چگونه یک شرکت ارائه دهنده تست نفوذ را انتخاب کنیم
در این مقاله به 10 معیار از انتخاب یک شرکت ارائه دهنده سرویس تست نفوذ خوب پرداخته شده است که باید به آن ها توجه نمایید:
- تعیین نوع تست نفوذ مورد نیاز
- ارزیابی مهارت های تیم تست نفوذ
- درخواست مراجع مربوط به تست نفوذ
- دریابید که چگونه از داده های شما محافظت می شود
- درمورد بیمه مسئولیت سوال نمایید
- درخواست نمونه گزارش
- اعتبارسنجی قابلیت مدیریت پروژه
- شفاف سازی متدولوژی و فرایند
- در مورد فرایند تست مجدد سوال کنید
- با سرویس دهنده تست نفوذ آشنا شوید.
تعیین نوع تست نفوذ مورد نیاز
قبل از انتخاب یک شرکت ارائه دهنده سرویس تست نفوذ، شما می بایست مشخص نمایید که به دنبال چه نوع تست فنی میباشید،
به عبارت دیگر محدوده پروژه خود را تعیین نمایید. برای این منظور باید دریابید که شما به دنبال
تست نفوذ نرم افزار های کاربردی وب یا موبایل می باشید؟ یا قصد دارید بر روی
شبکه و یا زیرساخت تست نفوذ انجام دهید؟
انواع تست نفوذ مستلزم ابزار ها، دانش، تجربه و تخصص متفاوت می باشند که هزینه پروژه تست نفوذ را
تعیین می کند، اطمینان حاصل نمایید که شرکت ارائه دهنده تست نفوذ برای انجام پروژه شما به خوبی مجهز شده است.
به محض تعیین محدوده تست نفوذ، شما باید چگونگی انجام پروژه تست نفوذ را مشخص نمایید.
پروژه های تست نفوذ به سه شکل Black box، Gray box، White box انجام می شوند.
Black box: دقیقا مانند یک مهاجم یا هکر و بدون هیچگونه دانشی از محیط تست نفوذ، این بررسی انجام می شود،
در اصل این نوع تست به دنیای واقعی نزدیک تر بوده و فردی که تست نفوذ را انجام می دهد در نقش
مهاجم (attacker) ظاهر می شود.
Grey box: با دسترسی استاندارد و فقط با دانشی محدود از محیط تست نفوذ این بررسی انجام می شود،
در این بخش با استفاده از یک حساب کاربری به عنوان یک مشتری و دانش کلی از محیط تست نفوذ،
ارزیابی امنیتی صورت می گیرد.
White box: با آگاهی از ساختار داخلی، طراحی و نحوه پیاده سازی محیط تست نفوذ، این ارزیابی انجام می شود.
بسیار مهم است که شرکت تست نفوذ مورد نظر با انواع روش های تست نفوذ آشنا باشد.
ارزیابی مهارت های تیم تست نفوذ
علاوه بر ارزیابی شرکت ارائه دهنده تست نفوذ، شما می بایست به کارکنان شرکت و افرادی که
این پروژه را مورد بررسی قرار می دهند، نگاهی دقیق بیاندازید.
افراد بسیاری پروژه های تست نفوذ را انجام می دهند، اما تعداد اندکی از آن ها مهارت و دانش کافی را برای
انجام یک تست نفوذ با کیفیت دارا می باشند.
آنچه که حائز اهمیت است، تخصص و تجربه واقعی می باشد.
تخصص
از منظر تخصص، تیم تست نفوذ باید قادر به اثبات دانش فنی خود باشد، برای مثال مدارک دانشگاهی،
گواهینامه های ethical hacking و از این قبیل موارد در حوزه امنیت می تواند دال بر مهارت های نظری و
عملی لازم برای انجام پروژه تست نفوذ باشند.
گواهینامه هایی که می توان به آن اشاره نمود، عبارتند از:
Certified Ethical Hacker (CEH)
Licensed Penetration Tester (LPT)
GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)
Offensive Security Certified Professional (OSCP)
باید توجه داشت که در شرکت های نوپا و تازه تاسیس، بیشتر از رزومه شرکتی آنها، سطح دانش فنی و تمایل کارکنان به یادگیری موثر می باشد.
تجربه
در حالت ایده آل، تیم تست نفوذ باید تجارب بسیاری در صنایع، شرکت و پروژه های متفرقه کسب کرده باشد.
برای مثال اگر شرکت مورد نظر در حوزه مالی فعالیت می کند، اطمینان حاصل نمایید که تیم تست نفوذ تجارب
مشابه ای در این حوزه دارد.
