"Мы не продадим вам наш пентест, вы еще не готовы"

"Мы не продадим вам наш пентест, вы еще не готовы"
Многие продавцы тестирования на проникновение любят рассказывать, как важно заказчику нанимать только высококвалифицированых пентестеров, как отличить крутую пентест-контору от "обычной" и вообще, что пентест это state of art. Понятно, что продавцам такой миф подерживать выгодно: надо же как-то конкурировать.

А я как заказчик скажу. Пентест -- это commodity-услуга, никакого искусства там нет и байки на эту тему слушать не стоит. И вот почему.

Задача проведения пентеста сторонней организацией -- независимо и непредвзято проверить качество ваших контролей ИБ. Если у вас нет построенных и уже проверенных вами самими контролей (физической безопасности, анализа кода, сетевого сканирования, патч-менеджмента -- чего угодно), заказывать пентест глупо, это пустая трата денег. Если у вас контроли построены, то вы можете и должны привлекать каждый год только лучших пентестеров, чтобы проверить высоту и прочность своих барьеров. "Вася не сломал, Петя не сломал -- хорошо! А вот Коля сломал, работаем дальше".
Но проблема в том, что почти никто на рынке не применяет пентесты "по назначению". Почему так и кто виноват в глобальном помутнении рассудка заказчиков -- отдельная тема для разговора, здесь же отмечу, что в действительности пентесты обычно заказывают для:

- Аутсорса тестирования безопасности того, до чего пока еще не дотянулись собственные руки и контроли (типичный пример: покупаем стороннюю компанию, хотим быстро понять масштаб проблемы с безопасностью их сети или приложения);

- Комплаенса, когда необходимость пентеста тупо диктуется отраслевым стандартом или является требованием внутреннего аудита;

- "Красной тряпки", чтобы поразмахивать отчетом перед CEO/CFO с криками "смотрите как все плохо, дайте денег" или, наоборот, вставить пистон CISO "а чем вы вообще занимаетесь?", когда диалог CISO с топ-менеджментом не налажен. Благо коплекс "not invented here" сильно развит во всех отраслях и любой топ-менеджер поверит серьезным заявлениям в отчете аудитора-пентестера, особенно если он подписан каким-нибудь именитым брендом.

Правда заключается в том, что девять из десяти компаний заказывают пентест при возникновении одной из трех обозначенных потребностей. Десятая компания заказывает пентест вообще без причины (бюджет освоить), а пентест "по уму" практически не встречается в реальном мире. Правда также заключается в том, что для выполнения каждой из описанных трех задач хватает "good enough" пентестера. Поэтому, когда продавец будет вам в очередной раз рассказывать, что "вендор не заинтересован в качестве пентеста", спросите у него: а кто задает планку качества, исполнитель или заказчик?
security
Alt text

Anton Karpov

high-tech in low-life

Какие зарубежные новостные сайты по информационной безопасности вы читаете?