Тестирование на проникновение, или пентестинг, является фундаментальным элементом обеспечения безопасности ИТ-систем. Этот процесс позволяет «белым хакерам» использовать те же инструменты и методы, что и злоумышленники, для проверки защитных механизмов организации. Национальный центр кибербезопасности Великобритании (NCSC) сравнивает пентестинг с финансовым аудитом: «Ваш финансовый отдел отслеживает расходы и доходы ежедневно. Аудит, проводимый внешней группой, гарантирует, что внутренние процессы вашей команды достаточны». Такой подход дает уверенность в надежности ИТ-инфраструктуры и точно указывает на области, требующие улучшения.
Однако за кажущейся простотой классического пентеста скрываются значительные административные издержки. Процесс требует сложной координации между внутренней командой компании и внешними тестировщиками, что неизбежно нарушает повседневные рабочие процессы сотрудников. Прежде чем тест начнется, необходима серьезная подготовительная работа: сбор инвентарных данных о системах, создание четкого обзора ресурсов и активов, а также подготовка учетных данных для доступа, например, для симуляции угрозы со стороны недовольного сотрудника.
Определение точных границ тестирования — что входит в его рамки («in-scope»), а что нет («out of scope») — является еще одним трудоемким внутренним процессом. Эти рамки формируются на основе конкретных потребностей организации, и некоторые приложения могут быть намеренно исключены. В компаниях со сложными и постоянно меняющимися ИТ-средами приходится регулярно выделять ресурсы на переоценку области тестирования и потенциального воздействия этих изменений. Главный риск здесь — «размывание рамок» (scope creep), когда тест выходит за пределы первоначальных целей, создавая дополнительную работу и затраты.
Косвенные расходы также вносят свой вклад в общую стоимость. Само «окно» для тестирования может вызвать серьезные сбои в операционной деятельности, которыми необходимо управлять. После завершения теста наступает фаза исправления, которую часто описывают как «несколько расплывчатый этап». Он может включать консультации с тестировщиками для решения выявленных проблем и последующее повторное тестирование для проверки эффективности внесенных исправлений, что дополнительно увеличивает время и затраты.
Проблемы возникают и на этапе управления бюджетом. Организациям сложно выбрать правильную модель ценообразования. Существуют два основных подхода: фиксированная стоимость, когда тестировщики предоставляют окончательную цену, и модель «время и материалы», основанная на почасовой ставке с возможными дополнительными расходами при превышении оценочного времени. Как отмечает организация Network Assured, предоставляющая независимые рекомендации по ценообразованию на услуги кибербезопасности: «Существует причина, по которой так сложно сравнивать затраты на тестирование на проникновение: каждый тест в каждой фирме уникален».
В ответ на неэффективность и жесткость традиционных методов возник более современный подход — «Тестирование на проникновение как услуга» (Pen-testing-as-a-service, PTaaS). Эта модель предлагает более гибкое, настраиваемое и экономически эффективное решение. PTaaS может быть адаптирован под конкретные нужды организации, что снижает риск ненужных усилий и затрат, связанных с негибким планированием и размыванием рамок.
Примером такой современной услуги является решение CyberFlex от компании Outpost24. Этот продукт объединяет сильные стороны двух сервисов: PTaaS и Управления поверхностью внешней атаки (External Attack Surface Management, EASM). Такое сочетание обеспечивает непрерывное покрытие поверхности атаки приложений и работает по гибкой модели потребления. Это дает компаниям полное представление о затратах и возможностях, одновременно удовлетворяя потребности в обнаружении, приоритизации и отчетности по уязвимостям.
Изображение носит иллюстративный характер
Однако за кажущейся простотой классического пентеста скрываются значительные административные издержки. Процесс требует сложной координации между внутренней командой компании и внешними тестировщиками, что неизбежно нарушает повседневные рабочие процессы сотрудников. Прежде чем тест начнется, необходима серьезная подготовительная работа: сбор инвентарных данных о системах, создание четкого обзора ресурсов и активов, а также подготовка учетных данных для доступа, например, для симуляции угрозы со стороны недовольного сотрудника.
Определение точных границ тестирования — что входит в его рамки («in-scope»), а что нет («out of scope») — является еще одним трудоемким внутренним процессом. Эти рамки формируются на основе конкретных потребностей организации, и некоторые приложения могут быть намеренно исключены. В компаниях со сложными и постоянно меняющимися ИТ-средами приходится регулярно выделять ресурсы на переоценку области тестирования и потенциального воздействия этих изменений. Главный риск здесь — «размывание рамок» (scope creep), когда тест выходит за пределы первоначальных целей, создавая дополнительную работу и затраты.
Косвенные расходы также вносят свой вклад в общую стоимость. Само «окно» для тестирования может вызвать серьезные сбои в операционной деятельности, которыми необходимо управлять. После завершения теста наступает фаза исправления, которую часто описывают как «несколько расплывчатый этап». Он может включать консультации с тестировщиками для решения выявленных проблем и последующее повторное тестирование для проверки эффективности внесенных исправлений, что дополнительно увеличивает время и затраты.
Проблемы возникают и на этапе управления бюджетом. Организациям сложно выбрать правильную модель ценообразования. Существуют два основных подхода: фиксированная стоимость, когда тестировщики предоставляют окончательную цену, и модель «время и материалы», основанная на почасовой ставке с возможными дополнительными расходами при превышении оценочного времени. Как отмечает организация Network Assured, предоставляющая независимые рекомендации по ценообразованию на услуги кибербезопасности: «Существует причина, по которой так сложно сравнивать затраты на тестирование на проникновение: каждый тест в каждой фирме уникален».
В ответ на неэффективность и жесткость традиционных методов возник более современный подход — «Тестирование на проникновение как услуга» (Pen-testing-as-a-service, PTaaS). Эта модель предлагает более гибкое, настраиваемое и экономически эффективное решение. PTaaS может быть адаптирован под конкретные нужды организации, что снижает риск ненужных усилий и затрат, связанных с негибким планированием и размыванием рамок.
Примером такой современной услуги является решение CyberFlex от компании Outpost24. Этот продукт объединяет сильные стороны двух сервисов: PTaaS и Управления поверхностью внешней атаки (External Attack Surface Management, EASM). Такое сочетание обеспечивает непрерывное покрытие поверхности атаки приложений и работает по гибкой модели потребления. Это дает компаниям полное представление о затратах и возможностях, одновременно удовлетворяя потребности в обнаружении, приоритизации и отчетности по уязвимостям.
