Dôležité kritériá pri výbere spoľahlivého dodávateľa

Ako si vybrať firmu na penetračné testovanie?

Hneď na za­čiat­ku by som rád zdô­raz­nil, že ve­diem fir­mu za­me­ra­nú na pe­net­rač­né tes­to­va­nie a bez­peč­nos­tné audi­ty. Aby som sa čo naj­viac vy­hol za­uja­tos­ti, v člán­ku som sa sna­žil za­cho­vať ob­jek­ti­vi­tu v maximál­nej mož­nej mie­re, sú­čas­ne však aj vy­užiť svo­je tak­mer 15-roč­né skú­se­nos­ti v ob­las­ti pe­net­rač­né­ho tes­to­va­nia a IT bez­peč­nos­ti.

Po­dot­kol by som, že všet­ky uve­de­né kri­té­rá na ideál­ne­ho do­dá­va­te­ľa pe­net­rač­né­ho tes­to­va­nia nespĺňa ani na­ša fir­ma, aj keď sa sna­ží­me k to­mu kaž­dým ro­kom prib­lí­žiť.

Pri vý­be­re do­dá­va­te­ľa na pe­net­rač­né tes­to­va­nia som sa za­me­ral na ana­lý­zu toh­to prob­lé­mu z hľa­dis­ka troch kri­té­rií, kto­ré pok­la­dám v prí­pa­de IT bez­peč­nos­ti za naj­dô­le­ži­tej­šie: eti­ka, pro­fe­sio­na­li­ta a skú­se­nos­ti.

Eti­ka

Žiaľ, už pár ro­kov sa stre­tá­vam na Slo­ven­sku s tým, že tí, kto­rí do­ká­žu od­ha­ľo­vať bez­peč­nos­tné zra­ni­teľ­nos­ti, ne­ve­dia, ako ich správ­ne a etic­ky zve­rej­ňo­vať, a tí, kto­rí pla­tia za pe­net­rač­né tes­ty, ne­ve­dia, aké etic­ké pra­vid­lá ma­jú vy­ža­do­vať od ich do­dá­va­te­ľov. V praxi to zna­me­ná, že na Slo­ven­sku re­la­tív­ne čas­to fun­gu­je typ vý­hraž­né­ho pe­net­rač­né­ho biz­ni­su, keď niek­to bez aké­ho­koľ­vek súh­la­su od­ha­lí na va­šom webe ne­ja­kú váž­nej­šiu zra­ni­teľ­nosť a vzá­pä­tí vám na­pí­še vý­hraž­ný mail prib­liž­ne ta­ké­ho­to zne­nia:

„Dob­rý deň, na Va­šom webe sme od­ha­li­li váž­nu zra­ni­teľ­nosť, viac in­for­má­cií o nej Vám pos­kyt­ne­me, keď si u nás/u mňa za­pla­tí­te pe­net­rač­ný test..."

Na­neš­ťas­tie má­lok­to z vy­stra­še­ných klien­tov si uve­do­mí, že ta­ké­to ko­na­nie je vy­slo­ve­ne nee­tic­ké, a to z nas­le­du­jú­cich prí­čin:

  1. Ide o zís­ka­va­nie biz­ni­su pros­tred­níc­tvom vy­hrá­ža­nia (ak nie vy­slo­ve­ne vy­die­ra­nia).
  2. In­for­má­cie o uve­de­ných zra­ni­teľ­nos­tiach bo­li zís­ka­né nee­tic­kým (ak nie ne­le­gál­nym) spô­so­bom - bez váš­ho súh­la­su na vy­ko­na­nie tes­tu, kto­rý to od­ha­lil.

Se­rióz­na IT bez­peč­nos­tná spo­loč­nosť, kto­rá pos­ky­tu­je pe­net­rač­né tes­ty a bez­peč­nos­tné audi­ty, by:

1. Nik­dy ne­ma­la vy­uží­vať vý­hraž­ný (ale­bo vy­die­rač­ský) prís­tup ku klien­to­vi, a to:

  • pod­mie­ňo­vať ob­jed­na­nie pe­net­rač­né­ho tes­tu tým, že vás in­for­mu­je o bez­peč­nos­tných zra­ni­teľ­nos­tiach, kto­ré sa vo va­šej webo­vej ap­li­ká­cii zis­ti­li bez váš­ho súh­la­su
  • pod­mie­ňo­vať ob­jed­na­nie pe­net­rač­né­ho tes­tu tým, že inak zve­rej­ní od­ha­le­né bez­peč­nos­tné zra­ni­teľ­nos­ti
  • žia­dať pria­mu kom­pen­zá­ciu (nap­rík­lad fi­nan­čnú) za zve­rej­ne­nie od­ha­le­nej zra­ni­teľ­nos­tí vám ale­bo tre­tej stra­ne

Vo všet­kých troch prí­pa­doch ide pri­naj­men­šom o nee­tic­ký prís­tup.

