Ho appena scritto un article su questo come sempre sembra essere una domanda comune per i clienti. Ho riassunto tre considerazioni per entrambe le prospettive:
RAGIONI PER I FORNITORI ALTERNANTI:
1. Compiacimento
Gli ingegneri della sicurezza delle applicazioni, proprio come gli sviluppatori, possono essere ciechi su alcuni aspetti del loro lavoro. Per gli sviluppatori di software, può essere molto difficile trovare i propri bug, da qui la pratica della revisione del peer code e il gran numero di controlli di garanzia della qualità che vengono messi in atto come test unitari, test di controllo della qualità manuali e automatizzati.
Una delle domande che devi porre al tuo pentestore è cosa fanno per superare questo problema.
2. Qualità e valore Intelligence
Potrebbe valere la pena di considerare altri fornitori per capire quale servizio si ottiene a quale punto di prezzo. Inoltre, non tutti i fornitori di test di penetrazione sono creati uguali, quindi un venditore potrebbe essere davvero bravo nell'individuare le vulnerabilità ma il supporto post-report potrebbe non essere ottimo, mentre un altro fornitore eccelle davvero nei servizi forniti dopo la segnalazione.
3. Sfruttando diverse competenze
Potrebbe valere la pena esplorare diversi fornitori per diverse aree di competenza. Ad esempio, un venditore potrebbe essere molto strong nell'esecuzione di un pentest, ma non tanto nell'ingegneria sociale. Quindi fare leva su diversi fornitori per diverse aree di forza può essere utile.
CONSIDER PRIMA DI SWITCHING:
1. Contesto perdente e conoscenza delle applicazioni: ci sono probabilmente 3 livelli di profondità per ogni pentest:
Livello 1: Il frutto basso appeso: che è praticamente quello che qualsiasi scanner può trovare.
Livello 2: i problemi a medio raggio: bug che gli scanner non riescono a trovare ma un ingegnere può, sono ancora facili da trovare, ha solo bisogno di qualcuno che li cerchi, abbastanza agile con il loro approccio.
Level 3: The Difficult Bug: questi si trovano solo quando l'ingegnere diventa abbastanza intimo con l'applicazione per capire esattamente come funziona.
Per un test di penetrazione della durata di 2-3 settimane, è molto difficile per un nuovo fornitore raggiungere il Livello 3 in così poco tempo. A seconda della natura della tua applicazione, potrebbe non esserci molta logica aziendale per l'applicazione e quindi non è necessario per il Livello 3. Un'altra cosa da considerare è chi sono i tuoi principali attori delle minacce? Ti piacciono soprattutto gli script kiddies o gli hacker professionisti e le cyber gang?
2. Perdere la relazione con il partner: ci vuole tempo per un servizio importante per capire la tua attività, la tua applicazione e le dinamiche della tua squadra. Lavorare con un fornitore pentest non dovrebbe fermarsi alla consegna del rapporto. Un buon pentest provider dovrebbe essere in grado di identificare bug veramente buoni e, cosa più importante, aiutarti a mitigare questi bug e rafforzare ulteriormente l'applicazione. Se non ricevi questo aiuto dal tuo attuale fornitore, potrebbe valerne la pena parlare con quel venditore o cercarne uno nuovo.
3. Perdere la motivazione: per la maggior parte delle aziende nello spazio dei servizi professionali, è (o almeno dovrebbe essere) la loro priorità assoluta fare il possibile per mantenere i loro clienti. Sapendo fin dall'inizio che si tratta di una relazione temporanea potrebbe non motivare quel venditore ad andare al di sopra e al di là di te.
Ci sono diversi fattori che vanno nella scelta di un partner pentest: abilità, storia, prezzo e processi, tra gli altri. Costruire un solido rapporto con loro e ottenere il massimo valore richiede comunicazione, fiducia e trasparenza.