Managerski poradnik efektywnego zarządzania testami penetracyjnymi

Bezpieczeństwo

Współpraca z testerami penetracyjnymi to dość specyficzna działalność, która nie każdemu managerowi przychodzi z łatwością. Testerzy to też ludzie, o czym niektórzy managerowie firm niezwiązanych z testami oprogramowania zdają się zapominać i zdarza im się patrzeć na testerów z góry, a nawet ignorować płynące od nich informacje. To oczywiste, że taka ignorancja musi prowadzić do pogorszenia jakości produktu i spięć na tle personalnym.

Z doświadczenia wiem, że nieczęsto się zdarza, żeby firmy rekrutujące testerów wiedziały jak postępować z testami i innymi sprawami związanymi z bezpieczeństwem. Jestem pewny, że cała branża skorzystałaby na tym, gdyby managerowie, którzy nie mają doświadczenia w postępowaniu z testerami, zrobiliby przed rozpoczęciem współpracy mały research, poradzili się bardziej doświadczonych kolegów lub przeczytali poradnik, taki jak na przykład ten. Dowiesz się z niego jak efektywnie przejść przez proces testów penetracyjnych, jak wdrażać programy bug bounty i jak efektywnie przeprowadzać resztę procesów związanych z bezpieczeństwem.

Przyjrzyjmy się więc najważniejszym zagadnieniom, o jakich musi wiedzieć każdy manager i członek teamu security, żeby podnieść jakość współpracy z zewnętrzną firmą.

  • Staraj się budować długoterminową relację z pentesterami już od pierwszego dnia współpracy.

W zalewie tak wielu niskiej klasy firm pentestingowych, powinieneś właściwie docenić porządny zespół, jak tylko na taki trafisz. Bywa, że test musi zostać przeprowadzony z dnia na dzień, więc dobrze zaprzyjaźnić się z kimś, kto jest zawsze chętny do pomocy i potrafi “wcisnąć” cię w swój harmonogram bez kolejki.

Zrozumiałe, ze możesz niechętnie podchodzić do poświęcania własnego czasu na budowanie wątpliwej relacji z firmą zajmującą się świadczeniem zautomatyzowanych testów zgodności, jednak ogólny zamysł jest taki, żeby szanować się wzajemnie i wykorzystać każdą okazję do zawarcia wartościowych znajomości.

  • Jasno przedstawiaj swoje oczekiwania i bądź otwarty na propozycje.

Możesz nie potrzebować pełnych testów penetracyjnych, a twoje wymagania lepiej zaspokoi skrócony audyt bezpieczeństwa. Dlatego warto budować zdrowe relacje z pentesterami, którzy potrafią szczerze i profesjonalnie doradzić, tak abyś nie marnował pieniędzy na sprawy, których tak naprawdę nie potrzebujesz.

  • Komunikuj się z pentesterami.

Jeśli chcą znać szczegóły twojego ekosystemu – proszę bardzo.Udzielaj pentesterom wszystkich informacji, o jakie poproszą, dzięki temu z łatwością zaadaptują się do twoich potrzeb. Mów o tym, co jest dla ciebie ważne, jakie rodzaje danych są cenne, jakie są krytyczne komponenty twojej sieci/aplikacji. Jeśli cała papierologia się zgadza, to śmiało możesz dzielić się z nimi swoją opinią o mocnych i słabych stronach badanej sieci.

  • Po zakończeniu testów nie zadowalaj się tylko papierowym raportem z surowymi danymi.

Pogadaj z testerami. Wypytaj o ich zdanie na temat twojej architektury i zapisz wszystkie techniczne porady, jakie tylko mają. Nawet pomimo tego, że nie znają twojego modelu biznesowego zbyt dobrze, to widzieli w życiu sporo innych firm, więc mogą mieć coś mądrego do powiedzenia: na przykład jakie elementy twojego systemu warto i można ulepszyć. Będą zachwyceni, jeśli tylko ich o to zapytasz.

Gdy tylko pokażesz, że naprawdę ci zależy, na pewno dostrzeżesz, że testerzy z największą ochotą poświęcą ci dodatkowy czas – oni po prostu mają już dość klientów zlecających testy tylko po to, żeby dostać przysłowiowy “papierek”, a wcale nie obchodzi ich implementowanie jakichkolwiek poprawek i ulepszeń.

  • Umów się na krótką rozmowę z ludźmi, którzy testowali twój system i produkty.

Pentesterzy rzadko mają bezpośredni kontakt z klientami, dla których pracują, przez co nie mają okazji szczerze wyrazić swoich myśli. Ich opinie są zazwyczaj filtrowane przez managerów i innych pośredników. Jeśli więc chcesz dowiedzieć się więcej, niż to co przeczytałeś w raporcie, umów się na krótką rozmowę z kimś, kto faktycznie pracował przy twoim projekcie.

  • Unikaj formalności w kontaktach z testerami

Uważaj na swój ton i unikaj postawy bierno-agresywnej. Kiedy uważasz, że nie otrzymałeś dość informacji, nie wysyłaj od razu formalnych ponagleń i maili, w których domagasz się więcej danych. Pamiętaj, że interakcje społeczne działają w dwie strony i jeśli będziesz zbyt formalnie podchodził do kontaktów z testerami, z którymi współpracujesz, to będą robić tylko tyle, na ile zgodzili się podpisując umowę i ani trochę więcej. Zdaję sobie sprawę, że kiedy wskazuje się komuś słabe punkty w wykonanej pracy w grę wchodzą też emocje, ale koniecznie zawsze zachowuj spokój.

 

Więcej porad już wkrótce!

Dawid Bałut

Dawid Bałut 26.07.2018

Pentester i Bug Hunter z dużym doświadczeniem, który dołączył do defensywnej strony mocy i przez ponad pół dekady pracował jako Architekt Bezpieczeństwa dla korporacji z Doliny Krzemowej. Na co dzień buduje systemy zabezpieczeń, szkoli pracowników i automatyzuje wszelkie procesy bezpieczeństwa.

Comments are closed.