it-swarm-es.com

¿Es práctico y vale la pena alternar a los proveedores de pruebas de penetración?

¿Es considerado una la mejor práctica para alternar el proveedor utilizado para realizar pruebas de penetración? Por ejemplo, si es su política realizar una prueba de penetración de terceros semi-anualmente, tendría un proveedor de una conducta la prueba de penetración en la primera mitad del año y el proveedor B realiza otra prueba de penetración en la segunda mitad del año.

[editar]
Idealmente, usted lo alternaría entre dos socios de confianza. La idea es que ninguna persona/compañía es perfecta. Con lo que dijo esto, es esto práctico y los beneficios justifican gastar el tiempo/esfuerzo/dinero requerido para construir dos relaciones sólidas.

9
sdanelson

Muchos (¡quizás más?) Las personas consideran a los proveedores rotativos una mejor práctica.

El beneficio más valioso que normalmente escucho es que le permite comparar la calidad y el valor.

También creo que hay espacio para que seas creativo; Por ejemplo, contratar una empresa especializada en pruebas de penetración de aplicaciones para una ronda seguida de una especializada en ingeniería social, o solicitando a varios proveedores por redondos, o alguna combinación de los mismos.

En todos los casos, prestando atención a los nombres y los respectivos conjuntos de habilidades de los individuos que realizan el trabajo real es clave para garantizar que está obteniendo lo que espera (es decir, desea evitar la táctica de cebo y cambiar y desea rastrear a las personas que entreguen de alta calidad) .

10
Tate Hansen

La respuesta de @ Tate es buena en beneficio de rotar, pero señalaré otro punto importante:

La desventaja de rotar es que pierde mucho del contexto y el conocimiento que su proveedor ya se ha acumulado. Tanto el conocimiento de su contexto comercial, los requisitos, las reglas personalizadas, cómo funciona la aplicación, etc., y la familiaridad histórica con los problemas que ha tenido en el pasado. Si gira, tienes que empezar todo.

Por supuesto, si solo tiene el tipo externo de Pentester, viene de una vez en un tiempo para hacer una exploración ciega, bueno, entonces no han acumulado mucho conocimiento sobre usted ... ¡Pero entonces, ¿por qué molestarse con ellos? Estaría mejor con un "socio": alguien que aprenda su negocio, trabaja de acuerdo con eso, y puede identificar las tendencias, las causas de la raíz y los errores repetidos que ocurrieron antes, y funciona con usted para solucionarlos. Pero eso es difícil de construir si gira cada 6 meses ...

Supongo que es una compensación, verificación (y originalidad) contra un trabajo mejor y más eficiente (pero tendrías que confiar).

4
AviD

Voy a hacer algunos argumentos completamente diferentes que van directamente contra PCI DSS y CIP CVA.

Mi primer argumento es que es estúpido para contratar a probadores de penetración externos. Las pruebas de penetración deben ser un día de "caza de errores" que ocurra durante la infraestructura o las demostraciones de iteración (I.E. mientras está en el control de calidad/puesta en escena). Todos, incluidos todos los consultores/contratistas/QA-People/Devs/gerentes/etc, deben ser invitados y permitidos para participar. Deben trabajar juntos en equipos (generalmente pares) y los equipos deben ser diferentes mentes (por ejemplo, entrenados vs. no entrenados).

Mi segundo argumento es que es estúpido trabajar con una compañía asociada "ocasionalmente". Si va a poner en el esfuerzo de adquirir un asesor de confianza, está perdiendo su tiempo y su tuyo si solo los involucra una vez al año, o cuando las regulaciones dicten que debe. Es importante estar en contacto constante con las personas con las que construyas confianza.

Contrata una compañía de consultoría de Appsec y trátelos como empleados, incluso si no están en un escritorio todos los días de la semana laboral. Entra en el compromiso sabiendo que va a pasar 3 años antes de mostrar el progreso, pero establece metas/objetivos y métricas.

3
atdre

Desde la experiencia, diría que los Times Rotation funcionan mejor están en la escala de la empresa global, donde puede tener 3 a 6 organizaciones de proveedores en un panel que trabaja continuamente para usted, por lo que todos construyen el conocimiento a largo plazo del medio ambiente, y puede rotarlos. A través de una gama de áreas, por ejemplo, interno, externo, tercero, etc., pero solo se produce el valor real si puede crear los metadatos en torno a las pruebas para que pueda normalizar y rastrear las tendencias:

  • El vendedor X siempre califica un problema en particular como menor, pero el proveedor y las califica como significativo.
  • El probador A proporciona más información sobre los resultados de la prueba de la aplicación que el TESTER B.
  • El vendedor Z era menos hábil pero mejoraba más rápido que los demás.

Sin rotación, la comparación cruzada en las habilidades, y la capacidad de renegociar el precio puede ser difícil de administrar, pero tenga en cuenta que necesita para el presupuesto por tiempo para albergar a los nuevos proveedores a la velocidad en sus métodos de trabajo, expectativas de entrega, estilos de reporte, umbrales etc.

2
Rory Alsop