Giá cho các cuộc pentest (thử nghiệm thâm nhập) ở Nga phụ thuộc vào nhiều thứ: mức độ trưởng thành về an ninh mạng của công ty khách hàng, quy mô của công ty sau, phạm vi công việc, mô hình của kẻ tấn công, cũng như kinh nghiệm, danh tiếng và lợi nhuận lợi nhuận của cá nhân người biểu diễn. Để điều hướng các biến này và đánh giá các đề xuất một cách thực tế, hãy tìm hiểu chi phí của các dự án đó bao gồm những gì.
- Giới thiệu
- Mỗi công ty có mức độ tấn công riêng
- Tỷ lệ tài nguyên của hacker và pentester
- Định giá
- kết luận
Giới thiệu
Bạn có thể thường xuyên nghe khách hàng nói rằng “mọi người đều nói giống nhau – họ nói rằng họ là những người có kinh nghiệm nhất, có năng lực nhất và được chứng nhận tốt nhất – nhưng họ đưa ra những mức giá khác nhau”. Trên thực tế, không có thông tin xác thực nào của pentester có thể giải quyết được vấn đề kinh doanh trong việc kiểm tra và ngăn ngừa rủi ro bảo mật. Hãy cùng tìm hiểu cách xác định nhà thầu có thể giải quyết vấn đề này, chi phí thử nghiệm bao gồm những gì và cách chọn nhà thầu không chỉ dựa vào giá cả.
Mỗi công ty có mức độ tấn công riêng
Chi phí kiểm tra trực tiếp một công ty phụ thuộc vào mức độ trưởng thành của các quy trình bảo mật thông tin trong đó. Điều này liên quan đến mô hình kẻ tấn công mà doanh nghiệp muốn bảo vệ chống lại. Mô hình ảnh hưởng đến mức độ phức tạp của mô phỏng cuộc tấn công và công việc được thực hiện trong dự án.
Hãy so sánh với các ví dụ về cách mô hình của kẻ tấn công thay đổi tùy thuộc vào mức độ hoàn thiện của bảo mật thông tin và kết quả là tài nguyên để thử nghiệm phát triển như thế nào.
Một công ty có mức độ trưởng thành về bảo mật thông tin ban đầu
Không thường xuyên quan tâm đến vấn đề bảo mật thông tin. Cơ sở hạ tầng hoàn toàn hoặc một phần nằm ngoài vòng lặp nội bộ và bao gồm các dịch vụ tiêu chuẩn bên ngoài: thư, theo dõi tác vụ, 1C, CRM, FTP, v.v. Hỗ trợ được cung cấp bởi các quản trị viên hệ thống toàn thời gian hoặc truy cập có trình độ cấp cơ sở hoặc cấp trung.
Rủi ro đối với một công ty như vậy:
- xâm phạm các trang web của công ty,
- truy cập vào mạng nội bộ,
- lây nhiễm phần mềm độc hại vào máy trạm và mã hóa cơ sở dữ liệu 1C.
Chân dung kẻ đột nhập
Có nguy cơ cao bị tấn công tự động: kẻ tấn công chỉ cần quét mạng để tìm các lỗ hổng đã biết và khi tìm thấy “lỗ hổng bảo mật”, chúng sẽ khai thác nó. Dịch vụ có thể bị tấn công bởi bất kỳ ai sử dụng các công cụ hack có sẵn bằng cách đọc các bài viết trên diễn đàn hoặc xem video trên YouTube. Mô hình của kẻ tấn công ở đây sẽ là “schoolboy” hoặc “script kiddie” – kẻ sử dụng các công cụ làm sẵn kịch bản và các chương trình mà không hiểu cơ chế hoạt động của chúng. Những người như vậy quá thiếu kinh nghiệm để tự viết khai thác hoặc một chương trình hack phức tạp.
Tài nguyên để mô phỏng một cuộc tấn công
Đối với các cơ sở hạ tầng như vậy, chỉ cần kiểm tra xem không có lỗ hổng công khai nào là đủ. Để mô phỏng mô hình kẻ tấn công tương ứng, một chuyên gia pentester cấp dưới và 5-7 ngày làm việc là đủ.
