Trong thế giới ngày nay của các hệ thống hack tự động, vi phạm dữ liệu thường xuyên và các quy định bảo vệ người tiêu dùng như GDPR và PCI DSS, kiểm tra thâm nhập hiện là một yêu cầu bảo mật thiết yếu cho các tổ chức thuộc mọi quy mô. Nhưng bạn nên tìm kiếm điều gì khi chọn đúng nhà cung cấp?
Số lượng lớn các nhà cung cấp có thể gây khó khăn và việc tìm kiếm một nhà cung cấp có thể cung cấp một bài kiểm tra chất lượng cao với mức giá hợp lý là không dễ dàng. Làm thế nào để bạn biết nếu họ là bất kỳ tốt? Mức độ chuyên môn bảo mật nào đã được đưa vào báo cáo? Ứng dụng của bạn có an toàn không, hay đơn giản là nhà cung cấp không tìm thấy điểm yếu?
Không có câu trả lời dễ dàng, nhưng bạn có thể làm cho nó dễ dàng hơn bằng cách đặt những câu hỏi đúng trước. Những cân nhắc quan trọng nhất được chia thành ba loại: chứng nhận, kinh nghiệm và giá cả.
Chứng nhận
Chứng chỉ là nơi tốt nhất để bắt đầu, vì chúng cung cấp một lối tắt nhanh chóng để xây dựng lòng tin. Không thiếu các chứng chỉ chuyên nghiệp có sẵn, nhưng một trong những chứng chỉ được công nhận nhiều nhất là CREST (Hội đồng những người kiểm tra bảo mật đạo đức đã đăng ký).
CREST được thành lập bởi các công ty tư vấn kiểm tra bút hàng đầu của Vương quốc Anh một cách chính xác để giải quyết vấn đề này và nó hiện là một dấu ấn chất lượng được quốc tế công nhận cho nhiều lĩnh vực an ninh mạng.
Tuy nhiên, bạn vẫn cần biết những gì cần tìm, vì CREST có cả chứng chỉ cấp công ty, cũng như các chứng chỉ riêng lẻ mà mỗi người thử nghiệm phải vượt qua một kỳ thi để chứng minh kỹ năng của họ. Có cái này không có nghĩa là bạn có cái kia.
Sự công nhận toàn công ty ('công ty thành viên CREST') được trao cho các công ty có thể chứng minh các chính sách, quy trình và thủ tục của họ là hoàn hảo. Điều này cho phép các công ty kiểm tra thâm nhập cho thấy rằng họ tuân theo các thực tiễn tốt trên giấy tờ và sử dụng các phương pháp kiểm tra bảo mật thích hợp.
Tuy nhiên, việc yêu cầu 'công ty thành viên CREST' thực hiện kiểm tra bút không đảm bảo rằng nhà tư vấn thực hiện bài kiểm tra của bạn được chứng nhận - chỉ đơn thuần là công ty có nghĩa vụ về mặt đạo đức phải cung cấp cho bạn một người kiểm tra phù hợp.
Hãy chắc chắn rằng bạn hỏi về người thử nghiệm thực tế sẽ thực hiện công việc - họ có chứng chỉ và kinh nghiệm phù hợp không?
Vì lý do đó, CREST cũng có các cấp độ khác nhau ngay cả đối với từng người thử nghiệm, từ chứng chỉ đầu vào đến các kỳ thi thực hành phức tạp trong các lĩnh vực chuyên môn khác nhau. Điều quan trọng là phải xem xét cả mức độ chứng nhận và liệu chúng có cụ thể cho loại thử nghiệm thâm nhập mà bạn đang tìm kiếm hay không.
Mặc dù chứng chỉ rất hữu ích, nhưng chúng không thể bao gồm mọi thứ. Có rất nhiều loại công nghệ ngoài kia, và bạn không thể có một bài kiểm tra để bao quát từng loại. Như bạn có thể thấy từ sơ đồ trên, không có kỳ thi CREST nào cho AWS, hoặc cho các thiết bị nhúng hoặc ứng dụng di động.
Người kiểm tra thâm nhập giống như bác sĩ; Họ có nhiều kiến thức và kỹ năng, nhưng không phải lúc nào cũng có sách giáo khoa cho bệnh nhân mà bạn đang tiếp xúc. Đó là khi kinh nghiệm có thể phát huy tác dụng.
Kinh nghiệm
Một yếu tố lớn khác là kinh nghiệm mà người kiểm tra bút của bạn có được. Họ càng tiếp xúc nhiều, họ sẽ càng phát hiện ra nhiều mối đe dọa bảo mật hơn.
Cũng cần lưu ý rằng không phải tất cả trải nghiệm đều như nhau, vì một số loại thử nghiệm có thể liên quan đến các kỹ năng cụ thể trong các công nghệ cụ thể, như AWS Cognito hoặc Giao thức nhắn tin theo thời gian thực. Đảm bảo rằng nhà cung cấp của bạn có kinh nghiệm liên quan đến các công nghệ bạn đang làm việc.
Hãy nhớ rằng, có thể không có người thử nghiệm có kinh nghiệm về mọi công nghệ hiện có, vì vậy bạn có thể cần phải linh hoạt. Một người kiểm tra thâm nhập giỏi sẽ có thể tìm hiểu về công nghệ bạn cần thử nghiệm, dựa trên các kỹ năng và nguyên tắc từ các ngành khác, nhưng họ có thể mất nhiều thời gian hơn để làm quen với công nghệ hiện tại. Điều này có thể có ảnh hưởng đến giá cả...
