4 вещи, на которые следует обратить внимание при выборе поставщика услуг по тестированию на проникновение

Интернет

Современный бизнес в значительной степени зависит от ИТ-систем для выполнения повседневных задач. Это ключевая причина, по которой ИТ-безопасность стала такой важной темой для обсуждения в зале заседаний совета директоров. Небезопасные системы означают повышенный риск сбоев, потери данных, финансовых потерь, ущерба репутации и несоблюдения нормативных требований.

4 вещи, на которые следует обратить внимание при выборе поставщика услуг по тестированию на проникновение

Тестирование на проникновение (или пентестинг) приобретает все большее значение, поскольку организации всех размеров стремятся обеспечить безопасность своих информационных систем. Владелец системы и разработчик могут иметь «слепые пятна» при оценке ее безопасности, поэтому наем компании по тестированию на проникновение, такой как Emagined Security, является необходимым. Поставщики услуг по тестированию на проникновение, однако, бывают разных оттенков.

Вы должны быть уверены, что выбранный вами поставщик подходит для этой работы. Вот некоторые из наиболее важных факторов, которые вы должны принять во внимание.

Читайте также: Лучшие бесплатные безлимитные VPN для ПК (не требуется регистрация)

1. Тип теста

Какой тип теста на проникновение (пентеста) вам нужен? Это тест сети/инфраструктуры, тест мобильных приложений, тест веб-приложений, тест настольных приложений или тест баз данных?

Как бы вы хотели, чтобы проводился тест? Это может быть тестирование «черного ящика», «белого ящика» или «серого ящика». Тестирование «черного ящика» происходит, когда тестировщик не имеет предварительныхзнание системы. Это точка зрения стороннего наблюдателя.

Тесты «серого ящика» проводятся с ограниченными знаниями о системной среде. Это отражение точки зрения и уровня полномочий авторизованного пользователя системы. Тесты «белого ящика» выполняются с обширными знаниями о базовом дизайне и структуре тестовой среды.

Различные типы пентестов требуют различных наборов навыков, знаний и инструментов. Выбирайте поставщика, который может продемонстрировать опыт проведения именно того вида пентестов, который вам нужен.

Рекомендуем:  Насколько безопасен Amazon Fire Stick

2. Процедуры защиты данных

Хороший пентестер будет обладать исключительной способностью получать доступ к конфиденциальным данным вашей системы и манипулировать ими. Следовательно, они должны показать, что будут безопасно обрабатывать и хранить эту информацию до, после и во время тестирования. Вы доверяете самые конфиденциальные данные вашей организации третьей стороне. Вполне справедливо, если они предоставят приемлемое объяснение того, как они будут с ними обращаться.

Ключевые вопросы, которые необходимо задать, включают в себя способы передачи, хранения и стирания данных. Узнайте, как долго пентестер будет хранить ваши записи.

Поинтересуйтесь, не подвергались ли они ранее хакерским атакам. Хотя может показаться удивительным, что пентестер будет рассказывать о себе, все равно спросите. Взлом не обязательно означает, что пентестер некомпетентен. Но если это произошло из-за легко устранимой лазейки, возможно, вам стоит пересмотреть свое мнение о работе с ним.

3. Страхование ответственности

Несмотря на все их усилия,пентест может пойти не так и привести к непредвиденным негативным последствиям. Поэтому прежде чем подписывать контракт с поставщиком услуг по пентестированию, убедитесь, что у него есть страхование ответственности. Страховое покрытие обеспечит защиту бизнеса в случае материализации рисков ответственности.

Например, если тестирование нанесет ущерб вашей физической или технологической инфраструктуре, страховое покрытие сможет возместить последующие убытки. Поставщик услуг тестирования на проникновение занимается защитой данных и управлением информационными рисками. Наличие действующего страхования ответственности является доказательством того, что они серьезно относятся к защите среды заказчика.

4. Бюджет

Деньги никогда не должны быть главным фактором при выборе поставщика. Тем не менее, каждый бизнес имеет ограниченные ресурсы и не может позволить себе потратить любую указанную сумму. Разные поставщики предлагают разную стоимость тестов.

Рекомендуем:  Как автоматически переводить субтитры к видео на Youtube

Если вы уже проводили пентест на одной или нескольких своих системах, то, скорее всего, вы примерно представляете, сколько это будет стоить. Поэтому вы можете заранее составить реалистичный бюджет.

С другой стороны, если вы раньше не заказывали проведение пентеста, вам лучше послушать, сколько берут разные поставщики. После этого вы сможете определить, какая плата для вас приемлема. Сравнивая расценки поставщиков, убедитесь, что они аналогичны. Если действие называется пентестом, это не значит, что все поставщики будут проводить его одинаково.

Этичетыре — это, конечно, не все. Другие вещи, которые вы должны запросить у потенциальных поставщиков, включают соответствующие рекомендации, образцы отчетов, опыт управления проектами и методологию тестирования. Проверка этих параметров повышает вероятность того, что вы получите выгоду за свои деньги.

Оцените статью
Gud-PC