2. Ma­la vždy vy­ža­do­vať pod­pí­sa­nie vzá­jom­nej zmlu­vy o vy­ko­na­ní pe­net­rač­ných tes­tov (tzv. zmlu­va o bez­peč­nos­tnom zhod­no­te­ní), kde va­ša spo­loč­nosť dá­va svoj súh­las vy­ko­ná­va­te­ľo­vi na spus­te­nie a vy­ko­na­nie da­ných pe­net­rač­ných tes­tov v de­fi­no­va­nom ča­se (z da­né­ho de­fi­no­va­né­ho IP ad­res­né­ho roz­sa­hu ale­bo mies­ta) za jas­ných, zmluv­ne de­fi­no­va­ných pod­mie­nok.

3. Ne­ma­la mať prob­lém pod­pí­sať obojstran­nú NDA (zmlu­va o ml­čan­li­vos­ti) s adek­vát­nou zmluv­nou po­ku­tou (mi­ni­mál­ne do vý­šky ce­ny pe­net­rač­né­ho tes­tu).

Se­rióz­na bez­peč­nos­tná spo­loč­nosť vy­ko­ná­va­jú­ca pe­net­rač­né tes­ty by sa ne­ma­la pus­tiť do tes­to­va­nia váš­ho webu prv, ako jej na to dá­te pí­som­ný súh­las (v zmlu­ve o vy­ko­na­ní pe­net­rač­ných tes­tov, prí­pad­ne inej zmlu­ve), po­dob­ne by vás ne­ma­la in­for­mo­vať o zra­ni­teľ­nos­tiach, kto­ré od­ha­li­la po­čas tes­to­va­nia vy­ko­na­né­ho bez váš­ho súh­la­su.

Pro­fe­sio­na­li­ta

Po­su­dzo­vať tech­nic­ké schop­nos­ti fir­my vy­ko­ná­va­jú­cej pe­net­rač­né tes­ty či bez­peč­nos­tné audi­ty mô­že byť dosť ťaž­ké. Tri ve­ci, kto­ré vám mô­žu po­môcť as­poň čias­toč­ne si ove­riť tie­to schop­nos­ti, sú:

1. Tech­nic­ké bez­peč­nos­tné cer­ti­fi­ká­cie

ISA­CA cer­ti­fi­ká­ty CI­SA, CISM, CGEIT či CRISC nie sú tech­nic­ké cer­ti­fi­ká­cie a o schop­nos­ti reali­zo­vať pe­net­rač­né tes­ty prak­tic­ky vô­bec ne­vy­po­ve­da­jú.

ISC2 cer­ti­fi­kát CISSP je tech­nic­ký cer­ti­fi­kát pre IT bez­peč­nos­tných ma­na­žé­rov, kto­rý ide dos­ta­toč­ne do šír­ky, ale má­lo do hĺbky, tak­že ta­kis­to ni­ja­ko ne­vy­po­ve­dá o schop­nos­ti reali­zo­vať kva­lit­né pe­net­rač­né tes­to­va­nie.

EC-Coun­cil cer­ti­fi­ká­ty CEH, EC­SA, LPT pa­tria me­dzi naj­po­pu­lár­nej­šie hac­ker­ské cer­ti­fi­ká­cie, ale úro­veň zna­los­tí na to, aby ste ich zís­ka­li, je re­la­tív­ne níz­ka a ta­kis­to ni­ja­ko ne­vy­po­ve­da­jú o nad­štan­dar­dných tech­nic­kých schop­nos­tiach pe­net­rač­ných tes­te­rov.

Cer­ti­fi­ká­ty, kto­ré ref­lek­tu­jú hl­bo­ké zna­los­ti pe­net­rač­né­ho tes­to­va­nia, sú nap­rík­lad OSCP (Of­fen­si­ve Se­cu­ri­ty Cer­ti­fied Pro­fes­sio­nal), CEPT (Cer­ti­fied Expert Pe­net­ra­tion Tes­ter) či rôz­ne cer­ti­fi­ká­cie od or­ga­ni­zá­cie SANS, nap­rík­lad GCIA. V slo­ven­ských či če­ských kon­či­nách sú tie­to cer­ti­fi­ká­cie, žiaľ, dosť nez­ná­me a klien­ti ich ne­poz­na­jú, a te­da ani ne­vy­ža­du­jú.

