Häufig gestellte Fragen zum Pen Testing
Ein typischer notwendiger Schritt bei einer SOC- oder ISO 27001-Audit ist, einen Penetrationstest für Ihr Unternehmen durchzuführen. Ein Penetrationstest (oft auch als „Pen Test“ bezeichnet) ist ein simulierter Angriff durch eine Drittpartei, der dazu dient, Schwachstellen in der Infrastruktur, den Systemen und den Anwendungen eines Unternehmens zu finden. Der Pen-Tester erstellt dann einen Bericht mit seinen Ergebnissen, den das Unternehmen zur Behebung offener Probleme nutzen kann.
Leider ist die Welt des Pen Testings genauso undurchsichtig wie der Compliance-Prozess. Im Folgenden sprechen wir mit Alex Lauerman, Gründer und Hauptsicherheitsberater bei TrustFoundry, um einige der häufigsten Fragen, die unsere Kunden zum Pen Testing haben, zu beantworten.
Was sollte der Umfang des Pen Tests für ein bestimmtes Compliance-Framework wie SOC 2 sein?
Alex Lauerman, TrustFoundry: Wenn Sie im Rahmen eines Compliance-Frameworks wie SOC 2 zur Durchführung eines Penetrationstests verpflichtet sind, ist es am besten, mit Ihrem Prüfer zusammenzuarbeiten, um den Umfang zu bestimmen und sicherzustellen, dass Ihr Ansatz akzeptabel ist.
Im Allgemeinen lautet die Anforderung von SOC 2 oder ISO 27001 etwa „jährliche Penetrationstests“, was einen gewissen Spielraum für Interpretation lässt. Die sicherste Option ist, mit Ihrem Prüfer zusammenzuarbeiten, um herauszufinden, was Ihr Pen Test abdecken sollte.
Ein Penetrationstest-Unternehmen wie TrustFoundry kann basierend auf früheren Erfahrungen einige Richtlinien geben, aber da Ihr Prüfer das letzte Wort darüber hat, was akzeptabel ist, ist es wichtig, seine Zustimmung am Ende zu erhalten.
Wann sollte ein Pen Test stattfinden?
Alex Lauerman, TrustFoundry: Penetrationstests finden in der Regel jährlich statt, da ein jährlicher Test oft eine Anforderung des Compliance-Frameworks und auch eine vernünftige interne Anforderung ist.
Unternehmen können es seltener durchführen, wenn es nicht erforderlich ist oder jährlich benötigt wird. Sie können es auch häufiger durchführen, wenn es signifikante Änderungen oder Funktionsupdates gibt und ein Unternehmen es für sinnvoll hält, potenzielle Schwachstellen zu suchen.
Kontinuierliches Testen wird immer beliebter und kann in verschiedenen Formen implementiert werden, mit dem allgemeinen Ziel, neue Funktionen zu testen, sobald sie eingeführt werden, um mit schnelllebigen Entwicklungsteams Schritt zu halten.
Wie viel kostet ein Pen Test?
Alex Lauerman, TrustFoundry: Penetrationstests können zwischen weniger als 1.000 $ für einen sehr engen Umfang und über 100.000 $ für eine sehr große Bewertung kosten. Die größten und teuersten Bewertungen umfassen oft mehrere Komponenten wie Netzwerk-Penetrationstests, Anwendungspenetrationstests und mobile Penetrationstests.
Die meisten Pen Tests liegen allgemein im Bereich von 5.000 bis 20.000 $, wobei der Durchschnitt bei etwa 8.000 bis 10.000 $ liegt. Wenn dies der erste Penetrationstest Ihres Unternehmens ist, wird Ihr Umfang wahrscheinlich klein sein und unter dem Durchschnitt in Bezug auf die Kosten liegen.
Es ist wichtig zu beachten, dass sich die Preisgestaltung im Allgemeinen nach dem erforderlichen Aufwand des Pen Testers richtet, obwohl die Raten von Unternehmen zu Unternehmen variieren können. Wenn Sie Fragen zur Preisstruktur oder dazu haben, was im Pen Test enthalten sein wird, sollten Sie Ihren Pen Tester fragen.
Wie sollte ein Unternehmen einen Pen Test Anbieter auswählen?
Alex Lauerman, TrustFoundry: Es ist nicht einfach, zwischen verschiedenen Anbietern von Pen Tests zu unterscheiden, auch wenn sich ihre Fähigkeit zur Bereitstellung stark unterscheiden kann. Sie sollten sicherstellen, dass Sie wissen, was das Angebot ist, wie hoch der Aufwand und die Qualität sind, die Sie erhalten, und dabei auch die Kosten, den Zeitplan und andere Entscheidungsfaktoren berücksichtigen.
Im Folgenden finden Sie einige meiner Tipps zur Auswahl eines Pen Testers.
Bekommen Sie eine Empfehlung
Wenn möglich, holen Sie Empfehlungen von vertrauenswürdigen Personen ein. Idealerweise jemand, der viel Erfahrung oder Wissen im Bereich Penetrationstests hat.
