Υπάρχουν διάφοροι λόγοι για τους οποίους η επιχείρησή σας μπορεί να ψάχνει να προσλάβει έναν penetration tester. Για πολλές επιχειρήσεις, τα πρώτα penetration testing έρχονται κατόπιν αιτήματος ενός πιθανού επιχειρηματικού εταίρου. Για να κλείσετε μια μεγάλη συμφωνία, ο εταίρος σας ζητά να προσλάβετε έναν penetration tester για να επαληθεύσετε την ασφάλεια του λογισμικού της ομάδας σας. Ως μέρος της σύμβασης, θα κατηγοριοποιήσετε τις ευπάθειες που αποκαλύπτουν και θα διορθώσετε τυχόν σημαντικά ζητήματα. Άλλες εταιρείες θέλουν να κάνουν penetration testing ως μέρος της διαδικασίας για την αύξηση της ασφάλειάς τους. Ίσως η εταιρεία σας προσπαθεί να εξασφαλίσει μια μεγάλη επένδυση, να αναλάβει μεγαλύτερους πελάτες ή είναι στα όρια της απόκτησης.
Οποιοσδήποτε και να είναι ο λόγος, η επιλογή του ποιος θα κάνει το penetration test είναι μια διαδικασία που δεν έχετε ξανακάνει. Συνήθως, πρέπει να βρείτε κάποιον σε σύντομο χρονικό διάστημα. Ωστόσο, δεν θέλετε να βρείτε κάποιον που θα κάνει κακή δουλειά και δεν θέλετε να πληρώσετε περισσότερα από όσα θα αξίζουν οι ικανότητες του. Ένα penetration test είναι μια ευκαιρία για την επιχείρησή σας να βελτιώσει την στάση σας στην ασφάλεια. Πολλές επιχειρήσεις κάνουν λάθος πληρώνοντας για ένα πραγματικό penetration test, και κατόπιν αγνοούν αμέσως όλα τα αποτελέσματα.
Πώς επιλέγετε, λοιπόν, τον σωστό pentester, γρήγορα και σε ποσό που να ανταποκρίνεται στον προϋπολογισμό σας; Σε αυτό το άρθρο, θα δούμε μέσα από μερικές συμβουλές πως να βρείτε το σωστό άτομο.
Χρησιμοποιήστε το επαγγελματικό σας δίκτυο
Αυτή η συμβουλή φαίνεται προφανής, γι ‘αυτό είναι η πρώτη στον κατάλογο. Είναι επίσης μια συμβουλή που ξεχνούν οι ηγέτες των επιχειρήσεων. Πολλοί ηγέτες επιχειρήσεων θα μεταβιβάσουν την έρευνα για έναν penetration tester. Η ανάθεση μιας εργασίας όπως αυτή μπορεί να μην σας φαίνεται πολύ ενδιαφέρουσα αλλά αν κάνετε την αξιολόγηση των πιθανών tester μόνοι σας σίγουρα θα κάνετε την καλύτερη επιλογή, ειδικά αν πάρετε και συστάσεις για συγκεκριμένα άτομα ή εταιρείες που κάνουν penetration testing από τον επαγγελματικό σας κύκλο.
Η χρήση του δικτύου σας για τον εντοπισμό ενός pentester είναι κάτι περισσότερο από το να ρωτάτε ποιος είναι καλός. Αντ ‘αυτού, μπορείτε να χρησιμοποιήσετε το δίκτυό σας για να πάρετε μια γεύση των δεξιοτήτων του ατόμου που πιθανών να προσλάβετε. Για παράδειγμα: η πιο κρίσιμη ικανότητα για έναν penetration tester είναι η επικοινωνιακή. Στο τέλος μιας σύμβασης, ο pentester σας θα δημιουργήσει μια αναφορά. Η αναφορά αυτή θα περιγράφει τα τρωτά σημεία που εντοπίστηκαν, πώς τα βρήκαν και τη σχετική σοβαρότητα τους. Βασική πτυχή αυτής της έκθεσης είναι ότι έχει σχεδιαστεί για να είναι κατανοητή τόσο από το τεχνικό προσωπικό όσο και από την ηγεσία της επιχείρησης. Αυτό σημαίνει ότι πρέπει να βρείτε κάποιον που να είναι εξαιρετικά επικοινωνιακός.
Πέρα από την κατανόηση των βασικών δεξιοτήτων και των μορφών επικοινωνίας, ένα άλλο πράγμα που το επαγγελματικό σας δίκτυο μπορεί να σας καθοδηγήσει είναι η μεθοδολογία του tester. Όπως και οι επαγγελματίες όλων των τομέων εργασίας, οι penetration testers έχουν το δικό τους στυλ εργασίας. Μερικοί τείνουν να το κρατούν για τον εαυτό τους, ενώ άλλοι ενημερώνουν για τον τρόπο εργασίας τους τις ομάδες με τις οποίες συνεργάζονται. Κάποιοι απλά καταγράφουν την κάθε ευπάθεια ενώ άλλοι θα καθίσουν μαζί με το τεχνικό προσωπικό σας και θα σας εξηγήσουν από πού προέρχεται ένα τρωτό σημείο και πώς θα το αποφύγετε στο μέλλον.
