Följande lista innehåller en hel del matnyttigt om vad som du som beställare bör tänka på vid upphandling eller beställning av ett penetrationstest:
- Vad är syftet med penetrationstestet? (Kunden måste själv förstå vad den beställer, något som inte alltid är fallet). Handlar det om compliance (kryssa i rutan ’pentest genomfört’), eller vill man hitta sårbarheter ’på riktigt’? Svaret på detta sätter nivån och ambitionen med testet
- Vill man testa ett specifikt system, en rad system, eller hela sin IT-miljö? (Kunden måste veta detta själv)
- Vill man testa system är det bra om man är villig att även lämna ut källkod
- Vill man testa sin IT-miljö behöver man ha klart för sig begränsningar med att pentesta en produktionsmiljö (ett pentest ger inte alltid bra svar på hur en ’riktig’ angripare skulle lyckas, eftersom man inte kan göra vad som helst i nätet)
- Vilken kompetens har pentestaren? Tidigare uppdrag, bakgrund, programmeringskunskaper?, använder man uteslutande köp-verktyg?
- Certifieringar (visar mest att någon velat satsa på personen i fråga, snarare än en indikation på kompetens)
- Hur skyddar pentestaren företagets data som oundvikligen blir exponerat om pentestet ’lyckas’?
- Vilken plattform utför pentestaren arbetet från? (sin egen windows-laptop / specifik dator med annat OS / annat?)
- Vad händer med insamlat material efter utfört arbete? (både digitalt och fysiskt)
- Hur rapporteras resultatet? Rapport, Föredragning
- Vad innehåller resultatet?
- Listning av sårbarheter? Angreppssätt? Förslag på åtgärder? Analyser? Slutsatser?
- Vem utför uppdraget? Seniorkonsulten som kommer på mötet, eller junioren som precis anställts?
- Hur ser pentestaren på blackbox/whitebox testning? (fråga att ställa leverantören) Rätt svar är att blackbox testar pentestarens skicklighet med liten möjlighet för kunden att värdera resultatet. Whitebox ökar möjligheten att även en inkompetent testare hittar något.
Vad tycker du, är det något viktigt vi har missat? Lämna gärna en kommentar nedan.