È pratico e utile alternare i fornitori di test di penetrazione?

Molte (forse la maggior parte?) persone considerano i fornitori di rotazione una best practice.

Il vantaggio più utile che in genere ascolto è che ti consente di confrontare la qualità e il valore.

Penso anche che ci sia spazio per te per essere creativo; ad esempio, assumere un'impresa specializzata in test di penetrazione delle applicazioni per un round seguito da uno specializzato in ingegneria sociale, o sollecitare più fornitori per round o una combinazione di questi.

In tutti i casi prestare attenzione ai nomi e alle rispettive competenze delle persone che eseguono il lavoro effettivo è la chiave per assicurarti di ottenere ciò che ti aspetti (cioè vuoi evitare l'esca e cambiare tattica e monitorare le persone che consegnano alta qualità).

@ La risposta di Tate è buona a proposito della rotazione, ma ti faccio notare un altro punto importante:

Lo svantaggio della rotazione è che perdi molto del contesto e delle conoscenze che il tuo provider ha già creato. Conoscenza del contesto aziendale, requisiti, regole personalizzate, funzionamento dell'app, ecc. E familiarità storica con i problemi che hai avuto in passato. Se si ruota, è necessario ricominciare tutto da capo.

Ovviamente, se hai solo il tipo di pentitore esterno, entra una volta ogni tanto per fare una scansione alla cieca, beh allora non hanno accumulato molte conoscenze su di te comunque ... ma allora perché preoccuparsi di loro ? Starai meglio con un "partner", qualcuno che impara la tua attività, lavora in base a questo e può identificare tendenze, cause alla radice e ripetuti errori accaduti prima e lavora con te per risolverli. Ma è difficile da costruire se si ruota ogni 6 mesi ...

Immagino sia un compromesso, una verifica (e l'originalità) contro un lavoro migliore, più efficiente (ma dovresti fidarti).

Farò alcuni argomenti completamente diversi che vanno direttamente contro PCI DSS e CIP CVA.

Il mio primo argomento è che è stupido assumere sempre i tester di penetrazione esterni. Il test di penetrazione dovrebbe essere un giorno di "caccia agli insetti" che si verifica durante le dimostrazioni di infrastruttura o iterazione (ad esempio durante il controllo di qualità / stadiazione). Tutti, compresi tutti i consulenti / appaltatori / soggetti QA / sviluppatori / manager / ecc. Dovrebbero essere invitati e autorizzati a partecipare. Dovrebbero lavorare insieme in team (di solito coppie) e le squadre dovrebbero essere menti diverse (ad esempio, addestrate o non addestrate).

La mia seconda argomentazione è che è stupido lavorare con un'azienda partner "occasionalmente". Se stai cercando di acquisire un consulente di fiducia, stai sprecando sia il loro tempo che il tuo se li coinvolgi solo una volta all'anno, o quando le norme dettano che dovresti. È importante essere in costante contatto con le persone con cui crei fiducia.

Assumi una società di consulenza Appec e trattali come dipendenti anche se non sono alla scrivania tutti i giorni della settimana lavorativa. Partecipa all'impegno sapendo che ci vorranno 3 anni prima che tu mostri i progressi, ma stabilisci obiettivi / obiettivi e metriche.

Per esperienza direi che la rotazione dei tempi funziona meglio è su scala aziendale globale, dove puoi avere da 3 a 6 organizzazioni di fornitori su un pannello che lavorano continuamente per te, in modo che tutti possano acquisire una conoscenza a lungo termine dell'ambiente, e tu puoi ruotarli in una serie di aree, ad esempio interna, esterna, di terze parti ecc., ma il valore reale viene solo se puoi costruire i metadati attorno ai test in modo da poter normalizzare e tenere traccia delle tendenze:

• Il venditore x valuta sempre un problema particolare come minore, ma il venditore lo considera significativo.
• Tester a fornisce maggiori informazioni sui risultati dei test delle app rispetto al tester b.
• Il venditore z era meno abile ma migliorava più velocemente degli altri.

