cechy rzetelnego dostawcy – audyt bezpieczeństwa, testy penetracyjne

rzetelny dostawca

Ze względu na brak jednego obowiązującego standardu i powszechnej wiedzy zauważam, że podmioty zainteresowane przeprowadzeniem audytu bezpieczeństwa prezentują ogólne przeświadczenie co do wymagań, szczególnie zauważalne jest to w ramach testów penetracyjnych, które mylnie są utożsamiane z audytem bezpieczeństwa. Często zamawiający wskazuje szerszy zakres samego testowania, który stanowi ocenę bezpieczeństwa systemów IT i mylnie jest określany terminem audytu, który powinien być umocowany w ramach  powszechnie uznanych i rekomendowanych metodyk.

W kontekście powyższego niezmiernie ważne jest określenie cech rzetelnego dostawcy,  które mogą stanowić punkt wyjścia do  weryfikacji kompetencji wykonawcy. Powszechnie uważa się, że gwarantem skuteczności i rzetelności testów weryfikujących poziom bezpieczeństwa systemów teleinformatycznych są kompetencje i doświadczenie wykonawcy, szczególnie gdy jego zespół oprócz oceny samych systemów IT rozumie badaną organizację jako ściśle ze sobą powiązane filary: ludzie, procesy systemy.

Dobrą rekomendacją jest, gdy  podmioty i osoby zaangażowane w security assessment posiadają poniżej wymienione certyfikaty.
Nadmieniam, że nie chodzi o to, aby wybrany team dostawcy posiadały je wszystkie, ponadto wiele osób ich nie posiada,  a realizują security assessment na światowym poziomie. Można się obrażać lub nie ale, w ramach dojrzałych organizacji, gospodarek na świecie posiadanie certyfikacji jest gwarantem weryfikacji rzetelności i realizacji prac wg. uznanych metodyk i standardów.

• ISO/IEC 27001 (cecha dla organizacji wykonawcy, jako gwarant rzetelności procesów wg. Systemu Bezpieczeństwa Informacji )
• Certified Ethical Hacker (CEH)
• Offensive Security Certified Professional (OSCP)
• Offensive Security Wireless Professional (OSWP)
• Offensive Security Certified Expert (OSCE)
• GIAC Exploit Researcher and Advanced Penetration Tester (GXPN)
• eLearnSecurity Web application Penetration Tester (eWPT)
• eLearnSecurity Web application Penetration Tester eXtreme
• (eWPTX) eLearnSecurity Mobile Application Penetration Tester (eMAPT)
• ISTQB Certified Tester Foundation Level
• Certified Information Systems Security Professional (CISSP)
• Certified Information Systems Auditor (CISA)
• Certified Information Security Manager (CISM)
• Certified in Risk and Information Systems Control (CRISC)
• Certified Internal Auditor (CIA)
,akredytowane przez uznane organizacje certyfikujące np.: Offensive Security, EC-Council, SANS, ISACA, CompTIA, (ISC)², eLearnSecurity, Dekra, BSI.

Dodatkowe faktory rzetelności:
• referencje
• możliwość przeprowadzenia rozmowy referencyjnej
• ubezpieczenie wykonawcy – weryfikacja adekwatność kwoty
• nagrywanie sesji prac na systemach IT – dokumentowanie i wartość dowodowa
• umowa o poufności – NDA
• bezpieczne kanały komunikacji, np. szyfrowanie, PGP
• określenie odpowiedzialności i kar w umowie
• możliwość wglądu do przykładowych raportów
• re-test w ofercie (w zależności od standardów korporacyjnych, re-test jest często
zlecany innemu wykonawcy, w celu zachowania transparentności)
• spotkanie informacyjne (on-line lub on-site)
• spotkanie z omówieniem raportu (on-line lub on-site)
• określenie w ofercie: metodyk, narzędzi i zanonimizowany zespół wraz z certyfikacjami
• określenie okien serwisowych, w przypadku krytycznych systemów IT
• określenie wymagań względem zamawiającego np. sposoby uwierzytelnienia, dostęp do maszyn wirtualnych
• bezpośredni kontakt i określenie osób kontaktowych w kontrakcie

