Penetration test er blevet en væsentlig for virksomheder, der ønsker at opretholde en robust cybersikkerhed kropsholdning. Men hvis du bestille en test for første gang, så har du den udfordring at vælge den rigtige leverandør.
Pen test er en meget specialiseret færdighed, der kræver kvalificeret, kyndige fagfolk, så det er vigtigt du føler dig sikker i de personer, som du har tillid til at udføre en vurdering.
Efter alt, du kunne godt blive bedt om at give en tester med adgang til følsomme systemer og data. Her er nogle af de centrale spørgsmål, som du har brug for at bede en pen-test udbyderen med henblik på at gøre beslutningsprocesserne som stress fri som muligt.
Har de relevante certificering?
Det er vigtigt, at du har tillid til din pen-test kan afvikle arbejde til den højeste tekniske, juridiske og etiske standarder. Den første ting, du skal se at få den tryghed du har brug for, er, om udbyderen er fuldt uddannet og kvalificeret i de tjenester, de tilbyder.
Kig efter pen test udbydere, der er CREST-akkrediteret og beskæftiger etiske hackere, der besidder en række professionelle certificeringer. Dette vil ikke blot bidrage til at vise, at de har et godt kendskab til de nyeste hacking teknikker, men kan have tillid til at foretage vurderinger sikkert, uden skader og forstyrrelser for dine systemer.
Kan de udføre en lang række tests?
Det skal bemærkes, at der er mange forskellige typer af penetration test. De fleste virksomheder kræver en række forskellige tests for at identificere interne og eksterne eksponeringer, samt dem, der specifikt relateret til netværk, systemer og applikationer.
Det betyder, at du vil drage størst fordel af et team af pen testere, der har de færdigheder og erfaring til at gennemføre en lang række vurderinger. Dette indbefatter whitebox, blackbox og greybox test. Nogle pen test udbydere er stærkt afhængige af automatisering til at foretage vurderinger, så det er vigtigt at fastslå omfanget af manuelle test, der vil blive udført som en del af en vurdering.
En pen-test er ikke altid om at identificere masser af lav-niveau sårbarheder, noget mere højrisiko dem, scanning værktøjer ikke er i stand til at opdage.
Har de en god track record?
En erfaren pen test udbyder vil have et godt ry i cybersikkerhed område, så det er en rigtig god idé at kontrollere, om virksomheden kan levere en række klient referencer og testimonials fra organisationer ligner din egen.
Hvis en udbyder ikke kan godtgøre, at de har gennemført en høj standard for arbejde for andre virksomheder, derefter gå væk. Du bør ikke nøjes med lav kvalitet arbejde, når der er mange velrenommerede udbydere til rådighed.
Har de specifikke branchekendskab?
Det er afgørende at fastslå, om udbyderen har erfaring med at arbejde med organisationer i netop din branche, da dette kan påvirke, om de er i stand til at udføre grundig test.
For eksempel, hvordan velkendte er en udbyders testere med særlig software eller applikationer, der er almindeligt anvendt i virksomheder som din egen? Er de klar over risikoen for test specialist infrastruktur, såsom dem, der anvendes i den finansielle, sundhedssektoren og fremstillingsvirksomheder?
Har de rapporterer og give feedback?
Når vi taler med en udbyder, Det er vigtigt at fastslå, ikke kun hvordan penetrationsprøve vil blive gennemført, men også hvilken type feedback, du modtager, og hvordan det vil blive meddelt. Mange testere er i stand til at udføre test, men vil ikke altid give den grad af feedback, du har brug for at prioritere og løse eventuelle identificerede risici.
Du bør vælge en udbyder, der vil levere en omfattende rapport efterfølgende vurdering er egnet til både tekniske og ikke-tekniske interessenter. Altid bede om at se en prøve.
Er de fleksible?
I betragtning af at penetration test er tilbøjelige til at involvere testning vigtige systemer og infrastruktur, du har brug for at sikre, at du vælger en pen test udbyder, der er fleksible til virksomhedens behov. For eksempel, kan prøvningen udføres både på stedet og eksternt, samt ud fra almindelig kontortid.
Har de tilbyder en gratis retest?
Endelig, overveje, hvad der sker, efter din penetration test. Din virksomhed vil sandsynligvis nødt til at tage skridt til at løse sårbarheder identificeret, men hvordan kan du vide, om disse foranstaltninger er effektive? Alt for mange virksomheder tager skridt til at løse problemet, men aldrig validere resultaterne af ændringerne, hvilket betyder, at de ikke kan arbejde i en reel angreb.
Spørg altid en udbyder, hvis det giver mulighed for en gratis re–test for at hjælpe med at opnå tillid til, at de ændringer, du foretager, er effektive.
Om forfatteren: Chester Avey
Chester Avey har over ti års erfaring i cybersikkerhed og virksomhedernes vækst konsulent. Han nyder at dele sin viden med andre ligesindede professionelle med hans forfatterskab. Find ud af, hvad der ellers Chester har lavet på det på Twitter: @ Chester15611376.