Một công ty có mức độ trưởng thành về bảo mật thông tin ở mức trung bình
Đặc biệt chú trọng đến vấn đề bảo mật thông tin. Một số cơ sở hạ tầng có thể nằm trên máy chủ của riêng bạn và một số có thể nằm trên máy chủ thuê. Ở cấp độ bên ngoài, ngoài các dịch vụ tiêu chuẩn, còn có thể có các dịch vụ tùy chỉnh. Đội ngũ nhân viên có ít nhất 1–2 chuyên gia bảo mật thông tin chuyên trách giám sát tính bảo mật của các mạch bên ngoài và bên trong. Các công ty như vậy thường tiến hành phân tích bảo mật ít nhất mỗi năm một lần.
Rủi ro đối với một công ty như vậy:
- xâm phạm các trang web của công ty,
- truy cập vào mạng nội bộ,
- chặn các quy trình sản xuất và kinh doanh quan trọng,
- mất dữ liệu bí mật và cơ sở dữ liệu khách hàng.
Chân dung kẻ đột nhập
Kẻ tấn công sẽ phải sử dụng các kỹ thuật và phương pháp hack tiên tiến hơn để thực hiện cuộc tấn công chống lại công ty này, sử dụng các lỗ hổng kỹ thuật hoặc logic. Mô tả chính xác nhất về kẻ tấn công ở cấp độ này là khi họ nói về hacker Ukraine, Ấn Độ hoặc Trung Quốc. Họ có thể xác định các lỗ hổng trên trang web hoặc ứng dụng bằng cách gửi nhiều yêu cầu khác nhau tới trang web hoặc ứng dụng đó, nghiên cứu phản hồi của hệ thống và thay đổi vectơ tấn công tùy thuộc vào phản hồi. Chúng tự động hóa đáng kể việc khai thác các lỗ hổng công khai ở mức độ phức tạp khác nhau. Theo quy định, mục tiêu là tống tiền và tống tiền.
Tài nguyên để mô phỏng một cuộc tấn công
Thành phần nhóm tối ưu là một chuyên gia cấp cao nhất và một hoặc hai chuyên gia cấp trung. Thời gian của một dự án như vậy sẽ là 15–20 ngày làm việc, bao gồm một vài ngày để lập báo cáo.
Một công ty có mức độ trưởng thành về bảo mật thông tin cao
Đây là một công ty lớn và thành công, có thể tham gia vào chuỗi cung ứng của hàng nghìn khách hàng lớn khác, sở hữu cơ sở hạ tầng quan trọng hoặc trở thành một doanh nghiệp xương sống, bao gồm cả việc phục vụ hàng triệu cá nhân. Nhân viên của nó có các bộ phận hoặc bộ phận bảo mật thông tin riêng biệt liên tục cải thiện bảo mật thông tin bằng cách giới thiệu các công cụ bảo mật hiện đại, đào tạo nhân viên, phát triển trung tâm giám sát (SOC) của riêng họ hoặc kết nối một trung tâm thương mại, áp dụng các nguyên tắc phát triển an toàn trong các sản phẩm nội bộ.
Rủi ro đối với một công ty như vậy:
- mã hóa và chặn tất cả các quy trình trong công ty mà không có khả năng phục hồi,
- rò rỉ cơ sở dữ liệu với hàng trăm nghìn, hàng triệu hàng dữ liệu cá nhân của khách hàng cá nhân,
- tổn thất danh tiếng không thể khắc phục được,
- sự thỏa hiệp của các công ty khác mà chuỗi cung ứng được tích hợp, v.v.
Chân dung kẻ đột nhập
Bộ phận bảo mật thông tin riêng của nó, SOC, nhiều công cụ bảo mật và kiểm tra thường xuyên là những lý do chính đáng khiến các tin tặc đơn độc sẽ từ chối lãng phí thời gian để hack một công ty như vậy. Nhưng trong trường hợp các cuộc tấn công có chủ đích (bao gồm cả các cuộc tấn công được thực hiện theo lệnh), các chuyên gia thực sự và các nhóm APT, cơ quan tình báo của các quốc gia không thân thiện và các nhóm liên quan đều tham gia vào vụ hack.
