Dileme odabira
Sjajno, izbacili ste zahtjev za penetracijsko testiranje i javilo vam se nekoliko ponuđača, možda ste imali i prezentacije s nekima od njih i sada trebate nekog odabrati. Međutim, kako uopće prepoznati tko je idealan haker za vaše potrebe? Vrijeme je za odgovor na pitanje kako prepoznati kvalitetnog ponuđača usluga penetracijskog testiranja. Postoji nekoliko tvrtki u Hrvatskoj koje se bave provođenjem penetracijskih testiranja. Neki su dulje prisutni na tržištu, neki imaju više zaposlenika, a sve to može biti faktor u konačnoj odluci. U praksi se, međutim, pokazalo da je često glavni kriterij cijena. Jasno je da korisnici na raspolaganju imaju ograničen budžet za izvođenje ovakvog testa, a njega određuje uprava ili direktor. S obzirom na to da želite dobiti maksimalnu pokrivenost za što manje novca, treba postaviti i pitanje zašto određeni ponuđač nudi svoju uslugu po određenoj cijeni. Osim što cijena može biti posljedica tržišne utrke, može biti i pokazatelj stručnosti ponuđača. U moru sigurnosnih certifikata i stručnih edukacija na temu penetracijskih testiranja, postoje certifikati koji zahtijevaju demonstraciju vještina hakiranja u realnim scenarijima (Offensive Security certifikati) i oni koji se više orijentiraju prema teoretskoj podlozi (CEH, GPEN itd.). Idealno je da ponuđač ima čim više i jednih i drugih. Svi ti certifikati imaju svoju cijenu i osiguravaju određenu razinu stručnosti osoba koji ih posjeduju, a ta stručnost može povećati iznos izvođenja testa. S druge strane, ako želite da test bude čim temeljitije i preciznije izveden, stručnost ponuđača mora igrati visoku ulogu u odabiru. Osim toga, korisnik bi trebao obratiti pozornost i na reference koje ponuđač ima. Ovo doduše treba uzeti sa zrnom soli, prvenstveno zato što zbog vrlo osjetljive prirode posla, kompanije koje se bave cyber sigurnošću često ne smiju govoriti o odrađenim projektima, odnosno nemaju javne reference korisnika kod kojih je izvršeno testiranje. Međutim, ako među javnim referencama postoje korisnici iz grane kojom se bavite, to može biti dobar kriterij za odabir. Kako je rezultat testiranja izvještaj sa svim detektiranim sigurnosnim manjkavostima, kvalitetan izvještaj također mora biti faktor. Svaki izvještaj mora sadržavati opis ranjivosti, dokaz da je ona doista i prisutna na sustavu, kao i preporuke za otklanjanje. U dijelovima izvještaja koji se tiču postojećih ranjivosti, prednost imaju ponuđači koji su sistem integratori i imaju stručnjake ne samo u napadačkom, već i u obrambenom dijelu sigurnosti, kao i u drugim sferama informacijskog sustava. Sugestije koje ovakvi ponuđači daju često sadržavaju konkretne primjere, savjete za poboljšanje koda, sigurnosne zakrpe koje treba primijeniti i slično, što je naravno vrlo korisno u procesu otklanjanja ranjivosti. Preporuka je i da tražite ogledni izvještaj prilikom odabira ponuđača.
Kako koristiti penetracijsko testiranje u kontekstu vlastite informacijske sigurnosti?
Recimo da ste napravili sve pripremne radnje, definirali opseg i da je uspješno izvršeno penetracijsko testiranje – što sad? Rezultat dobro napravljenog penetracijskog testiranja je izvještaj koji sadrži pregled testiranog sustava iz očiju potencijalnog napadača, detaljan opis svih detektiranih ranjivosti, procjena rizika za svaku od njih, ali isto tako, kvalitetan izvještaj mora dati jasne i primjenjive sugestije za uklanjanje rizika prisutnih na sustavu. Preventivnim testiranjima se identificiraju slabe točke nad kojima je dobro povećati nadzor dok se one ne saniraju, te se uvelike smanjuje rizik od proboja sustava, curenja informacija ili prodora malicioznog softwarea (malware) u mrežu korisnika i diže svijest o informacijskoj sigurnosti u cijeloj tvrtki. Korisnici mogu steći osjećaj koji dijelovi sustava su im najizloženiji i predstavljaju potencijalni rizik, te poduzeti korektivne mjere zaštite, planirati nadogradnje itd. Ako je sve odrađeno kvalitetno, trebali biste imati jasnu sliku o razini vlastite informacijske sigurnosti te o pojedinim područjima koje je potrebno doraditi.
Sadržaj je nastao u suradnji s tvrtkom Combis
Izvor fotografija: shutterstock.com