שירות לקהילה -המדריך לבחירת ספק מבדקי החדירות שלך

יש לי תחושה שתעשיית מבדקי החדירות (PT) וסקרי הסיכונים יזכו לעדנה בתקופה הקרובה בעקבות יחסי הציבור שהם הזמינו ממר 0xOmar J.

כמובן שכל אותם ארגונים הכפופים לרגולציות, מבצעים מבדקים כאלה באופן סדיר, אך עם זאת חשבתי לרכז כמה טיפים לגבי בחירה נבונה יותר של החברה המבצעת. העצות מבוססות על חוויות של לקוחות שמזמינים שירותים כאלה על בסיס קבוע וכן על התייחסות של גורם מקצועי המעורה בתחום שהוסיף (וקצת שינה).

בגדול, התחום דיי רווי בספקים טובים יותר ופחות. כמעט ואין כיום בשוק הישראלי חברות ייעוץ בתחום אבטחת המידע שלא מציעות שירותים כאלה או דומים כחלק מסל הפתרונות שלהן.

הטיפים:

בבחירת ספק שירותי PT צריך לשים לב לתחום המיקוד של הבדיקה ולהתאמת ספק השירות לתחולת העבודה המסויימת הזו (למשל מערכות VoIP לעומת Web לעומת Desktop Client לעומת Binary Protocols & Servers וכן הלאה). על פי רוב מדובר במומחה בתחום מסויים אחד. נדירים הם המקרים שקיימת התמחות אמיתית בכמה דומיינים במקביל.

חשוב לראות מי איש המקצוע המדוייק שיעשה את המבדק. כל הניסיון שמוצהר בחוזה חייב להתייחס לבן אדם הספציפי שיעשה את העבודה בפועל!

החשיבות של "חברה מוכרת" היא משנית. לרוב מדובר באנשים מסויימים ובודדים ולא בשם של החברה מאחוריהם. יתכן מאוד שהמועמד המתאים ביותר הוא עצמאי ולא מגיע מחברה גדולה.

נקודה חשובה מאוד למבדק עצמו: חשוב לראות שנעשית בדיקה "ידנית" ולא רק באמצעי פריצה אוטומטיים. זו חוכמה פחות גדולה.... אנשי המקצוע האמיתיים מפתחים כלים ושיטות בעצמם ולא תמיד נעזרים בכלים אוטומטיים. חשוב לציין, עם זאת, כי לכלים האוטומטיים חשיבות עצומה בייעול התהליכים, בבקרה ובהורדת עלויות.

התעריפים השונים בהצעות שהלקוח יקבל יעזרו לו לראות מי באמת אנשי המקצוע בתחום, שכן הם בדרך כלל לא מורידים מחירים בקלות.... אין ספק שיכולות יחודיות שוות כסף.

ביצוע PT על מערכת ייחודית הוא אתגר כפול, אך הוא הזדמנות טובה להעריך את איכותו של הספק. הלקוח יכול ללמוד הרבה מאוד על יכולותיו של מבצע ה PT מדרך הלמידה של האחרון, הסקרנות ומהירות "העיכול" של טכנולוגיות חדשות עבורו.

תמיד שווה לבקש ניסיון ורפרנס מהעולם הפיננסי\ביטחוני –מי שעושה PT וגדל בעולמות אלה כנראה יודע את העבודה. רפרנס נוסף הוא עבודה עם יצרני פתרונות אבטחת מידע –לחלק מהחברות בשוק ניסיון במבדקי חדירות מול יצרני פתרונות ותוכנות לאבטחת מידע או מוצרים אחרים. לדעתי זה מוסיף הרבה נקודות מבחינת רמה טכנולוגית ועדכניות.

עוד פרמטר חשוב הוא הכרות עם תהליכים עסקיים: יש נטיה ל PT צעירים מדי לא להיות מודעים לצד העסקי של המערכות. למי שמנסה לפרוץ מערכת, מאוד חשוב להכיר את הצד העסקי שלה ואת הממשקים שלה עם גורמים סביבתיים. בהרבה מקרים טמונה החולשה הטכנית בממשקים בין מערכות. במקרים רבים אחרים טמונה החולשה העיקרית בעובדים שניגשים למערכות אלה. שימו לב שהכרות מוקדמת עם מערכת מסויימת עשויה להוות מכשול (קיבעון מחשבתי) לצד היתרון הברור.

כדאי לנסות להתרשם מה- CTO של חברת הייעוץ. ככל שהוא יותר טכני, תהליכי הבקרה המיושמים על איכות העבודה של העובדים בחברה הינם מעמיקים יותר.

מומלץ לבקש דו"ח לדוגמא ולשים לב שיש בו גם ממצאים שהם בדרגת Medium ו Low, מכך ניתן להסיק על היסודיות של החברה הבודקת. כמו כן, מומלץ להסתכל על איכות ההמלצות ואפילו ניסוחים\טעויות כתיב בכדי להסיק האם החברה יודעת גם ליעץ ולא רק לפרוץ.

לפי חלק מהגישות, אחת מדרישות החובה היא שבודק המערכת ידע לתכנת באותה שפת התכנות שבה נכתבה המערכת או הפלטפורמה (לדוגמא: לכתוב PHP ב Windows).

אלה הטיפים העיקריים לדעתי. אשמח לקבל פידבקים\תיקונים ותוספות לרשימה הזו ממי שמכיר את התחום (משני צידי המתרס).