Senza rotazione, il confronto incrociato delle competenze e la capacità di rinegoziare il prezzo possono essere difficili da gestire, ma bisogna essere consapevoli del fatto che si ha bisogno di budget per tempo per portare a conoscenza dei nuovi fornitori i metodi di lavoro, le aspettative di consegna, i report stili, soglie ecc.

Ho appena scritto un article su questo come sempre sembra essere una domanda comune per i clienti. Ho riassunto tre considerazioni per entrambe le prospettive:

RAGIONI PER I FORNITORI ALTERNANTI:

1. Compiacimento Gli ingegneri della sicurezza delle applicazioni, proprio come gli sviluppatori, possono essere ciechi su alcuni aspetti del loro lavoro. Per gli sviluppatori di software, può essere molto difficile trovare i propri bug, da qui la pratica della revisione del peer code e il gran numero di controlli di garanzia della qualità che vengono messi in atto come test unitari, test di controllo della qualità manuali e automatizzati.

Una delle domande che devi porre al tuo pentestore è cosa fanno per superare questo problema.

2. Qualità e valore Intelligence Potrebbe valere la pena di considerare altri fornitori per capire quale servizio si ottiene a quale punto di prezzo. Inoltre, non tutti i fornitori di test di penetrazione sono creati uguali, quindi un venditore potrebbe essere davvero bravo nell'individuare le vulnerabilità ma il supporto post-report potrebbe non essere ottimo, mentre un altro fornitore eccelle davvero nei servizi forniti dopo la segnalazione.

3. Sfruttando diverse competenze Potrebbe valere la pena esplorare diversi fornitori per diverse aree di competenza. Ad esempio, un venditore potrebbe essere molto strong nell'esecuzione di un pentest, ma non tanto nell'ingegneria sociale. Quindi fare leva su diversi fornitori per diverse aree di forza può essere utile.

CONSIDER PRIMA DI SWITCHING:

1. Contesto perdente e conoscenza delle applicazioni: ci sono probabilmente 3 livelli di profondità per ogni pentest:

Livello 1: Il frutto basso appeso: che è praticamente quello che qualsiasi scanner può trovare.

Livello 2: i problemi a medio raggio: bug che gli scanner non riescono a trovare ma un ingegnere può, sono ancora facili da trovare, ha solo bisogno di qualcuno che li cerchi, abbastanza agile con il loro approccio.

Level 3: The Difficult Bug: questi si trovano solo quando l'ingegnere diventa abbastanza intimo con l'applicazione per capire esattamente come funziona. Per un test di penetrazione della durata di 2-3 settimane, è molto difficile per un nuovo fornitore raggiungere il Livello 3 in così poco tempo. A seconda della natura della tua applicazione, potrebbe non esserci molta logica aziendale per l'applicazione e quindi non è necessario per il Livello 3. Un'altra cosa da considerare è chi sono i tuoi principali attori delle minacce? Ti piacciono soprattutto gli script kiddies o gli hacker professionisti e le cyber gang?

2. Perdere la relazione con il partner: ci vuole tempo per un servizio importante per capire la tua attività, la tua applicazione e le dinamiche della tua squadra. Lavorare con un fornitore pentest non dovrebbe fermarsi alla consegna del rapporto. Un buon pentest provider dovrebbe essere in grado di identificare bug veramente buoni e, cosa più importante, aiutarti a mitigare questi bug e rafforzare ulteriormente l'applicazione. Se non ricevi questo aiuto dal tuo attuale fornitore, potrebbe valerne la pena parlare con quel venditore o cercarne uno nuovo.

3. Perdere la motivazione: per la maggior parte delle aziende nello spazio dei servizi professionali, è (o almeno dovrebbe essere) la loro priorità assoluta fare il possibile per mantenere i loro clienti. Sapendo fin dall'inizio che si tratta di una relazione temporanea potrebbe non motivare quel venditore ad andare al di sopra e al di là di te. Ci sono diversi fattori che vanno nella scelta di un partner pentest: abilità, storia, prezzo e processi, tra gli altri. Costruire un solido rapporto con loro e ottenere il massimo valore richiede comunicazione, fiducia e trasparenza.