Tài nguyên để mô phỏng một cuộc tấn công
Để mô phỏng hành động của những kẻ tấn công ở cấp độ này, toàn bộ nhóm phải bao gồm các chuyên gia cấp cao nhất có khả năng vượt qua các biện pháp bảo mật và che giấu hành động của họ với những người bảo vệ khách hàng (Đội Xanh). Họ cần có khả năng sử dụng các cách khai thác không công khai và các lỗ hổng zero-day mà những người thực hiện riêng lẻ thu thập và mua trên darknet và sự tồn tại của chúng mà khách hàng chỉ biết đến khi đặt hàng một dự án như vậy.
Nhóm có thể bao gồm tối đa 4-5 chuyên gia hàng đầu trong toàn bộ dự án, với sự tham gia định kỳ của các chuyên gia có hồ sơ hẹp, chuyên sâu về các vấn đề đặc biệt có thể phát sinh trong quá trình thực hiện dự án.
Một đặc điểm của thử nghiệm như vậy (Đội Đỏ), ngoài độ phức tạp, là thời lượng. Thời gian thực hiện đầy đủ thường dao động từ ba tháng đến sáu tháng, tùy thuộc vào mục tiêu mà khách hàng đặt ra.
Tỷ lệ tài nguyên của hacker và pentester
Vì có một lỗ hổng rất lớn trong quá trình đào tạo và năng lực của tin tặc (ví dụ: nếu bạn so sánh “học sinh” với một nhóm APT), rõ ràng việc mô phỏng một cuộc tấn công của tin tặc có thể khác nhau, tùy thuộc vào điều doanh nghiệp muốn. tự bảo vệ mình khỏi. Việc lựa chọn pentest hoàn toàn phụ thuộc vào mức độ trưởng thành của doanh nghiệp trong lĩnh vực an toàn thông tin.
Bảng 1. Số lượng và chất lượng công việc trong các dự án pentest (theo mô hình kẻ tấn công và mức độ trưởng thành về bảo mật thông tin trong công ty)
|
Mức độ bảo mật thông tin |
kẻ xâm nhập |
Các mối đe dọa chính |
Sự bắt chước (kết nối với pentest) |
Chuyên gia |
|
Ngắn |
Thiếu kinh nghiệm (kịch bản kiddie) |
|
|
cấp cơ sở |
|
Trung bình |
Hacktivist, hacker đầy tham vọng |
|
|
cấp trung |
|
Cao |
Tin tặc |
|
|
Đội ngũ: cấp trung và cấp cao |
|
Rất cao |
Nhóm APT |
|
|
Nhóm: cấp cao nhất và cao nhất (lãnh đạo) |
Số lượng, thiết bị, sự chuẩn bị, nhận thức của những kẻ vi phạm tiềm năng và thành phần hành động của họ là những gì mà những người pentester sẽ cần bắt chước trong dự án, vì vậy tất cả những điều này phải được thỏa thuận “trên bờ” và chỉ dựa trên những tiêu chí này mà một mức giá hợp lý sẽ được đưa ra xác định.
Định giá
Vì vậy, bây giờ các mô hình và cách thức bắt chước hoạt động của kẻ tấn công đã trở nên rõ ràng, chúng ta có thể mô tả mức giá.
Làm thế nào để hiểu một cuộc pentest sẽ tốn bao nhiêu tiền theo mô hình “cậu học sinh”, kéo dài năm ngày làm việc và được thực hiện bởi một “đàn em”, và Red Teaming sẽ tốn bao nhiêu tiền, sẽ mất ba tháng và có sự tham gia của một nhóm chuyên gia hàng đầu?
Hãy cùng làm sáng tỏ thành phần của nhóm dự án và chi phí lao động của họ!
