Как заказать пентест? Важные вопросы самому себе

Пентест — штука на первый взгляд простая: команда специалистов моделирует атаку на вашу компанию, чтобы понять, как далеко могут зайти настоящие злоумышленники. Для многих компаний это первая живая встреча с настоящим кибербезом. Не с политиками и галочками в документах, а с реальным пониманием: где у нас слабые места, крепки ли ИТ-рубежи, и насколько оправданы оказались инвестиции в кибербезопасность. Но и к самому пентесту, как и к остальным вопросам кибербеза, нужен грамотный подход. Чтобы извлечь максимум пользы из пентеста, собственнику бизнеса и генеральному директору имеет максимально честно ответить на несколько вопросов.

Если вы — компания, на которую направлены взоры регулятора вроде Центрального банка, либо в капитале которой участвует государство, выбирать особо не приходится: делать нужно. Если вы подобными обязательствами не скованы, то вы можете выбирать. Опций достаточно много — от аудита до анализа защищённости.

Поэтому давайте определимся с тем для чего может потребоваться пентест:

• Выявление уязвимостей: поиск слабых мест в программном обеспечении, настройках сети и защите данных.
• Оценка уровня безопасности: определение реальной способности компании противостоять атакам.
• Проверка эффективности мер защиты: тестирование работы антивирусов, межсетевых экранов, систем обнаружения вторжений (IDS/IPS).
• Снижение рисков утечек и взломов: защита персональных данных, финансовой информации, корпоративных секретов.
• Соответствие требованиям регуляторов: многие стандарты (ISO 27001, PCI DSS, GDPR) требуют регулярного тестирования на проникновение.
• Обучение персонала: демонстрация возможных угроз и подготовка сотрудников к их предотвращению.

Пентест — это когда вас взламывают, но об этом знает команда, ответственная за работу с ИБ-инцидентами. Они спокойно и часто даже с некоторым доброжелательным интересом смотрят, как около компании в киберпространстве шныряют доброжелательные «взломщики». Киберучения – событие совсем иного порядка. Это уже почти театр военных действий: команда атакующих (их называют red team) пытается получить контроль над системами и данными в обход действий защитников.

И пентест, и киберучения объединяет подход: игра против компании ведется реальными хакерскими методами. В рамках пентеста проверяется стойкость вашей инфраструктуры. А киберучения показывают, чего стоит ваша команда защиты. Очевидно, киберучения – штука гораздо более затратная. Red team – это целые коллективы хакеров, обладающих доскональным знанием принципов функционирования инфраструктуры и целым набором способов, как проникнуть внутрь периметра и/или получить доступ к конфиденциальным данным.

Сюрприз: выбирать лучше не по цене. Первый критерий – конечно, команда. Знать, кто возьмется за ваш проект – всегда хорошая идея. В случае, когда вам важен сам факт получения отчета для регулятора, не будет ничего страшного, если на проекте будут задействованы специалисты с не самым выдающимся опытом. Но, если, кроме документа о факте проведения пентеста, хочется получить реальную проверку киберустойчивости, то смотрите на сертификаты.

Высоко ценятся специалисты с сертификатами OSCP и CPTS. Несколько ниже в профессиональном сообществе котируется CEH. С ним успешное прохождение испытаний сводится к натаскиванию и зубрёжке и не всегда бьется с реальным навыком обладателя. Но сертифицируются не только члены команды, но и сами компании. Потому не лишним будет проверить наличие лицензий ФСБ и ФСТЭК. Без них отчеты пентестеров не имеют юридической силы и не могут быть аргументами в коммуникации с регуляторами (с тем же Центральным банком, например).

Ценообразование в сегменте услуг пентестов зависит от ряда факторов. На него влияют:

• Бренд исполнителя. Сервис от известной компании с громким брендом при прочих равных будет стоить дороже, иногда существенно: разница может на порядок. Да-да, в 10 раз!
• Сроки проекта. Две недели против месяца — в два раза больше человеко-часов. Лучше задать вопрос, чем обусловлена продолжительность пентеста.
• Масштаб проверки. Внешний периметр? Внутренняя сеть? Веб- или мобильные приложения? Всё сразу?

Также у провайдера услуг пентестов будет нелишним поинтересоваться, войдет ли в стоимость интерпретация отчета. Это довольно важная часть работы. Если она будет сделана хорошо, и если провайдер понятным для заказчика языком объяснит нюансы, то эти объяснения, вполне возможно, лягут в основу ИБ-стратегии заказчика. Вообще тема с трактовкой пентеста хорошая, мы обязательно вернемся к ней в одной из следующих статей.

В заключение скажем, что пентест имеет смысл заказывать, когда работа с корпоративным кибербезом пришла к некоему образу результата, и когда нужно понять, насколько осмысленными оказались вложения. Важно понимать: пентест — это срез состояния на конкретный момент времени. Если провести его один раз — это диагностика. Если делать регулярно — это уже часть реальной стратегии.