Μιλώντας με ανθρώπους στο επαγγελματικό σας δίκτυο, μπορείτε να διασφαλίσετε ότι ο tester που προσλαμβάνετε ανταποκρίνεται στις ανάγκες της ομάδας σας.
Ελέγξτε τις πιστοποιήσεις τους
Στο μεγαλύτερο μέρος του τεχνολογικού κόσμου, οι πιστοποιήσεις δεν παίζουν και πολύ σημαντικό ρόλο. Αυτό δεν συμβαίνει στον κόσμο των penetration testing. Υπάρχουν κάποια penetration testing που είναι πολύ σημαντικά. Εάν ο pentester σας έχει μία (ή περισσότερες) από αυτές τις πιστοποιήσεις, μπορείτε να είστε σίγουροι ότι γνωρίζουν το βασικό επίπεδο δεξιοτήτων. Οι καλύτερες πιστοποιήσεις ασφάλειας συνοδεύονται επίσης από ένα ηθικό στοιχείο, το οποίο πιστοποιεί ότι ο ελεγκτής δεν θα χρησιμοποιήσει τις γνώσεις που έχει αποκτήσει σε σχετικά με το σύστημά σας, έτσι ώστε να εισβάλει αργότερα. Δεν θέλετε να προσλάβετε έναν pentester για να εντοπίσει τα τρωτά σημεία στο σύστημά σας, και μετά να καταλήξει να κλέψει τα δεδομένα των πελατών σας.
Στον κόσμο των penetration testing, τρεις πιστοποιήσεις θεωρούνται αρκετά καλές:
- Η πιστοποίηση Certified Ethical Hacker
- Η πιστοποίηση GIAC Penetration Tester
- Η πιστοποίηση Offensive Security Certified Professional
Κάθε tester με μία από αυτές τις πιστοποιημένες πιστοποιήσεις είναι πιθανό να εξυπηρετήσει την επιχείρησή σας καλά.
Βεβαιωθείτε ότι έχουν εμπειρία
Το penetration testing είναι ένα δύσκολο πεδίο. Κατά κανόνα, δεν θέλετε να προσλάβετε κάποιον που μόλις ξεκινάει. Η επιχείρησή σας πληρώνει καλά χρήματα για να προσλάβει κάποιον για να βρει τυχόν ευπάθειες στο λογισμικό σας. Πρέπει πραγματικά να το κάνουν αυτό. Δυστυχώς, μπορεί να είναι δύσκολο να γνωρίζετε αν ο pentester σας είναι πολύ εξειδικευμένος. Ο φόβος είναι διπλός αν δεν έχουν καμία πιστοποίηση. Σίγουρα, αν για παράδειγμα έχουν συμμετάσχει σε δώδεκα penetration tests, αλλά δεν σας το έχει επαληθεύσει κάποιος που εμπιστεύεστε, δεν ξέρετε πόσο καλά το έκαναν. Είναι εξίσου πιθανό ότι όλες οι προηγούμενες εργασίες τους να είναι καλυμμένες με NDA (non-disclosure agreement).
Πολλές μεγαλύτερες εταιρείες (όπως το Google) θα εκτελέσουν προγράμματα εκτίμησης σφαλμάτων, όπου θα πληρώνουν ερευνητές ασφαλείας για την εύρεση σφαλμάτων στο software τους. Αυτό δεν είναι ένα πραγματικό penetration test, αλλά είναι πολύ κοντά. Η εύρεση ενός pentester ο οποίος έχει περάσει από το πρόγραμμα ευπαθειών (vulnerability bounty program) με μία ή περισσότερες εταιρείες είναι πιθανό να είναι καλή επιλογή. Η γνώση του τρόπου προσδιορισμού και περιγραφής των σφαλμάτων σημαίνει ότι διαθέτουν πολλές από τις απαιτούμενες δεξιότητες που είναι απαραίτητες για να είναι κάποιος καλός penetration tester. Τα bug bonties χρησιμεύουν επίσης ως καλό τεστ ηθικής κάποιου. Ένας tester που βρίσκει ευπάθεια και αποκαλύπτει υπεύθυνα στην υπεύθυνη εταιρεία είναι πιθανό να είναι κάποιος που μπορείτε να εμπιστευτείτε.
Μια ακόμη καλύτερη δοκιμασία δεοντολογίας είναι η αποκάλυψη των ευπαθειών δημοσίως. Αυτή είναι μια διαδικασία κατά την οποία οι ερευνητές ασφαλείας αποκαλύπτουν δημόσια τρωτά σημεία σε διάφορα λογισμικά χωρίς να πληρωθούν. Ίσως το λογισμικό σας να έχει εμφανιστεί σε μια βάση δεδομένων. Η εύρεση ευπαθειών που αποκαλύπτονται δημοσίως δεν είναι διασκεδαστική, αλλά είναι καλύτερο από το να μάθεις για αυτές γιατί κάποιος τις εκμεταλλεύτηκε.