درخواست مراجع مربوط به تست نفوذ
قبل از شروع تست نفوذ، اطمینان حاصل کنید که شرکت ارائه دهنده تست نفوذ 2 الی 3 نمونه پروژه تست نفوذ، برای سازمان هایی با
اندازه، محدوده و صنعت مشابه با سازمان شما انجام داده است. از این طریق اطمینان حاصل می کنید
که شرکت ارائه دهنده تست نفوذ برای پروژه شما مناسب است و متناسب با زمینه کاری شما فعالیت می کند.
دریابید که چگونه از داده های شما محافظت می شود
Pentester ها مطمئناً می دانند که چگونه به داده های محرمانه شما دسترسی پیدا کنند، اما شرکت ارائه دهنده سرویس،
باید تضمین کند که این داده ها در حین انجام پروژه و بعد از آن، به صورت کاملاً محرمانه،
ذخیره می شوند. این امر با امضاء تفاهم نامه منع افشای اطلاعات (NDA) محقق می گردد.
از این گذشته، شما قصد دارید مهمترین دارایی خود یعنی داده ها را در اختیار شرکت دیگر قرار دهید، پس
قبل از به اشتراک گذاشتن هرگونه داده محرمانه ای، باید توضیحی درباره نحوه کنترل داده ها درخواست نمایید.
درمورد بیمه مسئولیت سوال نمایید
قبل از انعقاد قرار داد با یک شرکت، از آنها بپرسید، آیا بیمه مسئولیت در قبال کارهایی که انجام می دهند
وجود دارد یا خیر. بیمه مسئولیت از اهمیت زیادی برخوردار است، زیرا از کسب و کار شما در برابر خطرات
محافظت می کند. برای مثال اگر شرکتی در حین انجام تست نفوذ، به شما آسیب برساند، بیمه مسئولیت در
جهت رفع این آسیب، به شما کمک می کند.
از این گذشته، شرکت های ارائه دهنده تست نفوذ در زمینه امنیت اطلاعات و مدیریت ریسک فعالیت دارند، بنابراین باید
بتوانند مشروعیت خود را با یک بیمه نامه معتبر اثبات کنند.
درخواست نمونه گزارش
تنها روش تحویل یک پروژه تست نفوذ جزئیات گزارش می باشد که شامل تمام یافته ها و همچنین اقدامات و
توصیه های لازم برای امن سازی محیط تست نفوذ می باشد.
برای تسهیل در روند تصمیم گیری خود، حتماً یک نمونه گزارش تست نفوذ را درخواست کنید و نسبت به آنچه
در انتهای یک پروژه دریافت خواهید نمود، واقف باشید.
در مقاله گزارش تست نفوذ، به ویژگی ها یک گزارش خوب پرداخته شده است.
اعتبارسنجی قابلیت مدیریت پروژه
بخشی از موفقیت پروژه به قابلیت های مدیریت پروژه بستگی دارد، از شرکت ارائه دهنده تست نفوذ بپرسید که از چه
نوع فرایند ها و متدلوژی هایی استفاده می کند تا از روان و به موقع اجرا شدن پروژه خود اطمینان حاصل
نمایید. به عنوان مثال بر مبنای آموزه های Project Management Institute (PMI)
علاوه بر درخواست روزمه های تیم تست نفوذ، در مورد صلاحیت ها و تجربه مدیرانی که پروژه به آن ها محول
شده است، سوال نمایید.
شفاف سازی متدولوژی و فرایند
هنگام انتخاب شرکت ارائه دهنده تست نفوذ، اطمینان حاصل نمایید شرکت مذکور، از متدولوژی و فرایند تست نفوذ
شناخته شده در همین حوزه پیروی می کند. باید بدانید که چگونه تست نفوذ انجام خواهد شد، چه روندی
دنبال می شود، از کدام ابزار ها استفاده خواهد شد و چگونه exploit ها صورت می گیرند.
در مورد فرایند تست مجدد سوال کنید
اگر به دنبال همکاری بلند مدت با شرکت ارائه دهنده تست نفوذ می باشید، حتماً در مورد احتمال تست نفوذ مجدد پس
از انجام پروژه، بحث نمایید. تست مجدد یک عنصر مهم در یک پروژه تست نفوذ می باشد، زیرا مراحل اصلاح
که توسط تیم IT پیاده سازی شده است، اعتبارسنجی می شود.
هر شرکتی علاقه مند به بهبود وضعیت امنیت سایبری به صورت مداوم و پایدار می باشد، برای این منظور
احتمالاً گزینه تست مجدد در proposal شرکت مربوطه وجود دارد، این امر نه تنها مشارکت بلند مدت را
تسهیل می بخشد بلکه به شما در تقویت دفاع در برابر حملات سایبری نیز کمک می کند.
با سرویس دهنده تست نفوذ آشنا شوید
در نهایت، شما باید با ارائه دهنده خدمات تست نفوذ آشنا شوید و با افرادی که به صورت مستقیم در تحویل
پروژه دخیل هستند، ارتباط مداوم داشته باشید.
منبع خبر: