзя сбрасывать со счетов при выборе команды пентеста.

«НЕ» №1. Не игнорируйте прошлые заслуги

До момента, когда ИБ-рынок в России оказался изолирован от остального мира, провайдеры услуг «этичного взлома» любили отстраиваться от конкурентов с помощью международных сертификатов. Это было удобно: тот же PCI DSS – неоспоримый знак качества компетенций поставщика сервисов для финансовой сферы. После отлучения российской ИБ-сферы доступ к сертификации серьезно усложнился – настолько, что большая часть компаний перестала отправлять сотрудников на экзамены.

Но значит ли это, что отсутствие сертификата отрицательно сказывается на наличии навыков? Конечно, нет. Сотрудник, которому хоть раз приходилось готовиться к международной проверке знаний и/или подтверждать собственный скилл, скорее всего, работает в рамках тех самых международных стандартов. Опыт свидетельствует: вообще все обладатели сертификатов внимательно следят за тенденциями глобальных ИБ, читают документацию, подтягивают знания и вообще стараются соответствовать актуальной профессиональной повестке просто потому, что по-другому уже не представляют своей работы.

Поэтому, выбирая поставщика сервиса пентеста, обязательно поинтересуйтесь у него наличием международных сертификатов в прошлом. А чтобы быть уверенным в квалификации на 100%, предложите ему прямо в ходе переговоров небольшое задание из соответствующего стека. При этом смотреть нужно на порядок выполнения операций, потому что подход, принятый в рамках международной сертификации, предусматривает именно корректную последовательность действий.

«НЕ» №2. Не тащите без надобности на проект топовых пентестеров из других отраслей

Стремление приглашать на свой проект «звезд» - понятное желание заказчика. Но оно совершенно не оправданно, когда пентестеры стяжали себе славу крутых «белых хакеров» в принципиально иной отрасли. Эксперты по этичному взлому обычно предпочитают иметь дело с компанией конкретной вертикали. Этому есть вполне экономическое объяснение: опыт, знание технологических стеков, а также специально написанное под конкретную область ПО (эксплойты, скрипты) позволяют проводить пентесты быстрее и меньшими ресурсами, зарабатывая в результате больше.

Вот почему команды с фокусом на пентесты организаций, в периметре которых есть АСУ ТП и КИИ, вряд ли имеет смысл звать на проведение пентеста в банке, где обычно требуется придерживаться стандартного набора шагов, и где от протокола проверки лучше не отклоняться. В банке будет разумнее привлечь менее дорогой коллектив, пусть даже с меньшим количеством заслуг.

Впрочем, исключения тоже возможны. Одна крупная финансовая организация регулярно «пересобирает» команду «этичных хакеров» просто для того, чтобы получить мнение ИБ-специалистов из принципиально иных отраслей. Да, это существенно увеличивает бюджеты регулярных пентестов, зато помогает CISO спать спокойно. Хакеры из других сфер привносят в тестирование на проникновение новые подходы ко взлому и иной софт. Конечно, не стоит забывать: такая всесторонняя оценка защищенности уместна только тогда, когда обязательный отраслевой минимум уже выполнен.

«НЕ» №3. Не бойтесь одиночек

В мире «белого хакинга» и один в поле воин. Более того, в индустрии «этичного взлома» привлекать талантливых одиночек – стандартная практика. Крупные заказчики, которые крайне ответственно относятся к оценке уязвимости ИБ-периметра, специально миксуют экспертов для всестороннего исследования прочности киберграниц своих компаний.

Для решения специфических задач поиск исполнителя именно среди одиночек будет более оправдан. Более высокая вероятность отыскать нужную персоналию – среди тех, кто не только систематически находит ошибки в ПО, но и вносит их в реестр уязвимостей. Одиночки подходят к учету собственных достижений особенно тщательно, поскольку из них в значительной степени формируется послужной список этичного хакера.

«НЕ» №4. Не стесняйтесь запрашивать рекомендации от коллег

В силу юридических особенностей взаимоотношений пентестеров с их заказчиками команды «белых хакеров» не всегда могут открыто говорить, с кем из клиентов и на каких проектах им удалось поработать. Поэтому искать рекомендации у коллег или в кулуарах конференций и специализированных ИБ-форумов – это хороший способ найти действительно толкового исполнителя и понять, в чем он действительно хорош, а на что в ходе проведения пентеста рассчитывать не приходится.

«НЕ» №5. Не выбирайте команду на разовый пентест

Стараниями ряда вендоров информационная повестка вокруг ИБ не на шутку разогрета: о защищенности или уязвимости своих компаний хотят знать даже те владельцы бизнесов, которые пару лет назад и не думали вникать в подобные тонкости. Поэтому, если вопросы о способах проверки защищенности компании от главного босса пока не поступали, ждите их совсем скоро.

Одновременно с этим настраивайтесь на регулярные пентесты и на выработку подходящих способов донесения информации до владельца компании. Обзор этих способов совершенно точно может стать темой для следующей статьи. Собственник по достоинству оценит, что ИБ-статус проверяется постоянно, что деньги на инфобез тратятся в рамках планомерной ликвидации слабых мест, а услуги пентеста помогают принимать правильные инвестиционные решения. Такой бизнес-ориентированный подход - залог того, что ценность CISO для владельца компании будет очевидна.

Заключение

Бывает, что прямые рекомендации по выбору команд или отдельных специалистов по пентесту существенно ограничивают заказчикам число доступных вариантов. Привычка принимать во внимание факторы, которые не ограничивают выбор – хороший способ придать объективности процессу подбора исполнителей.

Это особенно справедливо для организаций, которые стремятся сделать пентесты частью собственной доктрины практической безопасности. И где навыки и прошлый опыт исполнителей определят качество подобных проектов.