Прежде чем начать какую-либо работу по пенетрационному тестированию (pentesting), необходимо тщательно определить и проверить границы проекта. Этот этап является фундаментом всего взаимодействия с клиентом и определяет успешность всего мероприятия.
Проверка границ проекта (валидация области охвата) — это процесс уточнения и подтверждения всех деталей будущего тестирования перед его началом. Это включает в себя согласование целей, методов, сроков и ожидаемых результатов с заказчиком.
Первичный сбор информации
Первый шаг в проверке границ проекта — это опрос клиента и анализ контрактов. Вы должны получить полное представление о том, что именно ожидает от вас заказчик.
Кроме того, вы обязательно должны понять, кто является целевой аудиторией для вашего отчёта о пенетрационном тестировании. Это критически важно, поскольку отчёт должен быть адаптирован под конкретных получателей.
Вы должны понимать субъекты оценки: какие бизнес-подразделения и другие сущности будут подвергаться тестированию в рамках данного проекта пенетрационного тестирования.
Почему это важно
Правильное определение границ проекта защищает вас от юридических проблем, недопонимания с клиентом и помогает сосредоточиться на действительно важных областях для бизнеса клиента.
Анализ получателей отчёта
Понимание того, кто будет читать ваш отчёт, — ключевой аспект успешного взаимодействия. Разные получатели требуют разного уровня технической детализации и формата подачи информации.
| Вопрос | Значение |
|---|---|
| Какова потребность организации или конкретного лица в отчёте? | Определяет глубину и направленность анализа |
| Какова должность основного получателя отчёта в организации? | Влияет на технический уровень и структуру отчёта |
| Какова основная цель проекта пентеста? | Определяет приоритеты тестирования |
| Какова ответственность получателя за принятие решений? | Влияет на рекомендации и приоритезацию |
Ключевые вопросы для определения границ проекта
При работе с клиентом обязательно уточните следующие вопросы:
- Кому будет адресован отчёт: информационному менеджеру по безопасности (ISM), директору по информационной безопасности (CISO), директору по информационным технологиям (CIO), техническому директору (CTO), техническим командам и т.д.?
- Кто будет иметь доступ к отчёту, который может содержать конфиденциальную информацию, требующую защиты? Будет ли доступ предоставляться на основе принципа need-to-know (только по необходимости)?
- Какова основная цель и задача проекта пенетрационного тестирования и, в конечном счёте, цель подготовки отчёта?
- Какова ответственность и полномочия конкретного лица или бизнес-подразделения принимать решения на основе ваших выводов?
Организация коммуникации с заказчиком
Вы должны поддерживать открытые и эффективные каналы связи с клиентами и заинтересованными сторонами. Это залог успешного проекта.
- Какова контактная информация всех соответствующих заинтересованных сторон (stakeholders)?
- Как вы будете общаться со заинтересованными сторонами? (email, телефон, мессенджеры, видеоконференции)
- Как часто вам нужно взаимодействовать со заинтересованными сторонами в ходе проекта?
- Кто является контактным лицом для экстренных ситуаций?
Управление временем в пентесте
Совет. Управление временем критически важно в проекте пенетрационного тестирования: это планирование и организация того, как вы распределяете время между задачами в ходе пентеста.
Неспособность эффективно управлять временем и расставлять приоритеты может снизить эффективность и усилить стресс.
| Преимущество | Описание |
|---|---|
| Повышение продуктивности | Эффективное использование каждого часа работы |
| Обнаружение дополнительных уязвимостей | Больше времени на глубокий анализ систем |
| Соблюдение сроков | Своевременная сдача отчёта клиенту |
| Снижение стресса | Равномерное распределение нагрузки |
Итоговый чек-лист
Перед началом проекта пенетрационного тестирования убедитесь, что у вас есть ответы на все эти вопросы:
- Подписанный контракт с чётко определёнными границами
- Список всех целевых систем и сетей
- Контактные данные ответственных лиц от клиента
- Согласованный график работ и ключевые этапы
- Определённая целевая аудитория отчёта
- Согласованные каналы коммуникации
- Процедура эскалации в чрезвычайных ситуациях
- Определённые методы тестирования (чёрный ящик, серый ящик, белый ящик)
Заключение
Правильная проверка границ проекта — это не формальность, а важный этап, от которого зависит успех всего пентеста. Заложите на этот этап достаточно времени, чтобы снизить риски и дать клиенту максимально полезный результат.