Bảng 2. Mối tương quan giữa chi phí dự án tùy thuộc vào mô hình kẻ tấn công và mức thù lao của người pentester
|
Mức độ trưởng thành của doanh nghiệp |
Mô hình tấn công |
Yêu cầu đối với người biểu diễn pentest |
Giờ lao động |
Chi phí dự án* |
|
Ban đầu: không có bảo mật thông tin, chỉ có bộ phận IT |
Thiếu kinh nghiệm (kịch bản kiddie) |
|
≈ 60 giờ |
200–400 nghìn rúp |
|
Trung bình: có bộ phận bảo mật thông tin nhỏ |
Tin tặc |
|
≈ 350 giờ |
400–1000 nghìn rúp |
|
Cao: bộ phận bảo mật thông tin của riêng bạn |
nhóm NGHỆ THUẬT |
|
Từ ba tháng |
1,5–12 triệu rúp |
* Giá mang tính tương đối và phụ thuộc vào mục đích và số lượng đối tượng thử nghiệm
Mức lương trung bình của các chuyên gia được công bố công khai. Đối với một “cấp dưới” thì bắt đầu từ 70 nghìn rúp, đối với một “trung cấp” – từ 150 nghìn, đối với các chuyên gia hàng đầu, thu nhập bắt đầu từ 400 nghìn rúp và thường không có giới hạn do năng lực đặc biệt trong bối cảnh thiếu nhân sự trên thị trường . Rõ ràng là một pentest có thông số kỹ thuật bao gồm các yêu cầu đối với các chuyên gia hàng đầu, theo tất cả các định luật logic, không thể có giá 200 nghìn rúp.
Chi phí của dự án bao gồm:
- Thành phần đội,
- số ngày làm việc dự kiến cho dự án,
- mô hình thử nghiệm (hộp đen / xám / trắng),
- phạm vi phủ sóng thử nghiệm (dịch vụ đã xuất bản, Wi-Fi, v.v.),
- ngày kiểm tra cuối cùng và các biến khác.
Các đối tượng thử nghiệm khác nhau sẽ có cách tiếp cận lệnh và tính toán khác nhau.
Vì vậy, không có mức giá thấp hay cao cho việc pentesting, doanh nghiệp chỉ cần thử nghiệm ở một mức độ nhất định. Khi bạn xác định được mức độ khó, bạn có thể tính toán chi phí hợp lý cho việc kiểm tra.
Không cần phải tốn tiền cho Red Teaming siêu phức tạp, đắt tiền nếu công ty mới bắt đầu phát triển các quy trình bảo mật thông tin. Tương tự như vậy, bạn không nên lãng phí tiền vào một cuộc pentest dựa trên mô hình kẻ xâm nhập “học sinh” nếu công ty thường xuyên tiến hành kiểm tra, gỡ lỗi các cơ chế bảo mật và quy trình bảo mật thông tin của họ đã hoàn thiện hơn.
Ngoài giá cả, bạn cần xem xét:
- doanh nghiệp cần một mức độ xác minh nhất định,
- khối lượng công việc cần thực hiện để đạt được mục tiêu của dự án,
- trình độ chuyên gia, kinh nghiệm và thành tích được công nhận chung: chứng chỉ OSCP, OSCE, eWPTX; tham gia vào các chương trình Bug Bounty, hội trường danh vọng, nghiên cứu, v.v.,
- mô hình kẻ tấn công
kết luận
Có sự phụ thuộc trực tiếp vào chi phí của một cuộc pentest vào mô hình của kẻ tấn công và mức độ hoàn thiện về bảo mật thông tin của các công ty. Và đây chính xác là những biến số có thể được giải thích một cách mơ hồ bởi cả khách hàng và nhà thầu, ảnh hưởng đáng kể đến phạm vi giá. Dựa trên những ghi chú giới thiệu này, bạn sẽ có thể đánh giá thực tế bất kỳ đề xuất nào, thấy sự không nhất quán, hiểu quy mô của mức đánh dấu và năng lực của những người thực hiện, đồng thời trả lời câu hỏi tại sao cùng một pentest lại có giá 200 nghìn đối với một số người và đối với một số người. những người khác – sau đó – 5 triệu.
Để lựa chọn giải pháp tối ưu, không trả quá nhiều và đạt được kết quả thỏa mãn nhu cầu của doanh nghiệp, bạn cần hiểu mình đang bảo vệ ai.