Giá
Khi khách hàng hỏi chi phí trung bình của một bài kiểm tra thâm nhập, nó giống như hỏi một đoạn dây dài bao nhiêu. Nó phụ thuộc vào những gì bạn đang làm việc và mức độ sâu sắc bạn cần đi. Hãy tưởng tượng vẽ một cây cầu: nó phụ thuộc vào kích thước của nó và số lượng sơn bạn muốn. Một chiếc áo khoác có thể khiến bạn tiếp xúc với các yếu tố.
Do đó, các bài kiểm tra bút thường được trích dẫn trên cơ sở 'tỷ lệ ngày', và rất rộng rãi, bạn có thể phải trả bất kỳ khoản nào trong khoảng £ 800- £ 1500.
Giá theo ngày khác nhau giữa các nhà cung cấp dựa trên những thứ như danh tiếng, chứng nhận cũng như các yêu cầu và kinh nghiệm đặc biệt, mặc dù giảm giá có thể được thương lượng nếu bạn mua nhiều ngày (bất kỳ thứ gì hơn mười lăm ngày sẽ được coi là một thử nghiệm lớn).
Để hiểu công việc của bạn sẽ mất bao lâu, nhà cung cấp thường sẽ cần lấy bản demo sản phẩm của bạn hoặc thu thập thông tin về môi trường của bạn. Theo nguyên tắc chung, họ càng đặt ít câu hỏi ở giai đoạn này, bạn càng ít có khả năng nhận được một tác phẩm được trích dẫn chính xác.
Cũng không có tiêu chuẩn nào khi nói đến việc xác định phạm vi một tác phẩm, vì vậy bạn có thể thấy các ước tính khác nhau. Một nhà cung cấp có thể coi công việc là công việc 3 ngày và một nhà cung cấp khác là 5 ngày. Đây là những ước tính tốt nhất; Thật khó để chắc chắn cho đến khi bạn đang thực hiện công việc.
Bạn thậm chí có thể mua bút toán "phí cố định", nhưng quay trở lại sự tương tự của cây cầu, có lẽ bạn nên lo lắng về phạm vi bảo hiểm nếu họ cung cấp nó với một khoản phí cố định mà không hỏi công việc lớn như thế nào.
Như với mọi thứ trong cuộc sống, giá bạn được báo phải phản ánh chất lượng của bài kiểm tra thâm nhập - nhưng trong một ngành mà chất lượng của một bài kiểm tra khó đánh giá, chắc chắn sẽ có một số nhà giao dịch lừa đảo. Đặt câu hỏi phù hợp và đừng bỏ qua quá trình thẩm định.
Vượt ra ngoài các bài kiểm tra thâm nhập tại thời điểm
Có những vấn đề lớn với việc sử dụng kiểm tra thâm nhập làm phương pháp phát hiện lỗ hổng duy nhất của bạn.
Thứ nhất, trong khi về chiều sâu, thử nghiệm thâm nhập chỉ bao gồm một thời điểm. Với 20 lỗ hổng mới được xác định mỗi ngày, kết quả kiểm tra thâm nhập của bạn có thể đã lỗi thời ngay khi bạn nhận được báo cáo.
Không chỉ vậy, các báo cáo có thể mất tới sáu tháng để sản xuất vì công việc liên quan, cũng như vài tháng để tiêu hóa và hành động.
Chúng có thể rất đắt - thường có giá hàng nghìn bảng mỗi lần.
Với việc tin tặc tìm ra các phương pháp tinh vi hơn để xâm nhập vào hệ thống của bạn, đâu là giải pháp hiện đại tốt nhất để giúp bạn đi trước một bước?
Để có được bức tranh toàn diện nhất về vị thế bảo mật của mình, bạn cần kết hợp quét lỗ hổng tự động và kiểm tra thâm nhập do con người dẫn dắt.
Intruder Vanguard làm được điều đó, tập hợp chuyên môn bảo mật và phạm vi phủ sóng liên tục lại với nhau để tìm ra những gì mà các máy quét khác không thể. Nó lấp đầy khoảng cách giữa quản lý lỗ hổng truyền thống và các thử nghiệm thâm nhập thời điểm, để cung cấp sự giám sát liên tục trên hệ thống của bạn.
Với sự hỗ trợ của các chuyên gia bảo mật hàng đầu thế giới, họ sẽ thăm dò sâu hơn, tìm ra nhiều lỗ hổng hơn và đưa ra lời khuyên về tác động trực tiếp của chúng đối với doanh nghiệp của bạn để giúp bạn ngăn chặn những kẻ tấn công.
Về Intruder
Intruder là một công ty an ninh mạng giúp các tổ chức giảm bề mặt tấn công của họ bằng cách cung cấp các dịch vụ quét lỗ hổng liên tục và kiểm tra thâm nhập. Máy quét mạnh mẽ của Intruder được thiết kế để xác định kịp thời các lỗ hổng tác động cao, những thay đổi trên bề mặt tấn công và quét nhanh cơ sở hạ tầng để tìm các mối đe dọa mới nổi.
Chạy hàng nghìn kiểm tra, bao gồm xác định cấu hình sai, thiếu bản vá và sự cố lớp web, Intruder giúp mọi người dễ dàng quét lỗ hổng cấp doanh nghiệp và có thể truy cập được. Các báo cáo chất lượng cao của Intruder là hoàn hảo để chuyển đến khách hàng tiềm năng hoặc tuân thủ các quy định bảo mật, chẳng hạn như ISO 27001 và SOC 2.
Good luck :)