Trong thế giới ngày nay của các hệ thống hack tự động, dữ liệu thường xuyên bị vi phạm và các quy định bảo vệ người tiêu dùng như GDPR và PCI DSS, kiểm tra thâm nhập hiện là một yêu cầu bảo mật thiết yếu cho các tổ chức thuộc mọi quy mô. Nhưng bạn nên tìm gì khi chọn đúng nhà cung cấp?
Số lượng lớn các nhà cung cấp có thể gây khó khăn và việc tìm kiếm một nhà cung cấp có thể cung cấp xét nghiệm chất lượng cao với giá cả hợp lý không phải là điều dễ dàng. Làm sao bạn biết chúng có tốt không? Mức độ chuyên môn bảo mật nào đã được đưa vào báo cáo? Ứng dụng của bạn có an toàn không, hay đơn giản là nhà cung cấp không tìm ra điểm yếu?
Không có câu trả lời nào dễ dàng, nhưng bạn có thể làm cho nó dễ dàng hơn bằng cách đặt trước các câu hỏi phù hợp. Những cân nhắc quan trọng nhất thuộc ba loại: chứng nhận, kinh nghiệm và giá cả.
Chứng chỉ
Chứng chỉ là nơi tốt nhất để bắt đầu, vì chúng cung cấp một lối tắt nhanh chóng để xây dựng lòng tin. Không thiếu các chứng chỉ chuyên nghiệp có sẵn, nhưng một trong những chứng chỉ được công nhận tốt nhất là CREST (Hội đồng các nhà kiểm tra bảo mật đạo đức đã đăng ký).
CREST được thiết lập bởi các tổ chức tư vấn thử nghiệm bút hàng đầu của Vương quốc Anh để giải quyết vấn đề này một cách chính xác và hiện nó là một dấu hiệu chất lượng được quốc tế công nhận cho nhiều lĩnh vực an ninh mạng.
Tuy nhiên, bạn vẫn cần biết những gì cần tìm, vì CREST có cả chứng nhận cấp công ty cũng như các chứng chỉ cá nhân trong đó mỗi người thử nghiệm phải vượt qua một kỳ thi để chứng minh kỹ năng của họ. Có một cái không có nghĩa là bạn có cái kia.
Chứng nhận toàn công ty (‘công ty thành viên CREST') được trao cho các công ty có thể chứng minh các chính sách, quy trình và thủ tục của họ là hoàn thiện. Điều này cho phép các công ty kiểm tra thâm nhập chứng tỏ rằng họ tuân theo các thông lệ tốt trên giấy tờ và sử dụng các phương pháp kiểm tra bảo mật thích hợp. Tuy nhiên, việc yêu cầu ‘công ty thành viên CREST' thực hiện thử nghiệm bằng bút không đảm bảo rằng nhà tư vấn thực hiện thử nghiệm của bạn được chứng nhận – chỉ đơn thuần là công ty có nghĩa vụ đạo đức cung cấp cho bạn một người thử nghiệm phù hợp.
Hãy chắc chắn rằng bạn hỏi về người kiểm tra thực tế sẽ thực hiện công việc – họ có chứng chỉ và kinh nghiệm phù hợp không?
Vì lý do đó, CREST cũng có các cấp độ khác nhau ngay cả đối với từng người thi, từ chứng chỉ đầu vào đến các kỳ thi thực hành phức tạp trong các lĩnh vực chuyên môn khác nhau. Điều quan trọng là phải xem xét cả cấp độ chứng chỉ và liệu chúng có dành riêng cho loại thử nghiệm thâm nhập mà bạn đang tìm kiếm hay không. Chúng tôi đã phác thảo các chứng chỉ CREST hiện có để kiểm tra thâm nhập bên dưới:
Cho dù bạn đang tìm kiếm một cấp dưới, cấp cao hay chuyên gia sẽ phụ thuộc vào khẩu vị rủi ro của tổ chức của bạn. Các chính phủ thường yêu cầu các chuyên gia, các công ty khởi nghiệp có hồ sơ rủi ro thấp hơn có thể ổn với các công ty hậu bối.