Lassen Sie sich nicht von Automatisierung täuschen
Penetrationstests sollten, wo möglich, Automatisierung nutzen, aber der Kernaufwand eines Penetrationstests besteht in der manuellen Analyse. Vollständig automatisierte Analysen können in den meisten Fällen nur 10-20% der Schwachstellen finden.
Wenn jemand nur einen Scan durchführt, stellt dies keinen Penetrationstest dar und wird nicht effektiv sein, um alle potenziellen Schwachstellen zu identifizieren. Denken Sie daran, dass ein Penetrationstest versucht festzustellen, was ein echter Angreifer möglicherweise ausnutzen könnte. Sie sollten mit Ihrem Anbieter besprechen, wo Automatisierung eingesetzt wird und wie viel manuelle Analyse durchgeführt wird.
Ein Warnzeichen wäre, wenn in Ihrem Bericht Ausgaben direkt aus einem Tool stammen. Dies ist normalerweise leicht zu erkennen, da diese Tools eine schlechte Textqualität haben, aber wenn Sie bestimmte Sätze oder Fundtitel googeln, werden diese normalerweise wortwörtlich im Internet gefunden, wenn sie in ein Tool integriert sind.
Beispielberichte überprüfen
Es gibt eine Korrelation zwischen der Qualität des Berichts und der Qualität des Penetrationstests. Konzentrieren Sie sich nicht auf die Qualität der Ergebnisse in einem Beispielbericht, da Unternehmen Schwachstellen gezielt auswählen können. Schauen Sie stattdessen auf das Format des Berichts selbst und prüfen Sie, ob es optisch ansprechend und in einem leicht verständlichen Format gestaltet ist. Das sollte einen Hinweis auf die Qualität des Penetrations-Testers geben.
Berichte können manchmal zu lang sein und zu viele unnötige Daten enthalten. Suchen Sie nach einer klaren und prägnanten Beschreibung für jeden Fund, komplett mit Screenshots und relevanten Daten. Wenn etwas einfacher zu verstehen ist, ist das normalerweise das Zeichen eines geschickten Penetrations-Testers. Ein guter Penetrations-Tester wird seinen eigenen Bericht mit dem Endziel schreiben: Der Kunde soll diese Ergebnisse nehmen und umsetzbare Maßnahmen zur Behebung ergreifen.
Gut gemachte Formatierung kann eine Freude sein. Überprüfen Sie, ob der Beispielbericht ein Inhaltsverzeichnis hat und von der Seitenleiste aus indizierbar ist. Dies macht das Hin- und Herspringen zwischen verschiedenen Funden einfach und unkompliziert. Ihre Ingenieure werden es Ihnen danken.
Die Pen-Testing-Berater recherchieren, die die Arbeit ausführen würden
Die Branche der Penetrationstests entwickelt sich ständig weiter, daher sollten Sie nach einem Unternehmen suchen, bei dem die Berater vollständig dem Penetrationstest gewidmet sind und ihre Zeit nicht auf verschiedene sicherheitsbezogene Aufgaben aufteilen. Sie können auch fragen, wer voraussichtlich die Arbeit ausführt und deren Lebensläufe einsehen. Von dort aus können Sie feststellen, ob diese Berater angesehene Zertifizierungen wie die von Offensive Security haben oder anderweitig in der Penetrationstestbranche durch Blogging oder Konferenzvorträge engagiert sind.
Ein Unternehmen mit angemessener Größe für Ihr Unternehmen auswählen
Wenn Sie ein größeres Unternehmen mit einem langen Beschaffungsprozess sind, kann eine größere Penetrationstest-Organisation, die mehr Angebote hat, eine gute Wahl sein. Wenn Sie ein kleines bis mittelgroßes Unternehmen sind und einen agileren Penetrations-Tester möchten, der begeistert ist, Ihr Geschäft zu gewinnen und eine großartige Erfahrung bietet, könnten Sie ein kleineres Unternehmen wählen.
Vermeiden Sie Unternehmen, die nicht lange in diesem Bereich tätig sind oder nicht gewachsen sind, da dies oft ein Hinweis auf deren Qualität ist.
Ihre Inhalte lesen
Eine hilfreiche Möglichkeit, ein Unternehmen zu bewerten, ist durch deren Blog. Unternehmen, die qualitativ hochwertige Penetrationstests liefern, haben in der Regel hochwertige Inhalte und Informationen über die Herausforderungen ihrer Kunden oder Sicherheitsforschung.
Holen Sie mehrere Angebote ein
Wenn Sie nach all diesen Schritten immer noch unsicher sind, holen Sie mehrere Angebote von verschiedenen Unternehmen ein. Während dieser Gespräche erfahren Sie mehr darüber, was die einzelnen Anbieter anbieten und warum, und welches Unternehmen am besten zu Ihren Bedürfnissen, Ihrem Budget und Ihrem Zeitplan passt.
Wenn Sie daran interessiert sind, SOC 2 konform zu werden und sich mit einem der bevorzugten Penetrations-Tester von Secureframe wie TrustFoundry zu verbinden, vereinbaren Sie noch heute eine kostenlose Demo!