Читайте между строк. Как выбрать подрядчика для пентеста по примеру его отчёта

После того как заказчик дал себе честные ответы на вопросы из нашей предыдущей статьи, для него наступает время сделать следующий шагу – перейти к выбору поставщика услуги. Один из наиболее практичных и безопасных способов оценить будущего подрядчика - запросить у него обезличенный пример отчёта по пентесту.

Не переживайте: для этого не обязательно быть экспертом в ИБ и/или действующим CISO. Достаточно лишь внимательно прочитать отчет и выловить из него важные детали. Это и есть те самые нюансы, по которым различаются формальность и глубина, массовый продукт и работа по-настоящему вдумчивого исполнителя. Отчёт, как рентген, многое скажет о подходе команды: насколько она внимательна к контексту, как видит угрозы, что считает важным донести до бизнеса и технической команды.

Вот шесть признаков, по которым можно судить о зрелости и добросовестности провайдера пентеста - ещё до подписания договора.

Почему это важно. Качественный отчёт по пентесту начинается с краткой справки для первых лиц. Она помогает сразу увидеть картину в целом: что именно поставлено под угрозу, какие последствия возможны и почему этим стоит заняться всерьёз. Правильно составленное executive summary говорит на языке бизнеса. Например:

• «Уязвимость А может привести к шифрованию критически важных данных».
• «Благодаря уязвимости Б злоумышленники получают возможность атаковать ваших контрагентов».
• «Уязвимость В грозит утечкой персональных данных и, как следствие, рисками по 420-ФЗ».

Такая подача позволяет руководству оценить риски без раздражающего «продирания» через технические дебри. А значит, быстрее принять решение о дальнейших действиях.

Почему это важно. По-настоящему зрелая команда пентестеров не ограничивается списком уязвимостей. Она показывает, как из этих уязвимостей может быть собран вектор атаки - последовательность действий, которая приводит к реальному ущербу.

По отдельности уязвимости могут казаться незначительными, но вместе они образуют маршрут, которым вполне может пройти злоумышленник. Беспрепятственно двигаясь по этому маршруту от одного этапа к другому, злоумышленник набирает силу для решающего удара. Например, устаревший протокол, который давно никто не эксплуатирует, внезапно оказывается ключевым звеном в связке. И тогда именно его нужно устранять в первую очередь, потому что это разрушает стройность атаки и может остановить злоумышленника на полпути.

Почему это важно. В этой части отчёта особенно важна прозрачность: заказчик должен понять, как именно проводился тест и какие инструменты использовались. Признак зрелого подхода - упоминание методологии. Например, стандартов OWASP (Open Worldwide Application Security Project), NIST (National Institute of Standards and Technology) или других, с пояснением, как именно они были применены в конкретной проверке. Если использовалась собственная методика, она тоже должна быть описана ясно и убедительно.

Золотой стандарт - отчёт, в котором каждый этап пентеста снабжён скриншотами с датами, а также с указанием команд, использованных для проверки. Это не просто иллюстрации: такие материалы позволяют верифицировать работу. А при необходимости - воспроизвести её. Для команды ИБ заказчика это серьёзный актив: по этим материалам можно спланировать устранение уязвимостей и встроить работу с отчётом в свои процессы.

Почему это важно. Классификация по стандартам CVE, CVSS, ФСТЭК и другим помогает систематизировать уязвимости и определить приоритеты для устранения. Особенно ценны пояснения, почему та или иная уязвимость получила именно такой уровень критичности.

Важный нюанс: зрелый подрядчик обязательно указывает нюансы. Например, критичная уязвимость по классификатору может быть малореализуема в инфраструктуре конкретного клиента. В таком случае в отчёте будет зафиксировано, что приоритет её устранения умеренный, несмотря на высокий рейтинг. Это демонстрирует не просто техническую грамотность, а способность адаптировать рекомендации под реальные запросы бизнеса.

Почему это важно. Полноценный отчёт редко вмещает все детали в основной текст. Списки скомпрометированных учётных записей, таблицы проверенных портов, лог-файлы - всё это занимает десятки страниц текста и обычно выносится в приложения. И это правильно: такой формат позволяет сохранить читаемость отчёта, не жертвуя полнотой информации.

Профессиональный подрядчик укажет в тексте, где искать такие приложения, и снабдит их понятными заголовками. Заказчик сможет использовать эти данные самостоятельно: от смены паролей до корректировок политик безопасности и обучения сотрудников.

Почему это важно. Толковый отчёт не ограничивается сухим перечислением проблем. К каждой уязвимости в нём прилагается конкретная рекомендация: что именно нужно сделать, чтобы устранить пробел. Идеальный случай - когда рекомендации адаптированы под инфраструктуру заказчика.

Не стоит ожидать от отчёта готовых скриптов или блоков кода. Будем реалистами: пентестер - не DevOps-инженер и не системный администратор, и у него нет полной картины внутренней архитектуры клиента. Но в хорошем отчёте будет чётко сказано:

• какое правило стоит добавить в фаервол;
• какую настройку изменить;
• какие обновления установить — и как встроить их в регулярный цикл.

Если рекомендация выглядит обобщённой, это тоже сигнал добросовестности. Например: «Рекомендуется настроить автоматическую установку обновлений с официального сайта разработчика». Это означает, что специалист отдал себе отчёт: нельзя вмешиваться в продакшен-контур клиента без понимания последствий. И воздержался от опасных советов, которые могут нанести больше вреда, чем пользы.

Отчёт по пентесту - это проекция мышления команды, которую вы собираетесь нанять. Он показывает, как подрядчик расставляет акценты, насколько глубоко понимает риски, умеет ли говорить с бизнесом и не теряет ли здравого смысла в технических деталях.

Запрашивая обезличенный пример отчёта, вы не просто проверяете качество документа и легкость слога пентестера и технического редактора. Вы фактически устраиваете собеседование компании. И тот, кто в этом «интервью» показывает зрелость, системность и ясность, почти наверняка проявит эти качества в сотрудничестве с вами.