Mặc dù chứng chỉ rất hữu ích, nhưng chúng không thể bao gồm tất cả mọi thứ. Có rất nhiều loại công nghệ ngoài kia, và bạn không thể có một bài kiểm tra để đề cập đến từng loại công nghệ duy nhất. Như bạn có thể thấy từ sơ đồ trên, không có kỳ thi CREST nào cho AWS, hoặc cho các thiết bị nhúng hoặc ứng dụng di động.
Người kiểm tra sự thâm nhập giống như bác sĩ; họ có nhiều kiến thức và kỹ năng, nhưng không phải lúc nào cũng có sách giáo khoa cho bệnh nhân mà bạn đang điều trị. Đó là khi kinh nghiệm có thể phát huy tác dụng.
Trải qua
Một yếu tố quan trọng khác là kinh nghiệm mà người thử bút của bạn có dưới dây của họ. Càng tiếp xúc nhiều, họ càng có khả năng phát hiện ra nhiều mối đe dọa bảo mật hơn.
Điều quan trọng cần lưu ý là không phải tất cả trải nghiệm đều như nhau, vì một số loại kiểm tra có thể liên quan đến các kỹ năng cụ thể trong các công nghệ cụ thể, như AWS Cognito hoặc Giao thức nhắn tin thời gian thực. Đảm bảo rằng nhà cung cấp của bạn có kinh nghiệm liên quan về các công nghệ mà bạn đang làm việc.
Hãy nhớ rằng có thể không có người thử nghiệm có kinh nghiệm trong mọi công nghệ ngoài kia, vì vậy bạn có thể cần phải linh hoạt. Một người kiểm tra thâm nhập tốt sẽ có thể tìm hiểu về công nghệ bạn cần kiểm tra, dựa trên các kỹ năng và nguyên tắc từ các chuyên ngành khác, nhưng họ có thể mất nhiều thời gian hơn để làm quen với công nghệ hiện tại. Điều này có thể có tác động lên giá…
Giá bán
Khi khách hàng hỏi chi phí trung bình của một thử nghiệm thâm nhập, nó giống như hỏi một đoạn dây dài bao nhiêu. Nó phụ thuộc vào những gì bạn đang làm việc và bạn cần phải đi sâu đến mức nào. Hãy tưởng tượng việc sơn một cây cầu: nó phụ thuộc vào độ lớn của nó, và bạn muốn sơn bao nhiêu lớp. Một chiếc áo khoác có thể khiến bạn tiếp xúc với các yếu tố.
Hỏi chi phí thử bút bao nhiêu cũng giống như hỏi chi phí sơn một cây cầu là bao nhiêu. Nó phụ thuộc vào kích thước của cây cầu, bất kỳ yếu tố phức tạp nào và mức độ che phủ bạn muốn nhận được.
Do đó, các bài kiểm tra bút thường được báo giá trên cơ sở ‘giá ngày' và rất rộng rãi, bạn có thể phải trả bất kỳ khoản nào trong khoảng từ 800 đến 1500 bảng Anh.
Mức giá trong ngày khác nhau giữa các nhà cung cấp dựa trên những thứ như danh tiếng, chứng nhận và các yêu cầu đặc biệt và kinh nghiệm, mặc dù có thể thương lượng giảm giá nếu bạn mua nhiều ngày (bất kỳ điều gì quá mười lăm ngày sẽ được coi là một thử nghiệm lớn).
Để hiểu công việc của bạn sẽ mất bao lâu, nhà cung cấp thường cần nhận bản demo về sản phẩm của bạn hoặc thu thập thông tin về môi trường của bạn. Theo nguyên tắc chung, càng ít câu hỏi họ đặt ra trong giai đoạn này, bạn càng ít có khả năng nhận được một tác phẩm được trích dẫn chính xác.
Cũng không có tiêu chuẩn nào khi nói đến phạm vi một phần công việc, vì vậy bạn có thể thấy các ước tính khác nhau. Một nhà cung cấp có thể xác định một công việc là công việc 3 ngày và một nhà cung cấp khác là 5. Đây là những ước tính tốt nhất; thật khó để chắc chắn cho đến khi bạn đang thực hiện công việc.
