Korzyści z włamania
- Wojciech Dworakowski,
- 26.01.2004
Raport końcowy
Produktem testów penetracyjnych jest raport szczegółowy. Trzeba mieć świadomość, że zamawiając testy, płacimy de facto za raport.
Samo wykonanie testów nie stanowi wartości dla zamawiającego - wartość leży w jakości wniosków wyciągniętych z rozpoznanych faktów. Raport z testu penetracyjnego powinien zawierać elementy, takie jak:
Doświadczenie zespołu
Oczywiście, doświadczenie zespołu wykonującego test penetracyjny jest kluczowe dla zaufania, jakie możemy mieć do wyników testu. Jednak ocenienie doświadczenia zespołu może być co najmniej trudne. W większości konkursów ofert można spotkać się ze schematami, jakie zwykle stosuje się przy zamawianiu innych usług IT, i próbami oceny doświadczenia za pomocą takich kryteriów, jak posiadane certyfikaty czy referencje z wykonanych usług. Żaden z nich nie przystaje do specyfiki związanej z oceną bezpieczeństwa, a już na pewno nie do testów penetracyjnych.
Certyfikaty zawodowe dotyczące dokładnie umiejętności wykonywania testów penetracyjnych nie istnieją. Brak ściśle określonych standardów, a więc także metody weryfikacji umiejętności. Certyfikaty dotyczące audytu IT (np. ISACA CISA) nie są tu adekwatne, ponieważ nie obejmują zagadnień testów penetracyjnych. Certyfikaty producentów sprzętu i oprogramowania równieżĘna niewiele się zdają. W końcu administrowanie systemem i włamywanie się do niego to dwie różne sprawy. Wkrótce sytuacja ma szansę się poprawić - w ostatnich latach pojawiło się kilka propozycji certyfikacji obejmujących testy penetracyjne. Pozostaje jednak kwestia dostępności egzaminów oraz odbioru tytułów zawodowych przez klientów.
Referencje nie są zbyt popularne wśród firm zajmujących się bezpieczeństwem. Wystawienie referencji po wykonaniu testu penetracyjnego zdarza się, lecz raczej są to przypadki odosobnione. Proszenie o wystawienie referencji to bowiem w pewnym sensie naruszenie dobrej zawodowej praktyki.
Współpraca obu stron
Naturalne jest, że zamawiający test penetracyjny powinien zapewnić dostępność wszelkich zasobów, które są niezbędne do realizacji testu. Mogą to być: dostęp do punktów, z których będzie wykonywany test, czy też dostarczenie kont i haseł, jeśli test obejmuje działania z określonymi przywilejami początkowymi. Przy testowaniu infrastruktury produkcyjnej, pomimo założenia, że testy nie powinny zakłócać ciągłości działania systemu, może się zdarzyć, iż do takich zdarzeń dojdzie.
Tak jak przy każdym projekcie, zamawiający test penetracyjny powinien zapewnić dostępność osoby odpowiedzialnej za projekt po swojej stronie, choćby po to, aby była odpowiedzialna za rozstrzyganie niejasności. Do niej zespół testujący powinien również zgłaszać wszelkie wykryte podatności krytyczne - takie, które trzeba natychmiastowo usunąć.