Здравствуйте, дорогие друзья.
Недавно мы определили три критерия, по которым можно оценить наилучший метод пентеста, и углубились в фактор скорости. Если Вы не читали эту информацию, вот разбивка трех ключевых показателей, которые мы используем для сравнения различных методик пентеста, их общей эффективности и соответствия потребностям организации.
· Качество/эффективность: Эффективность измеряет способность метода обеспечивать надежное и точное обнаружение уязвимостей, всесторонний охват системы, соответствие стандартам и разнообразную команду тестирования для учета нюансов.
· Скорость/эффективность: Эффективность связана с эксплуатационными преимуществами метода, такими как простота и оперативность получения услуг пентеста, немедленная выдача результатов и аналитики, непрерывная и прозрачная коммуникация и легкая интеграция SDLC.
· Ценность: Ценность исследует рентабельность инвестиций в метод, уделяя особое внимание масштабируемости, как материальным, так и нематериальным результатам пентеста, и его успеху в снижении рисков.
Имея в виду эти категории, давайте более подробно рассмотрим фактор "эффективности" и посмотрим, как оценивается каждая альтернатива тестирования безопасности.
Варианты пентеста
Сфера тестирования безопасности разнообразна, и игроки предлагают множество методологий и вариантов пентеста, удовлетворяющих различным потребностям организаций. Понимание этих методов имеет решающее значение для выбора стратегии пентеста, которая наилучшим образом соответствует Вашим потребностям в области безопасности, но это непростая задача. Вот основные методы пентеста, используемые в настоящее время:
· Традиционный пентест с помощью консультантов: Услуги пентеста предоставляются профессиональными поставщиками услуг, в основном с привлечением своих штатных пентестеров или долгосрочных подрядчиков.
· Традиционный пентест как услуга (Paas): По сути, традиционный пентест с дополнительным пользовательским интерфейсом.
· Пентест как услуга, управляемый сообществом (Paas): Современная эволюция пентеста, использующая коллективный опыт глобального сообщества проверенных исследователей в области безопасности.
· Автоматизированное пентестирование: Включает автономные подходы, основанные на алгоритмах генеративного искусственного интеллекта (GenAI) и передовых моделях машинного обучения, использует предопределенные сценарии или инструменты для систематического сканирования и оценки систем на наличие уязвимостей на основе распознанных сигнатур или шаблонов.
Проблема эффективности Пентеста
Когда дело доходит до пентеста, организации часто разочаровываются в одном: в кадровом резерве исследователей. Хотя в игру вступают и другие факторы, такие как актуальность и серьезность обнаруженных уязвимостей, и универсальность тестирования, все эти элементы начинаются с пентестеров.
“Когда клиенты рассказывают мне о своем опыте работы с традиционными поставщиками, они упоминают, что часто не получают целую команду опытных пентестеров. Чаще всего они получают команду, состоящую в основном из младших пентестеров с ограниченным опытом, которые работают с более старшим пентестером с большим опытом. В результате старший пентестер вынужден распределять свое время между тестированием, обучением и отчетностью, и клиент не получает полной отдачи”.
— Спенсер Чин, старший менеджер по продажам, HackerOne
Но если у служб безопасности будет доступ к элитным пентестерам, разве они не получат результаты высочайшего качества?
Измерение эффективности Пентеста
При оценке вариантов тестирования безопасности первостепенное значение имеет качество результатов и то, насколько легко они интегрируются в существующие процессы SDLC. Это сравнение разбивает каждый подход, оценивая производительность и результативность тестирования.
· Глубина и актуальность: Учитывает, как значимость обнаруженных уязвимостей, так и потенциальное воздействие, делая акцент на качестве, а не на количестве
· Предоставление отчета и соответствие требованиям: Основное внимание уделяется ясности и практичности окончательного отчета об испытаниях, обеспечивая при этом соблюдение стандартов и предписаний по обеспечению безопасности.
· Разнообразие талантов: Отражает разнообразие навыков, квалификаций и методик тестирования пула пентестеров, подчеркивая сочетание сертификаций, обучения, различных подходов к тестированию и возможность ротации между тестами
· Охват и универсальность: Демонстрирует тщательность пентеста по всем критическим компонентам, подчеркивая при этом адаптивность подхода, включающего такие методы, как поиск ошибок или проверка исходного кода
Наша методология оценивает различные подходы к пентестированию по ключевым параметрам эффективного тестирования безопасности, используя шкалу от низкого до высокого. Хотя результаты указывают на предпочтительный метод, важно понимать, что наша система оценки отражает общие характеристики каждого типа тестирования безопасности. Фактическая эффективность того или иного подхода может варьироваться в зависимости от бизнес-приоритетов, набора технологий и других уникальных факторов. Интерпретируя полученные результаты, помните, что качество/эффективность - это только один из трех факторов, и он может в наибольшей степени соответствовать, а может и не соответствовать вашим конкретным бизнес-целям.
В пентестинге эффективность измеряет влияние процесса тестирования и его результатов, гарантируя, что тесты дают значимые, действенные и релевантные результаты. Рассмотренные выше элементы подчеркивают глубину, точность и тщательность современной альтернативы пентеста, обеспечивающего структурированную и основанную на методологии оценку состояния безопасности организации.
Матрица оценки эффективности тестирования безопасности
Этот контрольный список можно использовать для оценки скорости каждого из четырех вариантов тестирования безопасности: традиционное пентестирование, поиск ошибок, современное пентестирование с помощью Pentest как сервиса (PTaaS), а также автоматизированное и автономное пентестирование.
Мощь PTaaS, как и в случае с HackerOne
При оценке эффективности и качества PTaaS выделяется как гибкий подход, который может адаптироваться к конкретным потребностям организации и соответственно оценивается по цене. PTaaS, управляемый сообществом, является лучшим выбором для комплексного тестирования в сочетании с углубленным анализом, обеспечивая при этом быструю настройку и завершение оценки.
· 72% клиентов HackerOne Pentest ценят способность HackerOne pentesters обнаруживать труднодоступные уязвимости и обнаруживать неизвестные в пределах их зоны атаки.
· 18% результатов HackerOne Pentest имеют высокую или критическую степень серьезности, что почти вдвое превышает отраслевой стандарт.
· В среднем на каждый пентест сообщается о 11 допустимых уязвимостях.
“Как CISO, вы не проводите тесты на проникновение для себя, вы не исправляете системы. То, что вы делаете, - это отчитываетесь перед советом директоров, и поэтому хороший отчет ставит сервис выше других. Платформа гарантирует, что все это соответствует контрольным спискам и шаблону систем и решений, которые помогают обеспечивать превосходное качество”.
— Говард Холтон, технический директор GigaOm
HackerOne Pentest выходит за рамки рутинных проверок соответствия требованиям, обеспечивая глубокое понимание, эффективность и практические результаты, адаптированные к потребностям Вашего бизнеса и безопасности. Если Вы готовы узнать больше о том, как PTaaS соотносится с другими критериями, скачайте электронную книгу "Матрица пентестирования: расшифровка современных подходов к тестированию безопасности". https://www.hackerone.com/ebooks/pentesting-matrix