Bạn thậm chí có thể mua pentest “có phí cố định”, nhưng quay trở lại với sự tương tự về cầu nối, bạn có thể nên lo lắng về mức độ bảo hiểm nếu họ cung cấp nó với một khoản phí cố định mà không hỏi mức độ lớn của công việc.
Như với mọi thứ trong cuộc sống, giá bạn được báo phải phản ánh chất lượng của bài kiểm tra thâm nhập – nhưng trong một ngành mà chất lượng của bài kiểm tra rất khó đánh giá, chắc chắn sẽ có một số thương nhân lừa đảo. Đặt câu hỏi đúng và không bỏ qua thẩm định.
Vượt xa các bài kiểm tra thâm nhập theo thời gian
Có những vấn đề lớn khi sử dụng kiểm tra thâm nhập làm phương pháp phát hiện lỗ hổng bảo mật duy nhất của bạn.
Thứ nhất, về chiều sâu, thử nghiệm thâm nhập chỉ bao gồm một thời điểm. Với 20 lỗ hổng mới được xác định mỗi ngày, kết quả kiểm tra khả năng thâm nhập của bạn có khả năng bị lỗi thời ngay khi bạn nhận được báo cáo.
Không chỉ vậy, các báo cáo có thể mất đến sáu tháng để sản xuất vì công việc liên quan, cũng như vài tháng để tổng hợp và hành động.
Chúng có thể rất đắt – thường có giá hàng nghìn bảng Anh mỗi lần.
Với việc tin tặc tìm ra nhiều phương pháp tinh vi hơn để đột nhập vào hệ thống của bạn, giải pháp hiện đại tốt nhất để giúp bạn đi trước một bước là gì?
Để có được bức tranh toàn cảnh nhất về tư thế bảo mật của mình, bạn cần kết hợp quét lỗ hổng bảo mật tự động và kiểm tra thâm nhập do con người dẫn dắt.
Intruder Vanguard làm được điều đó, mang kiến thức chuyên môn về bảo mật và phạm vi phủ sóng liên tục lại với nhau để tìm ra những điều mà các máy quét khác không thể làm được. Nó lấp đầy khoảng cách giữa việc quản lý lỗ hổng bảo mật truyền thống và các bài kiểm tra thâm nhập theo thời gian, để cung cấp khả năng giám sát liên tục hệ thống của bạn. Với sự tham gia của các chuyên gia bảo mật hàng đầu thế giới, họ sẽ thăm dò sâu hơn, tìm ra nhiều lỗ hổng hơn và cung cấp lời khuyên về tác động trực tiếp của họ đối với doanh nghiệp của bạn để giúp bạn ngăn chặn những kẻ tấn công.
Giới thiệu về Intruder
Intruder là một công ty an ninh mạng giúp các tổ chức giảm thiểu bề mặt tấn công của họ bằng cách cung cấp các dịch vụ kiểm tra khả năng xâm nhập và quét lỗ hổng liên tục. Máy quét mạnh mẽ của Intruder được thiết kế để xác định kịp thời các lỗ hổng có tác động cao, những thay đổi trong bề mặt tấn công và nhanh chóng quét cơ sở hạ tầng để tìm các mối đe dọa mới xuất hiện. Chạy hàng nghìn lần kiểm tra, bao gồm xác định cấu hình sai, các bản vá bị thiếu và các vấn đề về lớp web, Intruder giúp mọi người dễ dàng quét và truy cập lỗ hổng cấp doanh nghiệp. Các báo cáo chất lượng cao của Intruder là hoàn hảo để chuyển đến các khách hàng tiềm năng hoặc tuân thủ các quy định bảo mật, chẳng hạn như ISO 27001 và SOC 2.
Intruder cung cấp bản dùng thử miễn phí 30 ngày đối với nền tảng đánh giá lỗ hổng bảo mật của họ. Hãy truy cập trang web của họ ngay hôm nay để thử một vòng!
