Стоимость пентеста
определяющие факторы

Проведение тестирования на проникновение (пентест) или анализа защищенности невероятно важно для обеспечения кибербезопасности вашего бизнеса. Однако, как и во всем остальном, вам придется сопоставлять стоимость проведения пентеста с окупаемостью инвестиций. К сожалению, может быть сложно найти точный ценовой диапазон, учитывая количество факторов, которые влияют на определение цены.

В этой статье рассматриваются основные элементы, влияющие на стоимость проведения тестирования на проникновение (пентест) или анализа защищенности.

1. Масштаб и требуемые усилия
Более крупные исследования, проще говоря, требуют больше времени и, следовательно, стоят дороже. Это кажется довольно простым, но есть множество элементов, которые повлияют на размер проекта. Усилия, требуемые экспертом, также сильно различаются от одного типа тестирования к другому.

Для проведения внешнего или внутреннего пентеста усилия значительно различаются в зависимости от количества IP-адресов и количества серверов, компьютеров или других сетевых устройств, которые будут работать в режиме онлайн и к которым существует возможность получить удаленный доступ. На стоимость также может влиять количество устройств во внутренней сети, что требует дальнейшего изучения специалистом для документирования полного воздействия уязвимости.

Для проведения анализа защищенности веб-приложений усилия определяются:
– количеством пользовательских путей которое совершает это веб-приложение (не считая входа в систему).
Пользовательский путь — это набор процессов, которые выполняют определенную задачу. Пользовательские пути вашего приложения определяют, что оно фактически делает для пользователя. Например, приложение авиакомпании может иметь следующие пути: Поиск рейсов, Бронирование билета, Изменение бронирования, Регистрация.

– количеством ролей пользователей приложения
Роль пользователя — это группа, к которой принадлежат пользователи, и определяет разрешения для этого пользователя на выполнение или доступ к набору действий или задач в приложении. Примерами ролей пользователя являются Администратор, Редактор, Только для чтения и Гость. Обратите внимание, что Гость считается ролью пользователя.

Например, веб-приложение с функциями аутентификации, различными ролями пользователей и платежами по кредитным картам потребует больше усилий, чем простое приложение без них. Кроме того, в отличии от пентеста глубина анализа защищенности гораздо больше, поскольку специалисты пытаются выявить сложные логические недостатки, характерные для поведения приложения, что увеличивает время, необходимое для проведения полной оценки.

Для проведения узкоспециализированного тестирования, таких как пентест SCADA/ICS , могут потребоваться дополнительные исследования и обратная разработка для изучения потенциальных уязвимостей данной технологии, что напрямую влияет на ценообразование.

Другие факторы, такие как состояние целевой системы, также могут повлиять на усилия. Например, промышленная система SCADA, которая в настоящее время находится в производстве и которую невозможно воспроизвести в лабораторной среде, потребует от специалистов особой бдительности в подходе и в некоторых случаях заставит их использовать особые методы, которые не могут поставить под угрозу целостность системы или вызвать перебои в производственной линии, что потребует больших усилий на восстановление.

2. Подход (автоматизированное и ручное тестирование)
Подход, используемый при проведении пентеста, является одним из основных факторов, определяющих время, затрачиваемое на исследование. Проведение автоматизированного тестирования часто рассматриваются как дешевая альтернатива проведению экспертом ручного пентеста, но они оба выполняются в разных контекстах и не должны быть неверно истолкованы как эквиваленты, поскольку они дают совершенно разные уровни анализа.

Автоматизированное тестирование
Автоматизированные тестирование на проникновение, также известные как сканирование уязвимостей или оценка уязвимостей, являются дешевым и эффективным способом выявления распространенных ошибок конфигурации, устаревшего или непропатченного программного обеспечения и известных уязвимостей в ваших системах. Сканеры уязвимостей предоставляют список известных уязвимостей, связанных с технологиями, доступными в вашей экосистеме, что часто создает ложные положительные или ложные отрицательные результаты, которые ИТ-отделы считают точными. Неправильная интерпретация этих ложных положительных результатов может привести к тому, что ИТ-отдел потратит много времени и ресурсов на уязвимость, которая либо не существует, либо не оказывает существенного влияния на фактическую безопасность вашего бизнеса. В результате автоматизированные сканирования, хотя и дешевы и эффективны при выявлении распространенных ошибок, не должны быть единственным средством проверки безопасности ваших систем.

Ручное тестирование
Ручное тестирование на проникновение выходит за рамки идентификации уязвимостей. Ручное тестирование на проникновение направлено на проверку наличия уязвимостей в ваших системах и использует их для предоставления доказательств их потенциального влияния на вашу компанию. Для использования уязвимостей с использованием аналогичных методов и передовых инструментов, используемых хакерами, требуются глубокие знания различных языков программирования, технологий и сред. В результате компания получит гораздо более полное представление о том, каким может быть прямое воздействие, если хакер воспользуется этой уязвимостью. При проведении тестирования на проникновение или анализа защищенности эксперты используют признанные методологии такие как: MITRE ATT&CK, PTES или OWASP, для более глубокого понимания любых уязвимостей в вашей системе и способов их эксплуатации. Проведение ручного тестирования на проникновение (пентест) требует гораздо больше времени и обязательств со стороны эксперта, чем автоматизированное тестирование. С ручным исследованием можно рассчитывать на объективные результаты необходимые для принятия стратегических решений, которые защитят системы от кибератак, гарантируя прямую окупаемость инвестиций.

3. Цели, которых вы хотите достичь
Стоимость тестирования на проникновение также существенно различается в зависимости от конкретных целей, которых компания намеревается достичь.

Например, требования стандартов безопасности PCI-DSS, которые предписывают проведение ежегодного пентеста, требуют доказательств того, что любые уязвимости, которые можно эксплуатировать в системах обработки карт, были надлежащим образом устранены. В большинстве случаев требуется повторное тестирование, чтобы доказать, что уязвимости, выявленные в ходе первоначального исследования, были успешно устранены, что напрямую увеличивает затраты.

В качестве альтернативы многие компании теперь выполняют тестирование как часть своего цикла разработки, прежде чем они выпустят новую функцию для приложения. В этом контексте область исследования сосредоточена на новых функциях, которые добавляются, а не на всем приложении, что сокращает усилия и тем самым радикально снижает затраты на проведение анализа защищенности.

В других случаях компаниям, столкнувшимся с требованиями безопасности от одного из своих клиентов или партнеров, может потребоваться протестировать всю свою инфраструктуру в качестве условия своего партнерства, поскольку они хотят ограничить любое потенциальное влияние, которое может повлиять на их собственную компанию. Такая ситуация часто требует более масштабных исследований или требует повторного тестирования, чтобы доказать, что уязвимости были успешно устранены, что опять же влияет на расходы.

4. Уровень знаний
Цены и качество тестирования на проникновение часто будут различаться в зависимости от уровня квалификации специалистов, отвечающих за проведение тестирования, поскольку они будут оказывать непосредственное влияние на окупаемость ваших инвестиций.

Большинство высококвалифицированных пентестеров успешно прошли различные сертификации, такие как OSCP, требующие длительного и углубленного обучения для получения сертификата. Эти сертификации, обычно довольно дорогие, предлагают некоторый практический опыт эксплуатации и документирования уязвимостей в некоторых из самых сложных сред и сценариев, с которыми тестировщики регулярно сталкиваются в отрасли. Эта сертификация требует от эксперта прохождение интесивного экзамена, который длится до 48 часов подряд.

Международные сертификаты в сочетании с многолетним опытом работы в отрасли обеспечивают надежные результаты, которые можно использовать для принятия верных решений, помогая вашей компании инвестировать свои ресурсы в области, где риски наиболее значительны.

В заключение
Прежде чем предоставить вам предполагаемую стоимость проведения тестирования на проникновение (пентест), необходимо будет определить и установить в деталях множество факторов (таких как масштаб проекта и контекст, в котором он выполняется).

Обратитесь к сертифицированному специалисту, чтобы получить оценку стоимости типа теста на проникновение, адаптированного к вашей компании и вашим конкретным потребностям.

ПОДЕЛИТЬСЯ