2. Ukáž­ko­vé vý­stup­né sprá­vy, ma­nuál­ne ove­re­nie, me­to­do­ló­gie

Fir­ma, kto­rá vy­ko­ná­va pe­net­rač­né tes­to­va­nie či bez­peč­nos­tné audi­ty, by ne­ma­la mať prob­lém na po­žia­da­nie pos­kyt­núť ukáž­ko­vé ano­ny­mi­zo­va­né sprá­vy (re­por­ty) tes­tov, kto­ré vy­ko­na­la.

Z vý­sled­ných správ zvy­čaj­ne mož­no zis­tiť, či pe­net­rač­né tes­to­va­nie bo­lo vy­ko­na­né for­mou spus­te­nia 2-3 auto­ma­ti­zo­va­ných nás­tro­jov, kto­rých vý­stup bol len pre­lo­že­ný do slo­ven­či­ny/češ­ti­ny, ale­bo bo­lo reali­zo­va­né aj hĺbko­vé tes­to­va­nie, kto­ré za­hŕňa ma­nuál­ne ove­ro­va­nie zra­ni­teľ­nos­tí (tzv. ma­nual in­spec­tion), prí­pad­ne re­ver­zné in­ži­nier­stvo (obzvlášť pri lo­kál­ne tes­to­va­ných ap­li­ká­ciách). Vo všeo­bec­nos­ti pla­tí, že ma­nuál­ne hľa­da­nie a ove­ro­va­nie zra­ni­teľ­nos­tí, ako aj schop­nosť vy­ko­ná­vať re­ver­zné in­ži­nier­stvo sved­čí o nad­štan­dar­dných zna­los­tiach tes­te­rov a to­to kri­té­rium by sa ma­lo vy­ža­do­vať v prí­pa­de, že zá­kaz­ník chce sku­toč­ne dôk­lad­né ove­re­nie bez­peč­nos­ti ap­li­ká­cie ale­bo sys­té­mu.

Pe­net­rač­né tes­to­va­nie mož­no vy­ko­nať rôz­ny­mi pos­tup­mi. Niek­to­rí do­dá­va­te­lia ako svoj „know-how" pou­ží­va­jú vlas­tné me­to­do­ló­gie, väč­ši­na skú­se­ných spo­loč­nos­tí však pre­fe­ru­je ve­rej­ne dos­tup­né „best-prac­ti­ce" me­to­do­ló­gie. Me­dzi naj­zná­mej­šie pat­rí OSSTMM, pri de­tail­nom tes­to­va­ní webo­vých ap­li­ká­cií je to OWASP Tes­ting Gui­de v4, v prí­pa­de mo­bil­ných ap­li­ká­cií za­se OWASP Mo­bi­le Pro­ject. Ap­li­ká­cie na spra­co­va­nie čí­sel pla­tob­ných ka­riet sa oby­čaj­ne tes­tu­jú pod­ľa štan­dar­du PCI-DSS.

3. Or­ga­ni­zač­ná zod­po­ved­nosť a ne­zau­ja­tosť

Spo­loč­nosť na pe­net­rač­né tes­to­va­nie by ne­ma­la mať prob­lém in­for­mo­vať zá­kaz­ní­ka o od­ha­le­ných bez­peč­nos­tných ná­le­zoch okam­ži­te, eš­te pred tým, ako mu vy­ho­to­ví a do­dá vý­sled­nú sprá­vu. Dodr­žia­va­nie ter­mí­nov ukon­če­nia je ta­kis­to znám­ka pro­fe­sio­na­li­ty.

Ďal­ší pre­jav pro­fe­sio­na­li­ty do­dá­va­te­ľa je dodr­žia­va­nie inter­nej bez­peč­nos­ti pe­net­rač­ných tes­te­rov (ma­za­nie od­ov­zda­ných vý­sled­ných správ a do­ku­men­tá­cie po ukon­če­ní pro­jek­tu, mož­nosť šif­ro­va­nej ko­mu­ni­ká­cie s tes­ter­mi vy­uži­tím tech­no­ló­gií PGP ale­bo S/MI­ME či šif­ro­va­né ho­vo­ry, ako aj fy­zic­ká bez­peč­nosť pries­to­rov do­dá­va­te­ľa a jej neus­tá­le pre­ve­ro­va­nie).

