Toto je třetí pokračování článku Příručka našeho zákazníka I a Příručka našeho zákazníka II.

Opakované testy a bug bounty program

Výsledky provedeného penetračního testu nebo bezpečnostního auditu se vztahují vždy jen na konkrétní datum, kdy zákazník od nás obdrží výslednou zprávu. My, ani žádná jiná IT security firma na světě nedokáže garantovat, že daná aplikace nebude vyhackována hned druhý den, kdy se objeví nějaká nová kritická zranitelnost. Proto je třeba pravidelné testování ve formě opakovaných testů.

Na kontinuální testování aplikaci (ideálně na vyplnění časových mezer mezi opakovanými testy) doporučujeme použít tzv. bug bounty platformu. To je systém, kde jsou registrováni tisíce hackerů, kteří se v aplikacích snaží hledat bezpečnostní zranitelnosti a získat za to odměnu. Tím, že finanční odměnu za odhalení zranitelnosti ve vaší aplikaci nastavíte na dostatečně motivující, zajistíte, že tisíce očí budou mít ekonomickou motivaci, prakticky nonstop, hledat a nahlašovat vám nové zranitelnosti ve vaší aplikaci.

Jako bug bounty platformu můžete použít Hacktrophy, což je unikátní bug bounty řešení ve střední Evropě, kterou spolu s Citadelo partnersky i technologicky spoluprovozujeme.

Váš web nebo webovou aplikaci doporučujeme nasadit v bug bounty platformě, hned poté, jak opravíte všechny chyby, které odhalí náš penetrační test nebo bezpečnostní audit.

Jaké technologické certifikáty by měly mít etičtí hackeři?

Sektor IT bezpečnosti je zahlcen různými bezpečnostními certifikáty s různou kvalitou.

Hned na začátku je třeba podotknout, že ISACA certifikáty nijak nesouvisí s penetračními testováním nebo technologickými bezpečnostními audity. Podobně CISSP je jen certifikát pro bezpečnostní senior manažery a nijak nereflektuje technologické znalosti etických hackerů. Také existují “hackerské” certifikáty s pochybnou kvalitou (například CEH) od společnosti EC Council, která byla opakovaně vyhackovaní (což může o její certifikátech prozrazovat leccos).

Zřejmě za nejkvalitnější hackerský certifikát pokládáme OSCE (Offensive Security Certified Expert), kterým disponuje většina našich etických hackerů. Přesto naši certifikovaní experti vidí v “Offensive Security” několik problémů (jejich sumarizaci naleznete zde).

Platí pravidlo, že pokud etický hacker je schopen samostatné tvorby složitějších exploitů, tak by měl splňovat minimální předpoklady pro profesionální zvládnutí penetračního testování. Toto obnáší, že musí umět programovat v nějakém skriptovacím jazyku a disponovat slušnými znalostmi operačních systémů či webových technologii. Měl by mít také detailně nastudované testovací příručky a manuály (například OWASP).

Proč právě testy u “svobodné” firmy?

Jedna z klíčových výhod speciálně naší společnosti je, že fungujeme na tzv. principu dobrovolnosti – naši testeři si dobrovolně vybírají projekty, na kterých chtějí participovat. Nikoho do ničeho nenutíme.

Pro vás jako zákazníka z toho vyplývá, že na rozdíl od jiných firem, naši experti pro vás pracují proto, že se tak dobrovolně rozhodli. Ne proto, že jim to z pozice šéfa někdo vnutil. 

Toto se speciálně projevuje ve zvýšené motivaci a kvalitě naší práce, která je přirozeně vyšší, když si ji lidé dobrovolně vyberou jako v situaci, kdy jim je vnucena, jak to bývá praxí v běžných korporacích.

Také to znamená, že kvůli tomu, že si u nás lidé dobrovolně vybírají projekty, na kterých participují, tak jako firma máme minimální fluktuaci zaměstnanců. Tím pádem většina našich testerů jsou ostřílení experti, kteří mají léta zkušeností s IT bezpečností.

Více informací o našem modelu práce najdete v prezentaci The Most Free Company.