Oprócz doświadczenia, wiedzy i certyfikacji ważna jest kreatywność zespołu wykonawcy, co pozwala na efektywniejszą pracę manualną, wykrycie większego spectrum podatności niż w tradycyjnym podejściu tylko ze skanerem, co pozwala znacznie ograniczyć ilość fałszywych alarmów false-possitive oraz wyszukanie najsłabszego ogniwa w systemach IT, które może posłużyć do skutecznego ataku. Rekomendowane jest, aby specjalista wykonujący test posiadał praktyczne doświadczenie w ofensywie, tzw. read team (ataki odzwierciedlające realne możliwości hakerów (warstwa sieciowa, bezpieczeństwo fizyczne,
socjotechnika), blue team (zespół realizujący defensywne operacje i usługi takie jak reagowanie na incydenty, informatyka śledcza, threat hunting, threat intelligence).

Przed wyborem usługodawcy warto zweryfikować, czy na etapie operacyjnym będziemy mieli bezpośredni kontakt do konsultanta lub project menagera wykonawcy, co będzie pomocne przy zrozumieniu pełnego zakresu badania, wymogów po stronie zamawiającego, ustalenia dostępów uwierzytelnionych. Częstym błędem jest pomijanie tego etapu, co wydłuża sam moment startu testów. W zdecydowanej większości testy odbywają się zdalnie, jeśli wskazane jest zrealizowanie on-site, np. socjotechnika, to należy to uwzględnić na etapie oferty i zamówienia.

Warte lektury jest ponadczasowe opracowanie Czy audyt bezpieczeństwa teleinformatycznego” jest tym samym co „audyt informatyczny?”
link: https://bibliotekanauki.pl/articles/273210.pdf

Dr inż. Krzysztof Liderman – Absolwent Wojskowej Akademii Technicznej, jest mianowanym adiunktem w Instytucie
Teleinformatyki i Automatyki WAT. W swojej ponad 35-letniej pracy
naukowej i dydaktycznej zajmował się projektowaniem systemów
komputerowych oraz teorią i praktycznym wykorzystaniem systemów
eksperckich. Od prawie 20 lat swoje zainteresowania i aktywność zawodową
ukierunkowuje na bezpieczeństwo informacyjne. Autor książek m.in.
Podręcznik administratora bezpieczeństwa teleinformatycznego (MIKOM
2003), Analiza ryzyka i ochrona informacji w systemach komputerowych
(PWN 2008), Bezpieczeństwo informacyjne (PWN 2012) oraz licznych
publikacji naukowych z bezpieczeństwa informacyjnego, m.in. w biuletynie
naukowym Instytutu Teleinformatyki i Automatyki WAT oraz periodyku
Instytutu Organizacji i Zarządzania WAT Studia bezpieczeństwa
narodowego. Prowadzi wykłady z zakresu bezpieczeństwa informacyjnego w
Wojskowej Akademii Technicznej. Współautor metodyki LP-A audytu
bezpieczeństwa teleinformatycznego. Jest ekspertem nieformalnego zespołu
audytowego, wykonującym badania stanu ochrony zasobów informacyjnych i
przedsięwzięcia z zakresu budowy i modyfikacji systemów bezpieczeństwa.
Brał udział w licznych audytach bezpieczeństwa teleinforma­tycz­nego i
budowie/modyfikacji systemów bezpieczeństwa dużych organizacji, zarówno
komercyjnych jak i państwowych. Za wieloletnią pracę dydaktyczną
nagrodzony Medalem Komisji Edukacji Narodowej. Członek SEP, wyróżniony
złotą odznaką honorową tej organizacji.