Dô­le­ži­tá je aj ús­tre­to­vosť sme­rom k zá­kaz­ní­ko­vi - nap­rík­lad ocho­ta vy­ko­ná­vať niek­to­ré dru­hy tes­tov (napr. DoS) v noč­ných ho­di­nách či cez ví­ken­dy.

Aby bo­la za­cho­va­ná čo naj­väč­šia ne­zau­ja­tosť a ob­jek­tív­nosť pri hľa­da­ní zra­ni­teľ­nos­tí, vy­ko­ná­va­te­ľom pe­net­rač­ných tes­tov či bez­peč­nos­tných audi­tov by ma­la byť iná spo­loč­nosť ako spo­loč­nosť, kto­rá rie­še­nie vy­ví­ja či na­sa­dzu­je. Po­dob­ne vy­ko­ná­va­teľ tes­tov by ne­mal reali­zo­vať bez­peč­nos­tné op­ra­vy a mal by slú­žiť len ako ne­zá­vis­lý bez­peč­nost­ný kon­zul­tant.

Skú­se­nos­ti a ak­ti­vi­ty v IT bez­peč­nos­tnej ko­mu­ni­te

Pe­net­rač­né tes­to­va­nie je cit­li­vá ob­lasť a množ­stvo zá­kaz­ní­kov si ne­že­lá, aby bo­li zve­rej­ne­ní v re­fe­ren­ciách do­dá­va­te­ľov pe­net­rač­ných tes­tov či bez­peč­nos­tných audi­tov. Na­priek to­mu dos­tup­né re­fe­ren­cie mô­žu po­môcť zis­tiť, či da­ná spo­loč­nosť má dl­ho­do­bé skú­se­nos­ti nap­rík­lad s tes­to­va­ním ap­li­ká­cií v ban­ko­vom pros­tre­dí, tes­to­va­ním mo­bil­ných ap­li­ká­cií či rôz­ny­mi neš­tan­dar­dný­mi tech­no­ló­gia­mi, kto­ré zá­kaz­ník po­ža­du­je.

Dá sa po­ve­dať, že tie naj­lep­šie sve­to­vé fir­my „bez­peč­nos­ťou ži­jú" - neus­tá­le od­ha­ľu­jú no­vé dru­hy a vek­to­ry zra­ni­teľ­nos­tí, ana­ly­zu­jú no­vé tech­no­ló­gie, pí­šu od­bor­né člán­ky, pub­li­ku­jú a pred­ná­ša­jú na sve­to­vých kon­fe­ren­ciách a svo­je know-how či tech­nic­ké nás­tro­je zve­rej­ňu­jú.

Zá­ver

Roz­die­ly v kva­li­te a ce­ne fi­riem na pe­net­rač­né tes­ty a bez­peč­nos­tné audi­ty mô­žu byť sku­toč­ne dra­ma­tic­ké. Pri os­lo­ve­ní via­ce­rých do­dá­va­te­ľov je pre­to vhod­né na za­čiat­ku de­fi­no­vať oča­ká­va­nú úro­veň a hĺbku bez­peč­nos­tné­ho zhod­no­te­nia a na zá­kla­de to­ho vy­brať ce­no­vo pri­ja­teľ­né­ho do­dá­va­te­ľa.

Keď­že kaž­dý do­dá­va­teľ mô­že mať tro­chu iný poh­ľad na bez­peč­nosť a od­ha­le­né zra­ni­teľ­nos­ti rôz­nych do­dá­va­te­ľov sa ne­mu­sia prek­rý­vať, pri tes­to­va­ní bez­peč­nos­ti je dob­ré dis­po­no­vať ne­zau­ja­tým ná­zo­rom od via­ce­rých spo­loč­nos­tí. Pre­to mi­ni­mál­ne vo fi­nan­čnom sek­to­re exis­tu­je pra­vid­lo strie­dať do­dá­va­te­ľov na pe­net­rač­né tes­ty a bez­peč­nos­tné audi­ty, a to nap­rík­lad kaž­dé dva ro­ky.

Autor: Pa­vol Lup­ták, CEO Net­hem­ba s. r. o.

Zdroj: IW 11-12/2014


Ohodnoťte článok:
   
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter