Toto je tretie pokračovanie článku Príručka nášho zákazníka I a Príručka nášho zákazníka II.

Opakované testy a bug bounty program

Výsledky vykonaného penetračného testu alebo bezpečnostného auditu sa vzťahujú vždy len na konkrétny dátum, kedy zákazník od nás obdrží výslednú správu. My, ani žiadna iná IT security firma na svete nedokáže garantovať, že daná aplikácia nebude vyhackovaná hneď na druhý deň, kedy si objaví nejaká nová kritická zraniteľnosť. Preto je potrebné pravidelné testovanie vo forme opakovaných testov.

Na kontinuálne testovanie aplikácii (ideálne na vyplnenie časových medzier medzi opakovanými testami) odporúčame použiť tzv. bug bounty platformu. To je systém, kde sú zaregistrovaní tisícky hackerov, ktorí sa v aplikáciách snažia hľadať bezpečnostné zraniteľnosti a získať za to odmenu. Ak finančnú odmenu za odhalenie zraniteľnosti vo vašej aplikácii nastavíte na dostatočne motivujúcu, tak tým zabezpečíte, že tisícky očí budú mať ekonomickú incentívu prakticky nonstop hľadať a nahlasovať vám nové zraniteľnosti vo vašej aplikácii. 

Ako bug bounty platformu môžete použiť Hacktrophy, čo je unikátne bug bounty riešenie v strednej Európe, ktorú spolu so spoločnosťou Citadelo partnersky aj technologicky zastrešujeme.

Váš web alebo webovú aplikáciu odporúčame nasadiť v bug bounty platforme hneď potom ako si opravíte všetky chyby, ktoré odhalí náš penetračný test alebo bezpečnostný audit.

Aké technologické certifikáty by mali mať etickí hackeri?

IT bezpečnostný sektor je zahltený rôznymi bezpečnostnými certifikátmi s rôznou kvalitou.

Hneď na začiatku je potrebné podotknúť, že ISACA certifikáty nijako nesúvisia s penetračnými testovaním alebo technologickými bezpečnostnými auditmi. Podobne CISSP je len senior manažérsky security certifikát a nijako nereflektuje technologické znalosti etických hackerov. Tiež existujú “hackerské” certifikáty s pochybnou kvalitou (ako napríklad CEH) od spoločnosti EC Council, ktorá bola opakovane vyhackovaná (čo môže o jej certifikátoch prezrádzať všeličo).

Zrejme za najkvalitnejší hackerský certifikát pokladáme OSCE (Offensive Security Certified Expert), ktorým disponuje väčšina našich etických hackerov. Napriek tomu naši certifikovaní experti vidia v “Offensive Security” pár problémov (ich sumarizáciu nájdete tu).

Platí pravidlo, že ak etický hacker je schopný samostatnej tvorby zložitejších exploitov, tak by mal spĺňať minimálne predpoklady na profesionálne zvládnutie penetračného testovania. Toto obnáša, že musí vedieť programovať v nejakom skriptovacom jazyku a disponovať slušnými znalosťami operačných systémov či webových technológii. Mal by mať tiež detailne naštudované testovacie príručky a manuály (napríklad OWASP).

Prečo práve testy u “slobodnej” firmy?

Jedna z kľúčových výhod špeciálnej našej spoločnosti je, že fungujeme na tzv. voluntaryistickej báze – naši testeri si dobrovoľne vyberajú projekty, na ktorých chcú participovať. Nikoho do ničoho nenútime.

Pre vás ako zákazníka z toho vyplýva, že na rozdiel od iných firiem, naši experti pre vás pracujú preto, že sa tak dobrovoľne rozhodli. Nie preto, že im to z pozície šéfa niekto nanútil.

Toto sa špeciálne prejavuje vo zvýšenej motivácii a kvalite našej práce, ktorá je prirodzene vyššia, keď si ju ľudia dobrovoľne vyberú ako v situácii, kedy im je nanútená, ako to býva praxou v bežných korporáciách.

Tiež to znamená, že kvôli tomu, že si u nás ľudia dobrovoľne vyberajú projekty, na ktorých participujú, tak ako firma máme minimálnu fluktuáciu zamestnancov. Tým pádom väčšina našich testerov sú ostrieľaní experti, ktorí majú roky skúseností s IT bezpečnosťou.

Viac informácii o našom modeli práce nájdete v prezentácii The Most Free Company.